Cómo demostrar el cumplimiento del artículo 49 del RGPD

Cumplimiento del artículo 49 del RGPD: mejores prácticas para las empresas

GDPR Artículo 49 contiene una lista de derogaciones (es decir, excepciones) que las organizaciones pueden aplicar a cualquier transferencia internacional de datos a terceros países, cuando ninguna otra parte del Capítulo V del RGPD sea aplicable.

RGPD Artículo 49 Texto Legal

Versión del RGPD de la UE

Excepciones para situaciones específicas

1. A falta de una decisión de adecuación con arreglo al artículo 45, apartado 3, o de salvaguardias adecuadas con arreglo al artículo 46, incluidas normas corporativas vinculantes, se llevará a cabo una transferencia o un conjunto de transferencias de datos personales a un tercer país o a una organización internacional. sólo en una de las siguientes condiciones:
• (a) el interesado ha dado su consentimiento explícito a la transferencia propuesta, después de haber sido informado de los posibles riesgos de dichas transferencias para el interesado debido a la ausencia de una decisión de adecuación y de salvaguardias apropiadas;
• (b) la transferencia es necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o la ejecución de medidas precontractuales adoptadas a petición del interesado;
• c) la transferencia es necesaria para la celebración o ejecución de un contrato celebrado en interés del interesado entre el responsable del tratamiento y otra persona física o jurídica;
• d) la transferencia es necesaria por razones importantes de interés público;
• (e) la transferencia es necesaria para el establecimiento, ejercicio o defensa de reclamaciones legales;
• f) la transferencia es necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado sea física o jurídicamente incapaz de dar su consentimiento;
• g) la transferencia se realiza a partir de un registro que, según el Derecho de la Unión o de los Estados miembros, está destinado a facilitar información al público y que está abierto a la consulta del público en general o de cualquier persona que pueda demostrar un interés legítimo, pero únicamente en la medida en que se cumplan en el caso concreto las condiciones establecidas por el Derecho de la Unión o de los Estados miembros para la consulta.

Cuando una transferencia no pueda basarse en una disposición de los artículos 45 o 46, incluidas las disposiciones sobre normas corporativas vinculantes, y no sea aplicable ninguna de las excepciones para una situación específica mencionada en el párrafo primero del presente párrafo, una transferencia a un tercero país o una organización internacional sólo puede tener lugar si la transferencia no es repetitiva, afecta solo a un número limitado de interesados, es necesaria para satisfacer intereses legítimos perseguidos por el responsable del tratamiento que no sean anulados por los intereses o derechos y libertades de el interesado, y el responsable del tratamiento ha evaluado todas las circunstancias que rodean la transferencia de datos y, sobre la base de esa evaluación, ha proporcionado garantías adecuadas con respecto a la protección de los datos personales. El responsable del tratamiento informará de la transferencia a la autoridad de control. El responsable del tratamiento, además de facilitar la información a que se refieren los artículos 13 y 14, informará al interesado de la transferencia y de los intereses legítimos imperiosos que persigue.

2. Una transferencia con arreglo al apartado 1, párrafo primero, letra g), no afectará a la totalidad de los datos personales ni a categorías enteras de datos personales contenidos en el registro. Cuando el registro esté destinado a ser consultado por personas que tengan un interés legítimo, la transferencia sólo se realizará a petición de dichas personas o si fueran ellas las destinatarias.
3. Las letras a), b) y c) del apartado 1, párrafo primero, y su párrafo segundo no se aplicarán a las actividades realizadas por las autoridades públicas en el ejercicio de sus competencias públicas.
4. El interés público a que se refiere el apartado 1, párrafo primero, letra d), será reconocido en el Derecho de la Unión o en el Derecho del Estado miembro al que esté sujeto el responsable del tratamiento.
5. A falta de una decisión de adecuación, el derecho de la Unión o de los Estados miembros puede, por razones importantes de interés público, establecer expresamente límites a la transferencia de categorías específicas de datos personales a un tercer país o a una organización internacional. Los Estados miembros notificarán dichas disposiciones a la Comisión.
6. El responsable o encargado del tratamiento documentará la evaluación así como las garantías adecuadas a que se refiere el apartado 1, párrafo segundo, del presente artículo en los registros a que se refiere el artículo 30.

