transferencias internacionales de datos y su relación con ... · efectos de los artículos 25 y 26...
Post on 01-Aug-2020
2 Views
Preview:
TRANSCRIPT
1Agencia Española de Protección de Datos
Transferencias Internacionales de datos y su relación con la
adecuación de la Unión Europea
SEMINARIO REGIONAL DE PROTECCION DE DATOSMontevideo, Uruguay, 1Montevideo, Uruguay, 1-- 4 de junio de 20104 de junio de 2010
Rafael García Gozalo
2Agencia Española de Protección de Datos
Transferencias internacionales en el RGPD
Atención telefónica a los clientes
Acciones de marketing telefónico dirigidas a la medición del grado de satisfacción de los clientes
Centralización de la gestión de recursos humanos y de proyectos internacionales en el marco de una compañía multinacional
Gestión, mantenimiento y soporte técnico de las bases de datos de clientes y proveedores y como parte de una política global del Grupo
Prestación de servicios de apoyo administrativo a efectos de beneficiarse de economías de escala, así como de una creciente calidad del servicio, oportunidad y exactitud en virtud de una iniciativa global
3Agencia Española de Protección de Datos
Regulación Internacional
Normas internacionales de obligado cumplimiento:– Convenio 108 del Consejo de Europa (art. 12)– Protocolo adicional del Convenio (art. 2)– Directiva 95/46/CE (arts. 25 y 26)
Otros:– Directrices OCDE (parte III)– Sentencia Lindqvist– Directrices de ámbito regional (Red
Iberoamericana, APEC...)– Estándares internacionales
Relevancia de los documentos del Grupo del artículo 29
4Agencia Española de Protección de Datos
Regulación Interna ESP
LOPD (arts. 33 y 34)
Reglamento LOPD (RD 1720/2007) Título VII
Derogadas desde 19 de abril de 2008•Real Decreto 1332/1994 (Capítulo II)•Instrucción 1/2000 de la AEPD
5Agencia Española de Protección de Datos
Concepto de transferencia internacional
Regulación anterior (Instrucción 1/2000)• Toda comunicación de datos fuera de territorio español
Normativa comunitaria• Referencia a “país tercero”• Transferencia en el seno de la UE y del EEE supone movimiento
internacional de datos, no transferencia internacional a los efectos de los artículos 25 y 26 de la Directiva 95/46CE
• Considerandos 7 a 9: Fundamento de la Directiva es la garantía de la libre circulación de los datos en el ámbito de la UE, armonizando las normas de protección de datos
Consecuencia. Aclaración de la definición por el Reglamento. Transferencia es un tratamiento de datos que supone
• Transmisión de los mismos fuera del territorio del EEE, • Constituye una cesión o comunicación de datos, o• Tiene por objeto la realización de un tratamiento de datos por
cuenta del responsable del fichero establecido en territorio español
6Agencia Española de Protección de Datos
Principio básico = Condiciones previas
La transferencia internacional de datos no exime de la aplicación previa de la LOPD y del Reglamento
Existe un tratamiento de datos en territorio español previo a la transferencia internacional
• principios de calidad de los datos y finalidad• información al afectado• consentimiento para el tratamiento, y en su caso para la cesión
de datos• facilitar el ejercicio de los derechos de acceso, rectificación,
cancelación y oposición• notificación del fichero…
La cesión o transmisión a un encargado del tratamiento que implica la transferencia debe ser conforme a la LOPD, como si se produjese en territorio español
7Agencia Española de Protección de Datos
Supuestos
Sin autorización•Por nivel adecuado de protecciónreconocido por
Decisión de la AEPDDecisión de la Comisión
•Otros supuestos del artículo 34 LOPDAutonomía de la voluntadInterés públicoAcceso a la información
Con autorización del Director de la AEPD•Claúsulas contractuales tipo•Binding Corporate Rules (BCR)
8Agencia Española de Protección de Datos
Adecuación
• Modelo típicamente europeo
• Otras opciones• La “accountability” canadiense
9Agencia Española de Protección de Datos
Nivel adecuado de protección
Requisitos• Mecanismos de protección de datos en el país de destino• Garantías para el ejercicio de los derechos de los afectados• Autoridad de protección de datos que vele por la legalidad
del tratamiento en el país de destino
Objetivo• Mantener nivel de protección en destino• Evitar transferencias sucesivas de datos a otros países sin
nivel adecuado de protección
Criterios• Basados en el artículo 25.2 de la Directiva• Documento WP12 del Grupo del Artículo 29
10Agencia Española de Protección de Datos
Nivel adecuado: Criterios
En general: circunstancias que concurran en la transferencia o categoría de transferencia de datos En particular:• Naturaleza de los datos • Finalidad y la duración del tratamiento o de los
