Transferencia Internacional de Datos

El Capítulo V del RGPD (Artículos 44-50) establece normas estrictas que rigen la transferencia de datos personales a países situados fuera del Espacio Económico Europeo (EEE) o a organizaciones internacionales. El principio fundamental es que el nivel de protección garantizado por el RGPD no debe verse menoscabado cuando los datos salen del EEE.

El mecanismo principal para las transferencias lícitas es una decisión de adecuación de la Comisión Europea (Artículo 45), que certifica que un tercer país garantiza un nivel adecuado de protección de datos. Los países con decisiones de adecuación incluyen Andorra, Argentina, Canadá (para organizaciones comerciales), Israel, Japón, Nueva Zelanda, Corea del Sur, Suiza, el Reino Unido, Uruguay y Estados Unidos (en el marco del EU-US Data Privacy Framework adoptado en julio de 2023). Las transferencias a países adecuados pueden realizarse sin garantías adicionales.

En ausencia de una decisión de adecuación, los responsables y encargados pueden transferir datos utilizando garantías adecuadas (Artículo 46), principalmente Cláusulas Contractuales Tipo (CCT) adoptadas por la Comisión Europea, Normas Corporativas Vinculantes (NCV) para transferencias intragrupo, o códigos de conducta y mecanismos de certificación aprobados. Tras la sentencia Schrems II del Tribunal de Justicia de la UE, las organizaciones que se amparen en las CCT deben realizar una Evaluación de Impacto de la Transferencia (TIA) para valorar si el marco jurídico del país receptor proporciona una protección esencialmente equivalente.

Las implicaciones prácticas de las normas sobre transferencias internacionales son significativas para las organizaciones que utilizan servicios en la nube, sistemas informáticos globales o proveedores de servicios internacionales. Muchos servicios de IA y aprendizaje automático implican transferencias de datos a terceros países, lo que convierte el cumplimiento de las normas de transferencia en una consideración crítica para las organizaciones que despliegan sistemas de IA que tratan datos personales. El incumplimiento de los requisitos de transferencia puede dar lugar a multas de hasta 20 millones de euros o el 4 % del volumen de negocios anual mundial.