Más
Navegación
CAPÍTULO I Disposiciones generales (1-4)
Artículo 1. ObjetoArtículo 2. Ámbito de aplicación materialArtículo 3. Ámbito territorialArtículo 4. Definiciones
CAPÍTULO II Principios (5-11)
Artículo 5. Principios relativos al tratamientoArtículo 6. Licitud del tratamientoArtículo 7. Condiciones para el consentimientoArtículo 8. Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la informaciónArtículo 9. Tratamiento de categorías especiales de datos personalesArtículo 10. Tratamiento de datos personales relativos a condenas e infracciones penalesArtículo 11. Tratamiento que no requiere identificación
CAPÍTULO III Derechos del interesado (12-23)
Artículo 12. Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesadoArtículo 13. Información que deberá facilitarse cuando los datos personales se obtengan del interesadoArtículo 14. Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesadoArtículo 15. Derecho de acceso del interesadoArtículo 16. Derecho de rectificaciónArtículo 17. Derecho de supresión («el derecho al olvido»)Artículo 18. Derecho a la limitación del tratamientoArtículo 19. Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamientoArtículo 20. Derecho a la portabilidad de los datosArtículo 21. Derecho de oposiciónArtículo 22. Decisiones individuales automatizadas, incluida la elaboración de perfilesArtículo 23. Limitaciones
CAPÍTULO IV Responsable del tratamiento y encargado del tratamiento (24-43)
Artículo 24. ObjetoArtículo 25. Protección de datos desde el diseño y por defectoArtículo 26. Corresponsables del tratamientoArtículo 27. Representantes de responsables o encargados del tratamiento no establecidos en la UniónArtículo 28. Encargado del tratamientoArtículo 29. Tratamiento bajo la autoridad del responsable o del encargado del tratamientoArtículo 30. Registro de las actividades de tratamientoArtículo 31. Cooperación con la autoridad de controlArtículo 32. Seguridad del tratamientoArtículo 33. Notificación de una violación de la seguridad de los datos personales a la autoridad de controlArtículo 34. Comunicación de una violación de la seguridad de los datos personales al interesadoArtículo 35. Evaluación de impacto relativa a la protección de datosArtículo 36. Consulta previaArtículo 37. Designación del delegado de protección de datosArtículo 38. Posición del delegado de protección de datosArtículo 39. Funciones del delegado de protección de datosArtículo 40. Códigos de conductaArtículo 41. Supervisión de códigos de conducta aprobadosArtículo 42. CertificaciónArtículo 43. Organismo de certificación
CAPÍTULO V Transferencias de datos personales a terceros países u organizaciones internacionales (44-50)
Artículo 44. Principio general de las transferenciasArtículo 45. Transferencias basadas en una decisión de adecuación
Artículo 46. Transferencias mediante garantías adecuadas
Artículo 47. Normas corporativas vinculantesArtículo 48. Transferencias o comunicaciones no autorizadas por el Derecho de la UniónArtículo 49. Excepciones para situaciones específicasArtículo 50. Cooperación internacional en el ámbito de la protección de datos personales
CAPÍTULO VI Autoridades de control independientes (51-59)
Artículo 51. Autoridad de controlArtículo 52. IndependenciaArtículo 53. Condiciones generales aplicables a los miembros de la autoridad de controlArtículo 54. Normas relativas al establecimiento de la autoridad de controlArtículo 55. CompetenciaArtículo 56. Competencia de la autoridad de control principalArtículo 57. FuncionesArtículo 58. PoderesArtículo 59. Informe de actividad
CAPÍTULO VII Cooperación y coherencia (60-70)
Artículo 60. Cooperación entre la autoridad de control principal y las demás autoridades de control interesadasArtículo 61. Asistencia mutuaArtículo 62. Operaciones conjuntas de las autoridades de controlArtículo 63. Mecanismo de coherenciaArtículo 64. Dictamen del ComitéArtículo 65. Resolución de conflictos por el ComitéArtículo 66. Procedimiento de urgenciaArtículo 67. Intercambio de informaciónArtículo 68. Comité Europeo de Protección de DatosArtículo 69. IndependenciaArtículo 70. Funciones del ComitéArtículo 71. InformesArtículo 72. ProcedimientoArtículo 73. PresidenciaArtículo 74. Funciones del presidenteArtículo 75. SecretaríaArtículo 76. Confidencialidad
CAPÍTULO VIII Recursos, responsabilidad y sanciones (77-84)
Artículo 77. Derecho a presentar una reclamación ante una autoridad de controlArtículo 78. Derecho a la tutela judicial efectiva contra una autoridad de controlArtículo 79. Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamientoArtículo 80. Representación de los interesadosArtículo 81. Suspensión de los procedimientosArtículo 82. Derecho a indemnización y responsabilidadArtículo 83. Condiciones generales para la imposición de multas administrativasArtículo 84. Sanciones
CAPÍTULO IX Disposiciones relativas a situaciones específicas de tratamiento (85-91)
Artículo 85. Tratamiento y libertad de expresión y de informaciónArtículo 86. Tratamiento y acceso del público a documentos oficialesArtículo 87. Tratamiento del número nacional de identificaciónArtículo 88. Tratamiento en el ámbito laboralArtículo 89. Garantías y excepciones aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticosArtículo 90. Obligaciones de secretoArtículo 91. Normas vigentes sobre protección de datos de las iglesias y asociaciones religiosas
CAPÍTULO X Actos delegados y actos de ejecución (92-93)
Artículo 92. Ejercicio de la delegaciónArtículo 93. Procedimiento de comité
CAPÍTULO XI Disposiciones finales (94-95)
Artículo 94. Derogación de la Directiva 95/46/CEArtículo 95. Relación con la Directiva 2002/58/CEArtículo 96. Relación con acuerdos celebrados anteriormenteArtículo 97. Informes de la ComisiónArtículo 98. Revisión de otros actos jurídicos de la Unión en materia de protección de datosArtículo 99. Entrada en vigor y aplicación
RGPD > Artículo 46. Transferencias mediante garantías adecuadas
Descargar PDF