Versión del RGPD del Reino Unido

Excepciones para situaciones específicas

1. En ausencia de normas de adecuación en virtud del artículo 17A de la Ley de 2018, o de salvaguardias adecuadas de conformidad con el artículo 46, incluidas normas corporativas vinculantes, una transferencia o un conjunto de transferencias de datos personales a un tercer país o a una organización internacional tendrá lugar únicamente en una de las siguientes condiciones:
• (a) el interesado ha dado su consentimiento explícito a la transferencia propuesta, después de haber sido informado de los posibles riesgos de dichas transferencias para el interesado debido a la ausencia de una decisión de adecuación y de salvaguardias apropiadas;
• (b) la transferencia es necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o la ejecución de medidas precontractuales adoptadas a petición del interesado;
• c) la transferencia es necesaria para la celebración o ejecución de un contrato celebrado en interés del interesado entre el responsable del tratamiento y otra persona física o jurídica;
• d) la transferencia es necesaria por razones importantes de interés público;
• (e) la transferencia es necesaria para el establecimiento, ejercicio o defensa de reclamaciones legales;
• f) la transferencia es necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado sea física o jurídicamente incapaz de dar su consentimiento;
• g) la transferencia se realiza desde un registro que según la legislación interna tiene por objeto proporcionar información al público y que está abierto a la consulta ya sea por el público en general o por cualquier persona que pueda demostrar un interés legítimo, pero sólo al en la medida en que se cumplan en el caso particular las condiciones establecidas por la legislación interna para la consulta.

Cuando una transferencia no pueda basarse en una disposición de los artículos 45 o 46, incluidas las disposiciones sobre normas corporativas vinculantes, y no sea aplicable ninguna de las excepciones para una situación específica mencionada en el párrafo primero del presente párrafo, una transferencia a un tercero país o una organización internacional sólo puede tener lugar si la transferencia no es repetitiva, afecta solo a un número limitado de interesados, es necesaria para satisfacer intereses legítimos perseguidos por el responsable del tratamiento que no sean anulados por los intereses o derechos y libertades de el interesado, y el responsable del tratamiento ha evaluado todas las circunstancias que rodean la transferencia de datos y, sobre la base de esa evaluación, ha proporcionado garantías adecuadas con respecto a la protección de los datos personales. El responsable del tratamiento informará al Comisario de la transferencia. El responsable del tratamiento, además de facilitar la información a que se refieren los artículos 13 y 14, informará al interesado de la transferencia y de los intereses legítimos imperiosos que persigue.

2. Una transferencia con arreglo al apartado 1, párrafo primero, letra g), no afectará a la totalidad de los datos personales ni a categorías enteras de datos personales contenidos en el registro. Cuando el registro esté destinado a ser consultado por personas que tengan un interés legítimo, la transferencia sólo se realizará a petición de dichas personas o si fueran ellas las destinatarias.
3. Las letras a), b) y c) del apartado 1, párrafo primero, y su párrafo segundo no se aplicarán a las actividades realizadas por las autoridades públicas en el ejercicio de sus competencias públicas.
4. El interés público al que se refiere la letra d) del primer párrafo del apartado 1 debe ser un interés público reconocido en el derecho interno (ya sea en los reglamentos previstos en el artículo 18, apartado 1, de la Ley de 2018 o de otro modo).
5. Este artículo y el artículo 46 están sujetos a restricciones en las regulaciones bajo la sección 18 (2) de la Ley de 2018.
6. El responsable o encargado del tratamiento documentará la evaluación así como las garantías adecuadas a que se refiere el apartado 1, párrafo segundo, del presente artículo en los registros a que se refiere el artículo 30.

