Tanto en el caso de los especializados en la recepción de llamadas como en el de los que las generan, la diligente gestión de los datos es un elemento de capital importancia en el marco general de una provisión de servicios de calidad.

Por ello, todos los sistemas de apoyo a la gestión de llamadas han de ser especialmente cuidadosos en la implementación de las funciones que dejan rastros de auditoría sobre todas las actuaciones en las que se gestionan datos personales.

¿Tu Call Center está preparado?

Hazte estas preguntas:

¿Puedes identificar fácilmente estos registros relacionados con un individuo, y cumplir con sus derechos de manera oportuna?

¿Realizas un proceso de las solicitudes, y haces un seguimiento del progreso de dichas solicitudes?

¿Por qué los Call Centers pueden grabar las llamadas?

Todas las empresas de Call Centers necesitan justificar los motivos por lo que graban las llamadas que hacen sus operadores.

El RGPD incluye, en este tipo de negocios,  la necesidad de cumplir con alguna de las siguientes 6 razones:

• Las personas, que son llamadas por los operadores, dan su consentimiento para ser grabadas.
• Si la grabación es necesaria para el cumplimiento de un contrato previo.
• Cuando grabar la llamada sea para cumplir con un requisito de alguna ley.
• Es necesario grabar la conversación para proteger los intereses de los participantes.
• Sea un tratamiento necesario por interés público, o necesario en el ejercicio de una autoridad oficial.
• La grabación se hace por interés legitimo del que graba, siempre que no vulnere los derechos fundamentales del que es grabado.

Titularidad del call center

Una primera distinción en el tratamiento del problema se da respecto a la titularidad del Call Center.

Será diferente el caso de un Call Center operado por la entidad Responsable del Fichero, respecto del de otro operado por una empresa tercera que actúa como Encargado del Tratamiento.

La forma de demostrar la actuación diligente en uno y otro caso es diferente, pero en ambos se basa en registrar minuciosamente todas las actuaciones con indicación precisa de tiempo y del detalle de la actuación.

Call center que llama en nombre de tu empresa

Documentado en un contrato

En el caso de Call Center que actúan para empresas distintas, debe estar perfectamente documentado contractualmente el tipo de relación entre ellas, en particular respecto a la transferencia de datos, su titularidad y su tratamiento, y el tipo de servicio que se presta y cómo afecta a la gestión de los datos.

En otros países

Si la empresa actúa en otro país, o contrata teleoperadores en diferentes ubicaciones, debe indicarse esta circunstancia, señalando el nivel de Protección de Datos que la ley otorga en cada país y la consideración de que este nivel sea equivalente al del país de origen de los datos.

En este caso,  debe solicitarse autorización a la Agencia de Protección de Datos, con indicación del País de destino de la transferencia de datos, y de las medidas de seguridad técnica y procedimental que se aplicarán, para garantizar la confidencialidad del tratamiento de los datos.

Documento de seguridad

El Documento  de Seguridad de la empresa que ofrece los servicios de Call Center posiblemente sea uno de los Anexos de la relación contractual, que la empresa contratante deberá valorar para asegurarse de que es compatible con sus propias medidas de seguridad, y, por tanto, son su propio Documento de Seguridad.

Si es tu empresa la que llama

Registro de los datos personales

En el sistema informático de la empresa, o el departamento especializado, es conveniente que se registren todas las actuaciones sobre datos personales.

Si se visualizan por un operador, se indicará en el sistema de registro, la identidad del operador, y el tipo de datos a que ha tenido acceso y en qué momento.

Modificación de los datos personales

Cuando puedan, o deban, modificarse los datos personales, se registrará el operador que los ha modificado, el momento en que lo hizo, los datos que había antes de la modificación y los que quedaron tras ella.

También se indicará la causa de la modificación y la forma exacta en la que se obtuvo el consentimiento del interesado, para la gestión de los datos o para la rectificación, en particular indicando si se explicó al usuario la finalidad de la obtención de los datos y el tratamiento que se les dará.

Forma de obtención de los datos

Si la obtención de los datos se realizó por medio de:

–formulario u otro documento escrito se adjuntará un enlace a su imagen digitalizada o un localizador del documento físico, que documenta la actuación.

–formulario web, se indicará tal circunstancia y el máximo de  datos posibles para demostrar la actuación: la IP desde la que se produjo el acceso, la resolución inversa de dominio, el valor de la cookie, de existir, el tipo de autenticación utilizado (usuario/password, teléfono móvil, certificado electrónico,…).