Artículo 46 RGPD. Transferencias mediante garantías adecuadas

Article 46 GDPR. Transfers subject to appropriate safeguards

1. A falta de decisión con arreglo al artículo 45, apartado 3, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.

1. In the absence of a decision pursuant to Article 45(3), a controller or processor may transfer personal data to a third country or an international organisation only if the controller or processor has provided appropriate safeguards, and on condition that enforceable data subject rights and effective legal remedies for data subjects are available.

Textos enlazados
Textos enlazados

2. Las garantías adecuadas con arreglo al apartado 1 podrán ser aportadas, sin que se requiera ninguna autorización expresa de una autoridad de control, por:

2. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by:

Considerandos
Considerandos

(108) En ausencia de una decisión por la que se constate la adecuación de la protección de los datos, el responsable o el encargado del tratamiento deben tomar medidas para compensar la falta de protección de datos en un tercer país mediante garantías adecuadas para el interesado. Tales garantías adecuadas pueden consistir en el recurso a normas corporativas vinculantes, a cláusulas tipo de protección de datos adoptadas por la Comisión o por una autoridad de control, o a cláusulas contractuales autorizadas por una autoridad de control. Esas garantías deben asegurar la observancia de requisitos de protección de datos y derechos de los interesados adecuados al tratamiento dentro de la Unión, incluida la disponibilidad por parte de los interesados de derechos exigibles y de acciones legales efectivas, lo que incluye el derecho a obtener una reparación administrativa o judicial efectiva y a reclamar una indemnización, en la Unión o en un tercer país. En particular, deben referirse al cumplimiento de los principios generales relativos al tratamiento de los datos personales y los principios de la protección de datos desde el diseño y por defecto. Las transferencias también pueden realizarlas autoridades o entidades públicas con entidades o autoridades públicas de terceros países o con organizaciones internacionales con competencias o funciones correspondientes, igualmente sobre la base de disposiciones incorporadas a acuerdos administrativos, como un memorando de entendimiento, que reconozcan derechos exigibles y efectivos a los interesados. Si las garantías figuran en acuerdos administrativos que no sean jurídicamente vinculantes se debe recabar la autorización de la autoridad de control competente.

(108) In the absence of an adequacy decision, the controller or processor should take measures to compensate for the lack of data protection in a third country by way of appropriate safeguards for the data subject. Such appropriate safeguards may consist of making use of binding corporate rules, standard data protection clauses adopted by the Commission, standard data protection clauses adopted by a supervisory authority or contractual clauses authorised by a supervisory authority. Those safeguards should ensure compliance with data protection requirements and the rights of the data subjects appropriate to processing within the Union, including the availability of enforceable data subject rights and of effective legal remedies, including to obtain effective administrative or judicial redress and to claim compensation, in the Union or in a third country. They should relate in particular to compliance with the general principles relating to personal data processing, the principles of data protection by design and by default. Transfers may also be carried out by public authorities or bodies with public authorities or bodies in third countries or with international organisations with corresponding duties or functions, including on the basis of provisions to be inserted into administrative arrangements, such as a memorandum of understanding, providing for enforceable and effective rights for data subjects. Authorisation by the competent supervisory authority should be obtained when the safeguards are provided for in administrative arrangements that are not legally binding.

