RGPD El artículo 46 permite la transferencia de datos a otro país u organización internacional sin una "decisión de adecuación" (ver artículo 45).
La mayoría de los países que pueden recibir datos del Reino Unido o de la UE no cuentan con sus propios marcos de protección de datos, por lo que el Artículo 46 juega un papel importante para garantizar los derechos y libertades de los ciudadanos naturalizados en una economía global.
Transferencias sujetas a salvaguardias adecuadas
- A falta de una decisión de conformidad con el artículo 45, apartado 3, un responsable o un encargado podrá transferir datos personales a un tercer país o a una organización internacional sólo si el responsable o el encargado ha proporcionado las garantías adecuadas, y siempre que se respeten los derechos exigibles del interesado y existen recursos legales efectivos para los interesados.
- Las salvaguardias adecuadas a que se refiere el apartado 1 podrán establecerse, sin necesidad de autorización específica de una autoridad de control, mediante:
- (a) un instrumento jurídicamente vinculante y ejecutable entre autoridades u organismos públicos;
- (b) normas corporativas vinculantes de conformidad con el artículo 47;
- c) cláusulas tipo de protección de datos adoptadas por la Comisión de conformidad con el procedimiento de examen a que se refiere el artículo 93, apartado 2;
- d) cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión con arreglo al procedimiento de examen a que se refiere el artículo 93, apartado 2;
- e) un código de conducta aprobado de conformidad con el artículo 40, junto con compromisos vinculantes y ejecutables del responsable o encargado del tratamiento en el tercer país de aplicar las salvaguardias adecuadas, también en lo que respecta a los derechos de los interesados; o
- f) un mecanismo de certificación aprobado de conformidad con el artículo 42, junto con compromisos vinculantes y ejecutables del responsable o encargado del tratamiento en el tercer país de aplicar las salvaguardias adecuadas, también en lo que respecta a los derechos de los interesados.
- Previa autorización de la autoridad de control competente, las salvaguardias adecuadas a que se refiere el apartado 1 también podrán establecerse, en particular, mediante:
- (a) cláusulas contractuales entre el responsable o el encargado del tratamiento y el responsable, el encargado del tratamiento o el destinatario de los datos personales en el tercer país u organización internacional; o
- (b) disposiciones que se insertarán en acuerdos administrativos entre autoridades u organismos públicos que incluyan derechos de los interesados exigibles y efectivos.
- La autoridad de control aplicará el mecanismo de coherencia a que se refiere el artículo 63 en los supuestos previstos en el apartado 3 de este artículo.
- Las autorizaciones concedidas por un Estado miembro o una autoridad de control con arreglo al artículo 26, apartado 2, de la Directiva 95/46/CE seguirán siendo válidas hasta que dicha autoridad de control las modifique, sustituya o derogue, si es necesario. Las decisiones adoptadas por la Comisión sobre la base del artículo 26, apartado 4, de la Directiva 95/46/CE permanecerán en vigor hasta que sean modificadas, sustituidas o derogadas, si es necesario, por una Decisión de la Comisión adoptada de conformidad con el apartado 2 del presente artículo.
Transferencias sujetas a salvaguardias adecuadas
- En ausencia de regulaciones de adecuación en virtud del artículo 17A de la Ley de 2018, un controlador o procesador puede transferir datos personales a un tercer país o una organización internacional solo si el controlador o procesador ha proporcionado las salvaguardias adecuadas, y con la condición de que se respeten los derechos exigibles del interesado y existen recursos legales efectivos para los interesados.