-si el acceso fue telefónico (lo que en nuestro caso será lo más frecuente) se adjuntarán los datos de contexto de que se disponga (identificador del número llamante, mecanismos de identificación utilizados por el operador, enlace a la digitalización de la grabación si se autorizó por el usuario y existe, o localizador de la grabación si se utiliza un sistema independiente.

Identificar siempre en nombre de quien se hace la llamada, que será la entidad  Responsable del Fichero o del Tratamiento.

Informar debidamente

De la forma más natural posible, y en el curso de la conversación, se dará indicación al usuario de las circunstancias por las que la entidad dispone de sus datos, de la importancia de que sean correctos, y de la  finalidad de la entidad al disponer de ellos.

Antes de concluir la llamada conviene indicar que la entidad es respetuosa con sus datos personales,  muy rigurosa en su gestión,  y la forma en la que el usuario puede ejercitar sus derechos.

¿QUÉ SON LAS LLAMADAS SPAM?

Spam telefónico son las llamadas a teléfono fijo o móvil con fines comerciales.

Se suele realizar sin petición ni autorización previa, además, es característico por la molestia, reiteración e incluso acoso que pueden llegar a causar.

Son muchas las empresas que hacen uso de esta agresiva estrategia comercial para la obtención de nuevos clientes.

El «spam» telefónico está relacionado con empresas de telecomunicación, entidades bancarias, compañías eléctricas o agencias de seguros.

Según el RGPD, las personas tienen derecho a estar informadas sobre:

• datos que recopilan,
• por qué los recopilan y
• cómo piensan utilizarlos.

Pero, esto no es todo.

Los particulares también tienen derecho a ser informados sobre:

• finalidades del tratamiento de sus datos y
• período durante el cual se almacenarán sus datos personales.

Por lo tanto, si no has obtenido su consentimiento en el momento en que has recogido sus datos personales, debes informarles en un plazo de 30 días a partir de la obtención de los datos, de que lo has hecho, y la razón por la que mantienes sus datos personales en tu sistema.

Según la normativa, además de explícito, el consentimiento tiene que ser:

• afirmativo,
• inequívoco,
• claro y
• distinguible de otros asuntos.

El lenguaje usado por las empresas en las cláusulas de privacidad debe ser “claro y comprensible” para los usuarios.

Por último, si vas a realizar llamadas comerciales o campañas de email márketing, debes consultar la lista Robinson. Esta es una herramienta que utilizan aquellas personas que no desean que sus datos, que están en fuentes accesibles al público, sean utilizados con fines publicitarios.

La entrada Call Center y RGPD se publicó primero en Gestiona Abogados.

MAS EJEMPLOS DE POLÍTICAS ORIENTADAS A LA PROTECCIÓN DE DATOS PERSONALES.

Seguimos hablando en este post de otras políticas orientadas a la protección de datos.

Recordemos que pensar en seguridad de datos y construir defensas desde el primer momento es de vital importancia.

Como continuación de las políticas de protección de datos que deberíamos implantar en nuestra organización podrían estar también:

Política de Transferencias Internacionales de Datos

Consistiría en identificar los supuestos de comunicaciones de datos hacia países terceros, finalidades y requisitos de la comunicación de datos.

Asimismo, y en su caso, el uso de normas corporativas vinculantes, clausulas contractuales tipo u otras garantías adecuadas.

Política de uso de correo electrónico

Estaría dirigida a definir los requisitos para el uso adecuado de los sistemas de correo electrónico de la organización y concienciar los usuarios sobre los usos aceptables e inaceptables de dichos sistemas.

Asimismo, sería conveniente implementar una política de retención de correos electrónicos, dirigida a establecer los requisitos de la información enviada o recibida por correo electrónico que debe ser retenida, y los plazos de retención.

Política de uso de internet para empleados

• Definir los estándares de los sistemas que monitorizan y limitan el uso de internet dentro de la red de la organización, los requisitos legales para su implementación, medios de información previa para los empleados, proporcionalidad de la monitorización y concienciación para los usuarios sobre el uso aceptable de internet en la organización y los riesgos de navegación.
• Establecer los estándares aceptables de uso y contenido de las redes sociales.  Puede referirse tanto al uso corporativo, como al uso personal de las redes sociales cuando se relacione con la organización.