(109) La posibilidad de que el responsable o el encargado del tratamiento recurran a cláusulas tipo de protección de datos adoptadas por la Comisión o una autoridad de control no debe obstar a que los responsables o encargados incluyan las cláusulas tipo de protección de datos en un contrato más amplio, como un contrato entre dos encargados, o a que añadan otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, las cláusulas contractuales tipo adoptadas por la Comisión o por una autoridad de control, ni mermen los derechos o las libertades fundamentales de los interesados. Se debe alentar a los responsables y encargados del tratamiento a ofrecer garantías adicionales mediante compromisos contractuales que complementen las cláusulas tipo de protección de datos.

(109) The possibility for the controller or processor to use standard data-protection clauses adopted by the Commission or by a supervisory authority should prevent controllers or processors neither from including the standard data-protection clauses in a wider contract, such as a contract between the processor and another processor, nor from adding other clauses or additional safeguards provided that they do not contradict, directly or indirectly, the standard contractual clauses adopted by the Commission or by a supervisory authority or prejudice the fundamental rights or freedoms of the data subjects. Controllers and processors should be encouraged to provide additional safeguards via contractual commitments that supplement standard protection clauses.

a) un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos;

(a) a legally binding and enforceable instrument between public authorities or bodies;

Ley de Directrices y caso
Ley de Directrices y caso

b) normas corporativas vinculantes de conformidad con el artículo 47;

(b) binding corporate rules in accordance with Article 47;

Textos enlazados
Textos enlazados

c) cláusulas tipo de protección de datos adoptadas por la Comisión de conformidad con el procedimiento de examen a que se refiere el artículo 93, apartado 2;

(c) standard data protection clauses adopted by the Commission in accordance with the examination procedure referred to in Article 93(2);

Ley de Directrices y caso Textos enlazados
Ley de Directrices y caso Textos enlazados

d) cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión con arreglo al procedimiento de examen a que se refiere en el artículo 93, apartado 2;

(d) standard data protection clauses adopted by a supervisory authority and approved by the Commission pursuant to the examination procedure referred to in Article 93(2);

Textos enlazados
Textos enlazados

e) un código de conducta aprobado con arreglo al artículo 40, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados, o

(e) an approved code of conduct pursuant to Article 40 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects’ rights; or

Textos enlazados
Textos enlazados

f) un mecanismo de certificación aprobado con arreglo al artículo 42, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados.

(f) an approved certification mechanism pursuant to Article 42 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects’ rights.

Textos enlazados
Textos enlazados

3. Siempre que exista autorización de la autoridad de control competente, las garantías adecuadas contempladas en el apartado 1 podrán igualmente ser aportadas, en particular, mediante:

3. Subject to the authorisation from the competent supervisory authority, the appropriate safeguards referred to in paragraph 1 may also be provided for, in particular, by:

a) cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional, o

(a) contractual clauses between the controller or processor and the controller, processor or the recipient of the personal data in the third country or international organisation; or

b) disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

(b) provisions to be inserted into administrative arrangements between public authorities or bodies which include enforceable and effective data subject rights.

Ley de Directrices y caso
Ley de Directrices y caso

4. La autoridad de control aplicará el mecanismo de coherencia a que se refiere el artículo 63 en los casos indicados en el apartado 3 del presente artículo.

4. The supervisory authority shall apply the consistency mechanism referred to in Article 63 in the cases referred to in paragraph 3 of this Article.

Textos enlazados
Textos enlazados

5. Las autorizaciones otorgadas por un Estado miembro o una autoridad de control de conformidad con el artículo 26, apartado 2, de la Directiva 95/46/CE seguirán siendo válidas hasta que hayan sido modificadas, sustituidas o derogadas, en caso necesario, por dicha autoridad de control. Las decisiones adoptadas por la Comisión en virtud del artículo 26, apartado 4, de la Directiva 95/46/CE permanecerán en vigor hasta que sean modificadas, sustituidas o derogadas, en caso necesario, por una decisión de la Comisión adoptada de conformidad con el apartado 2 del presente artículo.