tratamientos previstos • País de origen y país de destino final • Normas de Derecho, generales o sectoriales • Informes de la Comisión de la Unión Europea• Normas profesionales• Medidas de seguridad en vigor
(Artículo 33.2 LOPD y 25.2 Directiva 95/46/CE)
11Agencia Española de Protección de Datos
Algunas consideraciones
De la Directiva se desprende que:
La declaración (de adecuación o no adecuación) puede proceder de:
•Comisión•Estados miembros (no se ha dado el caso)
Pueden declararse adecuados: •Países•Uno o varios tratamientos (hay precedentes) •Determinados sectores (hay precedentes)
12Agencia Española de Protección de Datos
Documentos relevantes en relación con el contenido esencial de las normas
Directiva 95/46/CEDirectrices OCDE (1980)Directrices NNUU (1990)Marco de privacidad APEC (2005)Directrices para la armonización de la protección de datos en la Comunidad Iberoamericana• Estudiadas en el Seminario Iberoamericano de Protección
de Datos de Cartagena de Indias (mayo 2007)• Adoptadas en el V Encuentro Ibérico de protección de datos
(Lisboa, noviembre 2007)Novedad: Estándares internacionales de Privacidad. Resolución de Madrid (noviembre 2009)
13Agencia Española de Protección de Datos
WP 12 - Criterios para la adecuación
Principios generales • Limitación de la finalidad• Calidad y proporcionalidad de datos• Información a los interesados• Seguridad y deber de secreto• Derechos de acceso, rectificación y cancelación• Restricciones a las transferencias ulteriores
Principios específicos • Reglas especiales para datos “sensibles”• Derecho de exclusión en caso de marketing• Decisiones individuales automatizadas
Requisitos de funcionamiento del sistema = ¿Autoridad independiente?
• Nivel adecuado de cumplimiento de normas• Apoyo y asistencia a interesados• Acceso a vía de recurso para casos de incumplimiento
14Agencia Española de Protección de Datos
Procedimiento
InformacionComision
NegociacionComision
PropuestaNO ADECUACION
Comision
Solicitud Estado
Informe externo
Informacion EM
?
Dictamen WP29
Dictamen C31
DECISION COM
Necesidad de coincidencia
Escrutinio PE
Dictamen WP29
PropuestaADECUACION
Comision
Dictamen C31
Dictamen C31
15Agencia Española de Protección de Datos
Supuestos con nivel adecuado - COM
Suiza (2000)Estados Unidos, principios de “Safe Harbour” para la protección de la vida privada y las correspondientes FAQspublicadas por el Departamento de Comercio (2000) Canadá, protección de los datos personales conferida por la Personal Information and Electronic Documents Act (PIPEDA) (2001)Argentina (2003) Guernsey (2003)Isla de Man (2004)Jersey (2008)Islas Feroe (2010)Pendientes de publicación pero con dictamen WP favorable:• Israel (documento WP165, de 1 de diciembre de 2009.
Sólo en caso de tratamiento automatizado)• Andorra (documento WP166, de 1 de diciembre de 2009)
Actualmente en trámite: Uruguay y Nueva Zelanda
16Agencia Española de Protección de Datos
Supuestos con nivel adecuado - AEPD
Posible decisión del Director de la AEPD
Resolución motivadaMismos criterios que enunciados en DirectivaPublicación en el BOEPublicación periódica de la lista de paísesNo adoptada ninguna resolución hasta ahora
17Agencia Española de Protección de Datos
Suspensión temporal de transferencias a países con nivel adecuado de protección
Base legal: Decisiones de adecuaciónFundamento: cesación de las condiciones que justifican la consideración del sistema como adecuadoSupuestos• Resolución de la autoridad competente sobre la vulneración
por el importador de las normas de protección de datos establecidas en su derecho interno.
• Por riesgo de vulneración, cuando:Indicios racionales de vulneración por el importador Autoridades competentes en el Estado del importador no han adoptado o no van a adoptar medidas Existe previa advertencia a las autoridades por la AEPDLa continuación de la transferencia puede generar un riesgo inminente de grave perjuicio a los afectados
18Agencia Española de Protección de Datos
Procedimiento de autorización o notificación
Nivel adecuado
TERCEROS PAÍSES
BCR’s
Situaciones reguladas en el artículo 34 LOPD
Notificación alRegistro General
Autorización del Director de la AEPD
Inscripción en el RGPD
Publicación en el catálogo de
ficheros www.agpd.es
Publicación de la resolución www.agpd.es
19Agencia Española de Protección de Datos
Notificaciones
4.9382.015 2.759 3.761
5.912 6.337 6.5196.468
16.953
8.8388.311
6.9455.124
3.4932.614
17.492
02.0004.0006.0008.000
10.00012.00014.00016.00018.00020.000
2002
2003
2004
2005
2006
2007
2008
31/1
2/20
09
EEE Nivel adecuado y derogaciones art. 34 LOPD
N
20Agencia Española de Protección de Datos
Autorizaciones
405
174131
8566
1913112
277
0
50
100
150
200
250
300
350
400
45020
00
2002
2004
2006
2008
31/1
2/20
09
top related