Política de escritorios limpios

También deberíamos establecer los requisitos mínimos en entornos dónde se trata información sensible/crítica, confidencial.

Por ejemplo, que los documentos no estén nunca a la vista.  Si estás trabajando con un documento que pueda contener datos sensibles, y entra alguien en ese momento, darle la vuelta al documento, apagar la pantalla del ordenador, no tener en la mesa más documentos de los necesarios, etc.

Política de destrucción de documentos

Además, sería conveniente establecer las directrices y procedimientos para la destrucción segura de documentos previamente clasificados como “destruibles”, en seguimiento a otras políticas de protección de datos (como la política de conservación de la información).

Entre ellas, se pueden incluir los requisitos de contratación de terceros encargados de la destrucción de documentos.

Políticas de eliminación de equipos de tecnología

Esta política está orientada a definición de los requisitos para la eliminación adecuada de equipos electrónicos, incluidos los discos duros, unidades USB, CD-ROM y otros medios de almacenamiento que contienen o pueden contener datos personales, entre otra información igualmente sensible para la organización.

Política de evaluación de adquisiciones

Asimismo, deberíamos definir los procedimientos y responsabilidades relacionadas con la adquisición de equipos y sistemas, incluyendo los requisitos mínimos de seguridad que deben ser evaluados por el equipo de tecnologías de la información y otras partes interesadas antes de cualquier adquisición.

Política de concienciación sobre ingeniería social

Aparte de lo anterior, establecer los procedimientos y reglas para concienciar a los colaboradores de la organización en las técnicas de ingeniería social dirigidas a la obtención de accesos no autorizados a la información, incluyendo acciones preventivas y de denuncia sobre conversaciones, correos electrónicos o chats electrónicos que utilicen palabras o técnicas relacionadas con ingeniería social.

Políticas para la protección de contraseñas

En primer lugar sería necesario establecer las directrices para la construcción de contraseñas, con los requisitos que deben tener las mismas para acceder a los equipos y sistemas de la organización.

Seguidamente, habría que establecer los controles y obligaciones de los usuarios para proteger adecuadamente sus contraseñas, incluyendo procesos de recuperación o reporte, de robos o extravíos.

¿Por qué de qué sirve invertir en seguridad cuando los usuarios no se toman en serio su contribución a la protección de los datos corporativos? 

Es cierto que cada vez tenemos que emplear más contraseñas en nuestra vida diaria y que tememos no recordarlas o cometer errores al introducirlas provocando que el sistema nos deniegue el acceso.

Pero existen soluciones, como los gestores de contraseñas multiplataforma, que simplifican esta tarea.

Lo que la organización no debe permitir es que:

• Los usuarios empleen las mismas credenciales de inicio de sesión en varios sitios, práctica común al 60% de usuarios, pese a que un 90% entienden que estos hábitos son de alto riesgo.
• Se utilicen contraseñas básicas. Determinadas combinaciones son extremadamente vulnerables… y son las más comunes.

Tras el problema de seguridad sufrido por Yahoo!», se descubrió que las contraseñas más frecuentemente empleadas son «123456» y «000000».

Lo cierto es que muchas compañías están tardando en darse cuenta de que no es seguro el confiar únicamente en la protección que dan los nombres de usuario y contraseñas como forma única de control de acceso. 

A día de hoy no bastan estos mecanismos para proteger la información confidencial o los datos personales. 

Hace falta innovar continuamente en el enfoque de la autenticación puesto que la crisis de credenciales no ha hecho más que empezar.

La entrada PROTECCIÓN DE DATOS. POLÍTICAS (II) se publicó primero en Gestiona Abogados.

Las  transferencias internacionales de datos suelen hacerse,principalmente, por dos motivos:

1. El intercambio de datos de carácter personal, entre sociedades del mismo grupo, para gestionar la relación comercial con los clientes a la sociedad matriz, que puede situarse fuera de la Unión Europea.
2. El acceso por parte de la matriz y/ o envío desde las filiales a la misma sociedad de reports para la gestión integral del área de Recursos Humanos.

Es decir,  que el acceso remoto por parte de una sociedad establecida fuera de la UE, a datos de carácter personal de trabajadores o clientes de la UE, está considerado como transferencia internacional de datos.

Este escenario debe situarse en el contexto normativo actual donde la UE ha adoptado el RGPD con el objetivo de armonizar la legislación de los estados miembros y de ofrecer garantías comunes a los ciudadanos.

