Navegaci贸n
RGPD > Art铆culo聽46. Transferencias mediante garant铆as adecuadas
Descargar PDF

Art铆culo聽46 RGPD. Transferencias mediante garant铆as adecuadas

Article 46 GDPR. Transfers subject to appropriate safeguards

1. A falta de decisi贸n con arreglo al art铆culo聽45, apartado聽3, el responsable o el encargado del tratamiento solo podr谩 transmitir datos personales a un tercer pa铆s u organizaci贸n internacional si hubiera ofrecido garant铆as adecuadas y a condici贸n de que los interesados cuenten con derechos exigibles y acciones legales efectivas.

1. In the absence of a decision pursuant to Article 45(3), a controller or processor may transfer personal data to a third country or an international organisation only if the controller or processor has provided appropriate safeguards, and on condition that enforceable data subject rights and effective legal remedies for data subjects are available.

Textos enlazados

2. Las garant铆as adecuadas con arreglo al apartado聽1 podr谩n ser aportadas, sin que se requiera ninguna autorizaci贸n expresa de una autoridad de control, por:

2. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by:

Considerandos

(108) En ausencia de una decisi贸n por la que se constate la adecuaci贸n de la protecci贸n de los datos, el responsable o el encargado del tratamiento deben tomar medidas para compensar la falta de protecci贸n de datos en un tercer pa铆s mediante garant铆as adecuadas para el interesado. Tales garant铆as adecuadas pueden consistir en el recurso a normas corporativas vinculantes, a cl谩usulas tipo de protecci贸n de datos adoptadas por la Comisi贸n o por una autoridad de control, o a cl谩usulas contractuales autorizadas por una autoridad de control. Esas garant铆as deben asegurar la observancia de requisitos de protecci贸n de datos y derechos de los interesados adecuados al tratamiento dentro de la Uni贸n, incluida la disponibilidad por parte de los interesados de derechos exigibles y de acciones legales efectivas, lo que incluye el derecho a obtener una reparaci贸n administrativa o judicial efectiva y a reclamar una indemnizaci贸n, en la Uni贸n o en un tercer pa铆s. En particular, deben referirse al cumplimiento de los principios generales relativos al tratamiento de los datos personales y los principios de la protecci贸n de datos desde el dise帽o y por defecto. Las transferencias tambi茅n pueden realizarlas autoridades o entidades p煤blicas con entidades o autoridades p煤blicas de terceros pa铆ses o con organizaciones internacionales con competencias o funciones correspondientes, igualmente sobre la base de disposiciones incorporadas a acuerdos administrativos, como un memorando de entendimiento, que reconozcan derechos exigibles y efectivos a los interesados. Si las garant铆as figuran en acuerdos administrativos que no sean jur铆dicamente vinculantes se debe recabar la autorizaci贸n de la autoridad de control competente.

(108) In the absence of an adequacy decision, the controller or processor should take measures to compensate for the lack of data protection in a third country by way of appropriate safeguards for the data subject. Such appropriate safeguards may consist of making use of binding corporate rules, standard data protection clauses adopted by the Commission, standard data protection clauses adopted by a supervisory authority or contractual clauses authorised by a supervisory authority. Those safeguards should ensure compliance with data protection requirements and the rights of the data subjects appropriate to processing within the Union, including the availability of enforceable data subject rights and of effective legal remedies, including to obtain effective administrative or judicial redress and to claim compensation, in the Union or in a third country. They should relate in particular to compliance with the general principles relating to personal data processing, the principles of data protection by design and by default. Transfers may also be carried out by public authorities or bodies with public authorities or bodies in third countries or with international organisations with corresponding duties or functions, including on the basis of provisions to be inserted into administrative arrangements, such as a memorandum of understanding, providing for enforceable and effective rights for data subjects. Authorisation by the competent supervisory authority should be obtained when the safeguards are provided for in administrative arrangements that are not legally binding.