- Las salvaguardias adecuadas a que se refiere el apartado 1 podrán establecerse, sin necesidad de autorización específica del Comisario, mediante:
- (a) un instrumento jurídicamente vinculante y ejecutable entre autoridades u organismos públicos;
- (b) normas corporativas vinculantes de conformidad con el artículo 47;
- (c) cláusulas estándar de protección de datos especificadas en las regulaciones dictadas por el Secretario de Estado en virtud del artículo 17C de la Ley de 2018 y vigentes en el momento;
- (d) cláusulas estándar de protección de datos especificadas en un documento emitido (y no retirado) por el Comisionado en virtud del artículo 119A de la Ley de 2018 y vigente en el momento;
- e) un código de conducta aprobado de conformidad con el artículo 40, junto con compromisos vinculantes y ejecutables del responsable o encargado del tratamiento en el tercer país de aplicar las salvaguardias adecuadas, también en lo que respecta a los derechos de los interesados; o
- f) un mecanismo de certificación aprobado de conformidad con el artículo 42, junto con compromisos vinculantes y ejecutables del responsable o encargado del tratamiento en el tercer país de aplicar las salvaguardias adecuadas, también en lo que respecta a los derechos de los interesados.
- Previa autorización del Comisario, las garantías adecuadas a que se refiere el apartado 1 también podrán establecerse, en particular, mediante:
- (a) cláusulas contractuales entre el responsable o el encargado del tratamiento y el responsable, el encargado del tratamiento o el destinatario de los datos personales en el tercer país u organización internacional; o
- (b) disposiciones que se insertarán en acuerdos administrativos entre autoridades u organismos públicos que incluyan derechos de los interesados exigibles y efectivos.
Con ISMS.online, los desafíos relacionados con el control de versiones, la aprobación y el intercambio de políticas son cosa del pasado.
El debate sobre la transferencia de datos personales a países sin un marco de adecuación que lo acompañe se distribuye en seis áreas clave:
En esta sección hablamos de los artículos 46(1), 46(2)(a), 46(2)(b), 46(2)(c), 46(2)(d), 46(2)( e), 46 (2)(f), 46 (3)(a), 46 (3)(b), 46 (4), 46 (5)
Las normas legales y reglamentarias regionales varían dependiendo de dónde se originaron los datos y adónde se transferirán.
Las organizaciones deben tener en cuenta todas las leyes, marcos y regulaciones pertinentes siempre que necesiten transferir datos entre jurisdicciones, incluido el uso de una autoridad supervisora designada.
En esta sección hablamos de los artículos 46(1), 46(2)(a), 46(2)(b), 46(2)(c), 46(2)(d), 46(2)( e), 46 (2) (f), 46 (3) (a) y 46 (3) (b)
Los clientes deberían poder ver una lista de posibles países y organizaciones receptores en cualquier momento, incluido un registro de todos los países involucrados en la subcontratación de PII (consulte la cláusula 27701 de ISO 8.5.1).
En determinadas circunstancias, las organizaciones no siempre podrán divulgar con antelación de dónde proceden las solicitudes de transferencia, especialmente en casos de procesos penales. Esto es inevitable y debería ser la prioridad de la organización mantener la integridad de una operación de aplicación de la ley (ver ISO 27701 cláusulas 7.5.1, 8.5.4 y 8.5.5).
| Artículo del RGPD | Cláusula ISO 27701 | Cláusulas de apoyo de ISO 27701 |
|---|---|---|
| Artículos 46 (1) a 46 (5) del RGPD UE | ISO 27701 7.5.1 | Ninguna |
| Artículos 46 (1) a 46 (3) (b) del RGPD UE | ISO 27701 8.5.1 | ISO 27701 7.5.1 ISO 27701 8.5.4 ISO 27701 8.5.5 |
Le proporcionamos un entorno prediseñado para describir y demostrar su enfoque para proteger los datos de sus clientes europeos y del Reino Unido de una manera que se adapte perfectamente a su sistema de gestión existente.
Con ISMS.online, es fácil para usted comenzar directamente el camino hacia el cumplimiento del RGPD y demostrar fácilmente un nivel de protección que va más allá de lo "razonable", todo en una ubicación segura y siempre activa a la que puede acceder desde cualquier lugar.
Descubre más por programar una demostración.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