En este sentido, si bien es cierto que los flujos transfronterizos de datos personales son necesarios para la expansión del comercio y la cooperación internacional, la voluntad de la UE es la de no menoscabar el nivel de protección de las personas físicas, ofreciendo en la Unión las mismas garantías cuando los datos son transferidos fuera de esta.

¿Cuando se realizan las T.I.D.?

Como decíamos en nuestro anterior post, El RGPD establece un régimen basado en:

• Transferencias internacionales de datos basadas en una decisión de adecuación (artículo 45 RGPD).
• Transferencias mediante garantías adecuadas (artículo 46 RGPD)
• “Binding corporate rules” (artículo 47 RGPD)

Vamos a ver cada una de ellas:

Transferencias internacionales basadas en una decisión de adecuación

Una decisión de adecuación es una resolución adoptada por la  Comisión que garantiza que la transferencia internacional de datos posee un nivel de protección suficiente.

La Comisión podrá derogar, modificar o suspender cualquier decisión de adecuación sin efecto retroactivo.

Es decir,  podrán realizarse transferencias internacionales sin requerir ninguna autorización específica cuando la Comisión de la UE haya tomado una decisión de adecuación en relación con el tercer país o un territorio o un sector especificado del mismo, o con una organización internacional.

La Comisión de la UE también puede formalizar acuerdos de adecuación específicos y vinculantes entre la UE y otros terceros países que ofrezcan garantías adecuadas de protección de datos y del ejercicio de los derechos de los interesados.

El Escudo de Privacidad (Privacy Shield) entre la UE y EEUU, aprobado por la Comisión el 12 de julio de 2016, es un ejemplo.

Países con nivel adecuado de Protección de Datos

El RGPD contempla, en primer lugar, la posibilidad de que se pueda realizar una transferencia internacional de datos cuando la comisión haya decidido que el tercer país, territorio, sectores del país u organización internacional garanticen un nivel adecuado de protección.

En este caso, no se requerirá autorización previa  para realizar dicha transferencia.

A día de hoy, la Comisión ha aceptado la transferencia de datos a los siguientes Estados:

Por otro lado, no hay duda que las decisiones adoptadas con anterioridad a la entrada en vigor del RGPD –la mayoría- son válidas, en virtud del artículo 45.9 RGPD.

Si la transferencia internacional de datos es consecuencia de una prestación de servicios con destino a uno de estos países el encargado del tratamiento debe suscribir un contrato de prestación de servicios por tercero conforme a lo dispuesto en el art. 28 del RGPD.

En este punto hay que citar quizá la resolución judicial más importante que ha adoptado, en materia de protección de datos de carácter personal, el Tribunal de Justicia de la Unión Europea (asunto C-362/14).

Este tribunal consideró ilegal el acuerdo entre Europa y Estados Unidos a raíz de una filtración de Edward Snowden. En concreto, en su nota de prensa posterior al fallo determinó que: “ El Tribunal de Justicia estima que la existencia de una Decisión de la Comisión que declara que un país tercero garantiza un nivel de protección adecuado de los datos personales transferidos, no puede dejar sin efecto ni limitar las facultades de las que disponen las autoridades nacionales de control en virtud de la Carta de los Derechos Fundamentales de la Unión Europea”.

A raíz de esta decisión –quizá inesperada- del Tribunal de Justicia de la Unión Europea, la Comisión Europea y los Estados Unidos llegaron a un acuerdo, 8 meses después, en el que se considera que aquellas organizaciones que están adscritas al “Privacy Shield”, cumplen a prori la adecuación exigida.

Transferencias internacionales mediante garantías adecuadas

En ausencia de una decisión de adecuación, solo se podrán realizar transferencias internacionales a terceros países que ofrezcan garantías adecuadas de protección de datos y que dispongan de recursos legales para ejercer los derechos de los interesados.

En estas ocasiones tampoco es necesaria la autorización administrativa de la autoridad de control (en España, la Agencia Española de Protección de Datos).

Dichas garantías deberán ser demostradas mediante:

• Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.
• Normas corporativas vinculantes.
• Cláusulas tipo de protección de datos adoptadas por la Comisión.
• Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión.
• Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas laS relativas a los derechos de los interesados,
• Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.

“Binding corporate rules” o normas corporativas vinculantes

Las normas corporativas vinculantes (Binding Corporate Rules) son la herramienta elegida por la mayoría de empresas con flujos de datos internacionales habituales, dado que establecen los parámetros para la transferencia internacional de datos de forma única para todas las empresas de la compañía en todas las transferencias de datos de carácter personal.

