• Cristina Prados

LES POLÈMIQUES TRANSFERÈNCIES INTERNACIONALS DE DADES

L'escàndol dels últims dies amb relació a la invalidació del Privacy Shield, ens porta aquesta setmana a parlar de les transferències internacionals de dades personals i la seva regulació al Principat.


Les transferències internacionals de dades, es regulen als articles 35 a 37 de la Llei 15/2003, del 18 de desembre, qualificada de protecció de dades personals (d'ara endavant «LQPD»), i al Capítol V del Reglament Europeu de Protecció de Dades (d'ara endavant «GDPR»).


Tal com ha estat definit per l'Agència de Protecció de Dades Andorrana (d'ara endavant «ADPA») una transferència internacional "és tota comunicació de dades, o bé tot accés a les dades per part d'un prestador de serveis de dades personals, quan els destinataris de la comunicació o bé els prestadors de serveis estiguin domiciliats a l'estranger, o emprin mitjans de tractament de dades personals ubicats a l'estranger per a la comunicació de les dades o per a la prestació del servei".

La Llei andorrana prohibeix expressament la comunicació internacional de dades quan el país de destinació no estableix un nivell de protecció equivalent al que garanteix la normativa andorrana.


En aquest sentit, quan una empresa pretén realitzar transferències internacionals de dades personals, ha d'assegurar-se que, o bé el país de destinació és membre de la Unió Europea, o bé es tracta d'un país declarat per la Comissió de les Comunitats Europees com a un país de protecció equivalent, o declarat com a tal per la nostra autoritat de controls, l'APDA.

Fora d'aquests casos, s'entén que la transferència internacional de dades no garantiria els estàndards mínims de seguretat per a la protecció de les dades personals dels interessats, i per tant l'empresa no estaria legitimada per portar-la a terme.


Així i tot, la normativa estableix diverses excepcions a aquestes prohibicions que s'hauran d'interpretar de manera estricta i restrictiva, perquè la seva aplicació no provoqui cap vulneració dels drets de la persona, en particular del dret a la intimitat. Entre aquestes excepcions, trobem:

  • Quan es faci amb el consentiment inequívoc de la persona interessada;

  • quan es faci d'acord amb convenis internacionals dels quals el Principat d'Andorra sigui part;

  • quan es faci a efectes d'auxili judicial internacional, o per al reconeixement, l'exercici o la defensa d'un dret en el marc d'un procediment judicial;

  • quan es faci per a la prevenció o diagnosi mèdiques, assistència sanitària, prevenció o diagnosi social o per l'interès vital de la persona interessada;

  • quan es faci amb motiu de remeses bancàries o transferències de diners;

  • quan sigui necessària per a l'establiment, l'execució, el compliment o el control de relacions jurídiques o obligacions contractuals entre la persona interessada i el responsable del fitxer;

  • quan sigui necessària per preservar l'interès públic;

  • i/o, quan sigui de dades que provinguin de registres públics o es faci en compliment de les funcions i finalitats dels registres públics.

Tot i això, i en qualsevol cas, si la transferència internacional de dades no compleix amb els requisits mínims de seguretat a què hem fet referència, o no es troba emparada en cap dels supòsits exceptuats per la Llei, correspondrà a l'APDA confirmar la validesa de les comunicacions internacionals de dades personals a països que tenen una legislació que no ofereix un nivell de protecció equivalent a la llei andorrana, a consulta dels responsables dels tractaments. L'Agència avaluarà el caràcter adequat del nivell de protecció que ofereix el país de destinació atenent totes les circumstàncies que concorren en la transferència o la categoria de transferència de dades.


Per últim, i a l'efecte de poder dur a terme una transferència internacional de dades, els articles 45 i 46 del GDPR estableixen les garanties adequades de protecció, casos en que no es requereix una autorització de l'autoritat de protecció de dades personals per a poder realitzar la transferència internacional de dades. Aquestes garanties són les següents:

  • Una decisió d'adequació de la Comissió Europea en virtut de la qual s'hagi decidit que un tercer país, un territori, un sector específic, o una organització internacional garanteixen un nivell de protecció adequat;

  • Un instrument jurídicament vinculant i exigible entre autoritats o organismes públics;

  • Les normes corporatives vinculants, aprovades per l'autoritat de protecció de dades competent;

  • Les clàusules contractuals tipus de protecció de dades adoptades per la Comissió Europea o per l'autoritat de protecció de dades que sigui competent;

  • Un codi de conducta aprovat en virtut del GDPR, acompanyat per compromisos vinculants i exigibles al responsable o encarregat del tractament en el tercer país d'aplicar garanties adequades en matèria de protecció de dades;

  • o, Una certificació aprovada en virtut del GDPR, acompanyada per compromisos vinculants i exigibles al responsable o encarregat del tractament en el tercer país d'aplicar garanties adequades en matèria de protecció de dades.

Tel. +376 808 178

Mail. info@klabcompliance.com

Web. https://www.klabcompliance.com/

LinkedIn. https://www.linkedin.com/company/klab-compliance-solutions/


Cristina Prados Ruiz, Assessora Corporate Compliance.

 

©2020 por Mi Sitio. Creada con Wix.com