Las transferencias internacionales integran un aspecto bastante complejo en cuanto a la protección de datos de carácter personal se refiere. Puesto que no en todos los casos se asegura la seguridad de los mismos.
Se puede entender como transferencia internacional de datos a todo tratamiento que se transfieran fuera del Espacio Económico Europeo. Como norma general, dichas transferencias queda restringida a ciertas garantías, circunstancias y aspectos que veremos a continuación. La más importante es que el país al que se exporten cuente con un nivel de protección de datos adecuado.
Nivel de seguridad adecuado y países que lo aseguran.
El nivel de protección adecuado, con la aplicación de la LOPD era evaluado por el Director de la AEPD o por la Comisión Europea, a día de hoy, con la aplicación del Reglamento, este aspecto queda integrado exclusivamente dentro de las funciones de la institución europea. Lo que se suele establecer es un sistema de “listas blancas” donde se incluyen los países que ofrecen este tipo de protección.
Se entiende transferencia internacional de datos todo tratamiento fuera del Espacio Económico Europeo (EEE)
Se entiende como países con un nivel de protección de datos adecuados todos aquellos que tengan una legislación al respecto semejante o equiparable a la de los países que se encuentran dentro del Espacio Económico Europeo (a partir de ahora “EEE”).
En base a este requisito, cumplen con la exigencia de nivel de protección adecuado los países del EEE (Unión Europea, Islandia, Liechtenstein y Noruega) y aquellos países que la Comisión Europea ha calificado como aptos (Suiza, Canadá Argentina, Guernesey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay y Nueva Zelanda).
También hay que señalar la aprobación de la Decisión de 12 de julio de 2016 Pursuant to Directive 95/46/CE of the European Parliament and of the Council on the adequacy of te protection provided by the EU-U.S. Privacy Shield. Esta norma internacional ha sido firmada entre Estados Unidos y la Comisión Europea, donde se establece que será posible realizar transferencias internacionales de datos entre el EEE y organizaciones ubicadas en Estados Unidos sin que sea necesario obtener la previa autorización por parte de las autoridades de control.
Nivel de seguridad no adecuado.
Para llevar a cabo una transferencia internacional de datos a los países que no muestren este nivel de seguridad, no es necesario disponer de una autorización previa, a diferencia de la regulación anterior.
Conforme a la LOPD, se tenía que solicitar y obtener la autorización del Director de la autoridad de control competente, en caso de España la AEPD, anterior a cualquier tratamiento de datos. Aunque actualmente se aplicará este requerimiento cuando las garantías se aporten a través de un contrato ad hoc o de un acuerdo administrativo entre autoridades públicas (no incluida la notificación a la autoridad de control), a no ser que se ampare en el interés legitimo imperioso del responsable de tratamiento y se cumplan los demás requisitos del RGPD.