De esta forma, es la empresa es quien, siguiendo los requisitos exigidos por la normativa vigente, elabora estas normas y las presenta a la Autoridad de Control en materia de Protección de Datos para su aprobación.

Las normas corporativas vinculantes no son fruto del nuevo RGPD, sin embargo, su contenido ha devenido más claro y exigente.

En este sentido, el artículo 47 RGPD establece que la autoridad de control aprobará normas corporativas de carácter vinculante a las que se podrán unir los grupos de empresas, permitiendo salvaguardar la transferencia de datos.

Los elementos imprescindibles de las futuras normas corporativas vinculantes tendrán tres requisitos esenciales.

• ser cumplidas por todos los miembros del grupo empresarial o unión de empresas
• conferir a los interesados derechos exigibles
• cumplir las formalidades tasadas en el artículo 47.2 RGPD.

Excepciones para situaciones específicas

El RGPD prevé una serie de supuestos donde se podrán realizar las transferencias internacionales de datos sin que se den los supuestos anteriores tales como:

-El interesado ha dado su consentimiento explícitamente

Debe haber sido informado fehacientemente de los riesgos debidos a la ausencia de garantías adecuadas de protección de datos.

Algunos ejemplos de transferencias internacionales de datos por interés del interesado pueden ser los servicios en la nube (Internet), los seguros de viaje, los tratamientos médicos en países fuera de la UE, etc.

-Es necesaria para la ejecución de un contrato o pre-contrato entre el Responsable y el interesado.

-Es necesaria para la ejecución de un contrato por interés del interesado, entre el Responsable y otra persona física o jurídica.

-Es necesaria para proteger los intereses vitales del interesado u otras personas, cuando esté física o jurídicamente incapacitado para dar su consentimiento.

-La transferencia es necesaria por razones importantes de interés público.

• Sea necesaria para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial.
• Se realice desde un registro público legal que tenga por objeto facilitar información al público en general o a cualquier persona que pueda acreditar un interés legítimo y no implique la consulta de la totalidad de los datos personales o de las categorías de datos.
• La transferencia es necesaria para la formulación, el ejercicio o la defensa de reclamaciones.

-Por interés legítimo e imperioso del Responsable o Encargado del tratamiento

Las transferencias internacionales podrán ser lícitas por un interés legítimo e imperioso del Responsable o Encargado del tratamiento, siempre y cuando se cumplan todas las siguientes condiciones:

• La transferencia no sea repetitiva y afecte un número limitado de interesados.
• El interés legítimo del Responsable no quede anulado por los intereses o derechos y libertades del interesado.
• Se realice una evaluación de impacto y se hayan puesto en práctica las garantías adecuadas de protección.
• El responsable del tratamiento deberá de informar a la Autoridad de control de la transferencia efectuada, además informará de la transferencia al interesado y de los fines imperiosos perseguidos.

Como vemos, el RGPD es el resultado de un avance legislativo de la antigua legislación comunitaria, adentrándose en un mundo completamente global y digitalizado.

Las transferencias internacionales de datos son la pieza clave que pivotan el giro de paradigma de este Reglamento: por un lado, buscan la protección del individuo y, por otro, el correcto tráfico mercantil de una sociedad y economía del siglo XXI.

Finalmente, si bien es cierto que dentro del mercado español ha habido un alto porcentaje de cumplimiento y preocupación en relación con las obligaciones contenidas en la nueva normativa, la realidad es que muchas empresas aún desconocen la necesidad de regulación de estos aspectos que conforman una más de las obligaciones exigibles por la normativa europea.

Ejemplo práctico

Cuando contratamos un seguro internacional de viaje, la aseguradora podrá ceder nuestros datos personales a las empresas que nos den la cobertura en el país de destino?

Al contratar un seguro facilitamos nuestros datos a la aseguradora.

Por lo tanto, ésta será la empresa Responsable del tratamiento de nuestros datos.

Las empresas re aseguradoras o que ofrezcan la cobertura de los siniestros asegurados deberán tener un contrato como Encargadas del tratamiento con la aseguradora que nos ofrece el servicio.