Comentario técnico

Las excepciones previstas en el artículo 49 del RGPD se aplican a varias situaciones clave:

1. Cuando los interesados ​​hayan consentido la transferencia de sus datos.
2. Requisitos técnicos que permiten a la organización llevar a cabo sus obligaciones contractuales hacia un interesado.
3. Cualquier transferencia que se realice en interés público (aunque con una lista separada de limitaciones a dichas transferencias).
4. Acciones que protegen los "intereses vitales" de los interesados, pero solo cuando el interesado es físicamente incapaz de dar su consentimiento a la organización.
5. Las transferencias que se realicen desde un registro público.
6. Cuando el responsable del tratamiento posea "intereses legítimos imperiosos".

Cláusula 27701 de ISO 7.5.1 (Identificar la base para la transferencia de información de identificación personal entre jurisdicciones) y artículo 49 del RGPD de la UE

En esta sección hablamos de los artículos 49 (1)(a), 49 (1)(b), 49 (1)(c), 49 (1)(d), 49 (1)(e), 49 ( 1)(f), 49 (1)(g), 49 (2), 49 (3), 49 (4), 49 (5) y 49 (6)

De vez en cuando, puede surgir la necesidad de transferir PII entre dos jurisdicciones distintas. Cuando esto ocurre, las organizaciones deben justificar y documentar la necesidad de hacerlo.

Las normas legales y reglamentarias regionales varían dependiendo de dónde se originaron los datos y adónde se transferirán.

Las organizaciones deben tener en cuenta todas las leyes, marcos y regulaciones pertinentes siempre que necesiten transferir datos entre jurisdicciones, incluido el uso de una autoridad supervisora ​​designada.

Cláusula 27701 de ISO 8.5.1 (Base para la transferencia de PII entre jurisdicciones) y artículo 49 del RGPD de la UE

En esta sección hablamos de los artículos 49 (1)(a), 49 (1)(b), 49 (1)(c), 49 (1)(d), 49 (1)(e), 49 ( 1)(f), 49 (1)(g), 49 (2), 49 (3), 49 (4), 49 (5) y 49 (6)

Siempre que se vaya a transferir PII entre jurisdicciones, las organizaciones deben informar al cliente de la necesidad subyacente de hacerlo, de manera oportuna.

Los destinos de transferencia pueden incluir:

• Proveedores
• Terceros.
• Diferentes paises.
• Organizaciones internacionales.

Las organizaciones deben notificar al cliente con suficiente antelación sobre cualquier transferencia, de modo que se puedan plantear objeciones y, en determinadas circunstancias, se puedan realizar solicitudes de rescisión.

Las organizaciones no siempre necesitan informar a los clientes sobre los cambios en sus acuerdos de transferencia de datos, pero los contratos deben describir claramente las circunstancias en las que do necesidad de ofrecer un aviso previo.

Al transferir PII a otro país, las organizaciones deben considerar mecanismos oficiales, tales como:

1. Cláusulas contractuales modelo.
2. Normas corporativas vinculantes.
3. Reglas de privacidad transfronterizas.

Índice de artículos vinculados del RGPD de la UE y cláusulas ISO 27701

Cómo ayuda ISMS.online

La plataforma ISMS.online incluye orientación integrada en cada paso, combinada con nuestro enfoque de implementación 'Adoptar, Adaptar, Agregar', por lo que demostrar su cumplimiento del RGPD es mucho más fácil. También se beneficiará de una gama de potentes funciones que le permitirán ahorrar tiempo.

Al mapear su trabajo a través de múltiples estándares y marcos, nuestra plataforma intuitiva facilita el logro de múltiples objetivos de seguridad de la información y privacidad de los datos.

Descubre más por programar una demostración.