5. Authorisations by a Member State or supervisory authority on the basis of Article 26(2) of Directive 95/46/EC shall remain valid until amended, replaced or repealed, if necessary, by that supervisory authority. Decisions adopted by the Commission on the basis of Article 26(4) of Directive 95/46/EC shall remain in force until amended, replaced or repealed, if necessary, by a Commission Decision adopted in accordance with paragraph 2 of this Article.

Reglamento general de protección de datos (RGPD)

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

ISO 27701 Considerandos Ley de Directrices y caso Deja un comentario
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 46 GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).


para acceder al texto completo

Considerandos

(108) En ausencia de una decisión por la que se constate la adecuación de la protección de los datos, el responsable o el encargado del tratamiento deben tomar medidas para compensar la falta de protección de datos en un tercer país mediante garantías adecuadas para el interesado. Tales garantías adecuadas pueden consistir en el recurso a normas corporativas vinculantes, a cláusulas tipo de protección de datos adoptadas por la Comisión o por una autoridad de control, o a cláusulas contractuales autorizadas por una autoridad de control. Esas garantías deben asegurar la observancia de requisitos de protección de datos y derechos de los interesados adecuados al tratamiento dentro de la Unión, incluida la disponibilidad por parte de los interesados de derechos exigibles y de acciones legales efectivas, lo que incluye el derecho a obtener una reparación administrativa o judicial efectiva y a reclamar una indemnización, en la Unión o en un tercer país. En particular, deben referirse al cumplimiento de los principios generales relativos al tratamiento de los datos personales y los principios de la protección de datos desde el diseño y por defecto. Las transferencias también pueden realizarlas autoridades o entidades públicas con entidades o autoridades públicas de terceros países o con organizaciones internacionales con competencias o funciones correspondientes, igualmente sobre la base de disposiciones incorporadas a acuerdos administrativos, como un memorando de entendimiento, que reconozcan derechos exigibles y efectivos a los interesados. Si las garantías figuran en acuerdos administrativos que no sean jurídicamente vinculantes se debe recabar la autorización de la autoridad de control competente.

(108) In the absence of an adequacy decision, the controller or processor should take measures to compensate for the lack of data protection in a third country by way of appropriate safeguards for the data subject. Such appropriate safeguards may consist of making use of binding corporate rules, standard data protection clauses adopted by the Commission, standard data protection clauses adopted by a supervisory authority or contractual clauses authorised by a supervisory authority. Those safeguards should ensure compliance with data protection requirements and the rights of the data subjects appropriate to processing within the Union, including the availability of enforceable data subject rights and of effective legal remedies, including to obtain effective administrative or judicial redress and to claim compensation, in the Union or in a third country. They should relate in particular to compliance with the general principles relating to personal data processing, the principles of data protection by design and by default. Transfers may also be carried out by public authorities or bodies with public authorities or bodies in third countries or with international organisations with corresponding duties or functions, including on the basis of provisions to be inserted into administrative arrangements, such as a memorandum of understanding, providing for enforceable and effective rights for data subjects. Authorisation by the competent supervisory authority should be obtained when the safeguards are provided for in administrative arrangements that are not legally binding.

(109) La posibilidad de que el responsable o el encargado del tratamiento recurran a cláusulas tipo de protección de datos adoptadas por la Comisión o una autoridad de control no debe obstar a que los responsables o encargados incluyan las cláusulas tipo de protección de datos en un contrato más amplio, como un contrato entre dos encargados, o a que añadan otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, las cláusulas contractuales tipo adoptadas por la Comisión o por una autoridad de control, ni mermen los derechos o las libertades fundamentales de los interesados. Se debe alentar a los responsables y encargados del tratamiento a ofrecer garantías adicionales mediante compromisos contractuales que complementen las cláusulas tipo de protección de datos.

(109) The possibility for the controller or processor to use standard data-protection clauses adopted by the Commission or by a supervisory authority should prevent controllers or processors neither from including the standard data-protection clauses in a wider contract, such as a contract between the processor and another processor, nor from adding other clauses or additional safeguards provided that they do not contradict, directly or indirectly, the standard contractual clauses adopted by the Commission or by a supervisory authority or prejudice the fundamental rights or freedoms of the data subjects. Controllers and processors should be encouraged to provide additional safeguards via contractual commitments that supplement standard protection clauses.

Ley de Directrices y caso Deja un comentario
[js-disqus]