Hasta aquí todo correcto, porque la ley permite este trámite en países donde la Comisión de la UE establece que existen garantías apropiadas de protección de datos, con la única condición de informar al interesado (persona que contrata el seguro) de la finalidad del tratamiento y de la cesión de datos a otros destinatarios ubicados en estos países para dar cobertura a los siniestros asegurados.

¿Qué pasa cuando los países de destino están ausentes de una decisión de adecuación de la Comisión de la EU?

En este caso, sólo se podrán hacer transferencias internacionales de datos cuando:

• este tratamiento se refleje en un documento jurídicamente vinculante
• documento firmado por ambas partes
• documento donde el interesado dé su consentimiento a la transferencia de sus datos a estos países
• documento donde se informe al interesado claramente de los riesgos debidos a la ausencia de una decisión de adecuación de la UE o de garantías adecuadas de protección ofrecidas por los destinatarios de los datos.

Gestiona Abogados

La entrada T.I.D. ¿CUANDO SE PUEDEN REALIZAR? se publicó primero en Gestiona Abogados.

Las transferencias internacionales de datos son, hoy en día y en una sociedad globalizada, un elemento clave e imprescindible para la prestación de servicios.

Se produce cuando los datos personales que son tratados por un responsable o un encargado del tratamiento en el Espacio Económico Europeo (países de la Unión Europea, Islandia, Liechtenstein y Noruega) son enviados a un tercer país u organización internacional, fuera de dicho territorio.

En la actualidad, con las mejoras informáticas y todas las herramientas en la nube, es imprescindible que la regulación de la protección de datos no deje desprotegidos aquellos datos más allá de nuestras fronteras comunitarias.

Así pues, podríamos decir que la transferencia internacional de datos es uno de los elementos más importantes de la ley y, en un futuro, quizá será el mayor.

Una pequeña pero importante novedad en el RGPD es que  el exportador de los datos podrá ser tanto el responsable como encargado del tratamiento.

Con esta apreciación, se elimina la barrera que habían puesto algunos Estados Miembros en los que el exportador debía ser siempre el responsable.

¿Cuando se puede realizar una TID?

Solo se podrán realizar transferencias internacionales de datos si el Responsable o Encargado del tratamiento pueden asegurar que el nivel de protección de datos está garantizado mediante:

• Transferencias internacionales de datos basadas en una decisión de adecuación (artículo 45 RGPD).
• Transferencias mediante garantías adecuadas (artículo 46 RGPD)
• “Binding corporate rules” (artículo 47 RGPD)

En cualquier caso, se deberá suscribir el correspondiente contrato con el receptor de datos, sea Destinatario de datos o Encargado del tratamiento, especificando en el mismo las garantías apropiadas de protección de datos en que se basa la transferencia.

Obligaciones en transferencias internacionales de datos

Registro de las actividades del tratamiento (artículo 30, apartado 1.e)

El Responsable o Encargado del tratamiento tendrán la obligación de llevar y conservar actualizado un Registro de las actividades del tratamiento cuando:

• Emplee a un mínimo de 250 personas
• Pueda suponer un riesgo para los derechos y libertades del interesado y no tenga un carácter ocasional
• Se traten categorías especiales de datos
• Se traten datos relativos a condenas y delitos penales

El Registro de actividades deberá contener, entre otra información, la identificación de las transferencias internacionales de datos a terceros países o a organizaciones internacionales con documentación de las garantías adecuadas de protección que se hayan adoptado.

Información y comunicación a los interesados (artículo 13, apartado 1.f)

El Responsable del tratamiento deberá informar al interesado de la intención de realizar transferencias internacionales, detallando la existencia o ausencia de una decisión de adecuación con una referencia a las garantías adecuadas y a los medios para obtener copia de ellas o al momento en que se hayan facilitado las mismas.

Ejercicio de los derechos de los interesados (artículo 15, apartado 2)

Cuando exista una comunicación de datos a un Destinatario ubicado fuera de la UE, el Responsable del tratamiento posibilitará y dará curso al ejercicio del derecho de acceso informando al interesado de los Destinatarios o categorías de destinatarios internacionales.

Cuando exista un encargo del tratamiento a una organización ubicada fuera de la UE, el Responsable del tratamiento posibilitará y dará curso al ejercicio del derecho de acceso informando de las garantías adecuadas de protección de datos aplicadas.

¿Se pueden transferir datos personales a países no seguros con la autorización del interesado?

El Responsable del tratamiento podrá realizar transferencias de datos personales a terceros países u organizaciones internacionales que no posean una decisión de suficiencia de la UE, cuando el tratamiento sea por interés del interesado y éste haya dado explícitamente su consentimiento para una finalidad específica y se le informe adecuadamente de los posibles riesgos debidos a la ausencia de una decisión de suficiencia o de garantías apropiadas.

Por tanto, el interés del interesado para realizar dichas transferencias solo será lícito si el tratamiento se realiza para:

• La ejecución de un contrato o pre-contrato entre el interesado y el Responsable del tratamiento.
• La ejecución de un contrato por interés del interesado, entre el Responsable del tratamiento y otra persona física o jurídica.
• Proteger los intereses vitales del interesado u otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.

¿Se debe especificar la transferencia internacional en la estructura del fichero?

Cuando una transferencia se realiza  exclusivamente por interés del interesado y contempla los supuestos lícitos antes citados, no se debe comunicar en la notificación del fichero a la AEPD.

El sistema NOTA solo permite registrar las transferencias a terceros países diferenciando si tienen un nivel adecuado de protección según decisión de la U.E. o con autorización de la AEPD.

Si la transferencia se considera una comunicación de datos a un DESTINATARIO, se debería anotar en el apartado de cesiones de datos como “otras cesiones”.

Si la transferencia se considera un tratamiento por cuenta del Responsable, no se detallará en la estructura del fichero porque se trata de una prestación de servicios. Deberá añadirse al registro de Encargados de tratamiento y suscribir el correspondiente contrato de protección de datos.

Autorización para realizar la transferencia internacional de datos

Sólo será necesaria la autorización de la Agencia Española de Protección de Datos para realizar una transferencia internacional cuando las garantías adecuadas para realizarla se basen en:

• Cláusulas contractuales entre el responsable o encargado y el responsable, encargado o destinatario de los datos en el país u organización internacional. Deberá someterse también al mecanismo de coherencia del art. 63 del RGPD.
• Disposiciones que se incorporen a acuerdo administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

Procedimiento de solicitud de autorización para realizar la transferencia internacional de datos

1. El procedimiento se inicia a solicitud del exportador interesado en realizar la trasferencia.
2. Se podrá requerir al solicitante que complete o modifique la documentación presentada en el plazo de 10 días LPACAP.
3. Trámite de información pública con carácter potestativo (10 días).
4. La Directora de la AEPD resolverá, si resuelve autorizar la transferencia se procederá a su inscripción.
5. El plazo máximo para dictar y notificar resolución es de 3 meses desde la fecha de entrada de la solicitud en la agencia. Si no se hubiese distado y notificado resolución expresa en dicho plazo, se entenderá autorizada la transferencia internacional.

Autorizaciones anteriores a la aplicación del RGPD

Las autorizaciones otorgadas por la AEPD antes de la aplicación del RGPD siguen siendo válidas, mientras que la agencia no proceda a la derogación, sustitución o modificación de las mismas.

En cualquier caso, si se quisiera realizar una nueva transferencia internacional por entidades autorizadas previamente, se aplicarán las reglas que contempla el RGPD al respecto.

La entrada TRANSFERENCIA INTERNACIONAL DE DATOS (TID) se publicó primero en Gestiona Abogados.

Una Transferencia Internacional de Datos de carácter personal se produce cuando dichos datos son transmitidos fuera de las fronteras del Espacio Económico Europeo.  Dependiendo del país de destino, se requerirá la autorización previa de la autoridad de control. En España es la Agencia Española de Protección de Datos (AEPD).

¿Se puede realizar una T.I.D. si no lo autoriza la Autoridad de Control?

Si. En caso de que la transferencia internacional se realice a un país no autorizado por la autoridad de control, existen “normas corporativas vinculantes” o “contratos tipo” que harían posible la realización de estas transferencias.

En Gestiona Abogados estamos cualificados para la redacción y presentación de estas normas corporativas,  o contratos tipo, que nos van a permitir la realización de  transferencias internacionales, sin riesgos, y con las adecuadas garantías para los interesados en los datos de carácter personal.

Pincha aquí para saber más sobre las T.I.D..

El equipo de Gestiona Abogados está perfectamente capacitado para preparar todos los aspectos previos a realizar ante una transferencia internacional de Datos.

Pincha aquí si necesitas más información de en qué casos está permitido realizar una T.I.D.

La entrada TRANSFERENCIAS INTERNACIONALES DE DATOS (T.I.D) se publicó primero en Gestiona Abogados.