(109) La posibilidad de que el responsable o el encargado del tratamiento recurran a cl谩usulas tipo de protecci贸n de datos adoptadas por la Comisi贸n o una autoridad de control no debe obstar a que los responsables o encargados incluyan las cl谩usulas tipo de protecci贸n de datos en un contrato m谩s amplio, como un contrato entre dos encargados, o a que a帽adan otras cl谩usulas o garant铆as adicionales, siempre que no contradigan, directa o indirectamente, las cl谩usulas contractuales tipo adoptadas por la Comisi贸n o por una autoridad de control, ni mermen los derechos o las libertades fundamentales de los interesados. Se debe alentar a los responsables y encargados del tratamiento a ofrecer garant铆as adicionales mediante compromisos contractuales que complementen las cl谩usulas tipo de protecci贸n de datos.

(109) The possibility for the controller or processor to use standard data-protection clauses adopted by the Commission or by a supervisory authority should prevent controllers or processors neither from including the standard data-protection clauses in a wider contract, such as a contract between the processor and another processor, nor from adding other clauses or additional safeguards provided that they do not contradict, directly or indirectly, the standard contractual clauses adopted by the Commission or by a supervisory authority or prejudice the fundamental rights or freedoms of the data subjects. Controllers and processors should be encouraged to provide additional safeguards via contractual commitments that supplement standard protection clauses.

a) un instrumento jur铆dicamente vinculante y exigible entre las autoridades u organismos p煤blicos;

(a)聽a legally binding and enforceable instrument between public authorities or bodies;

b) normas corporativas vinculantes de conformidad con el art铆culo聽47;

(b)聽binding corporate rules in accordance with Article 47;

Textos enlazados

c) cl谩usulas tipo de protecci贸n de datos adoptadas por la Comisi贸n de conformidad con el procedimiento de examen a que se refiere el art铆culo聽93, apartado聽2;

(c)聽standard data protection clauses adopted by the Commission in accordance with the examination procedure referred to in Article 93(2);

Ley de Directrices y caso Textos enlazados

d) cl谩usulas tipo de protecci贸n de datos adoptadas por una autoridad de control y aprobadas por la Comisi贸n con arreglo al procedimiento de examen a que se refiere en el art铆culo聽93, apartado聽2;

(d)聽standard data protection clauses adopted by a supervisory authority and approved by the Commission pursuant to the examination procedure referred to in Article聽93(2);

Textos enlazados

e) un c贸digo de conducta aprobado con arreglo al art铆culo聽40, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer pa铆s de aplicar garant铆as adecuadas, incluidas la relativas a los derechos de los interesados,聽o

(e)聽an approved code of conduct pursuant to Article 40 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects’ rights; or

f) un mecanismo de certificaci贸n aprobado con arreglo al art铆culo聽42, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer pa铆s de aplicar garant铆as adecuadas, incluidas la relativas a los derechos de los interesados.

(f)聽an approved certification mechanism pursuant to Article聽42 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects’ rights.

3. Siempre que exista autorizaci贸n de la autoridad de control competente, las garant铆as adecuadas contempladas en el apartado聽1 podr谩n igualmente ser aportadas, en particular, mediante:

3. Subject to the authorisation from the competent supervisory authority, the appropriate safeguards referred to in paragraph聽1 may also be provided for, in particular, by:

a) cl谩usulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer pa铆s u organizaci贸n internacional,聽o

(a)聽contractual clauses between the controller or processor and the controller, processor or the recipient of the personal data in the third country or international organisation; or

b) disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos p煤blicos que incluyan derechos efectivos y exigibles para los interesados.

(b)聽provisions to be inserted into administrative arrangements between public authorities or bodies which include enforceable and effective data subject rights.

4. La autoridad de control aplicar谩 el mecanismo de coherencia a que se refiere el art铆culo聽63 en los casos indicados en el apartado聽3 del presente art铆culo.

4. The supervisory authority shall apply the consistency mechanism referred to in Article聽63 in the cases referred to in paragraph聽3 of this Article.

Textos enlazados

5. Las autorizaciones otorgadas por un Estado miembro o una autoridad de control de conformidad con el art铆culo聽26, apartado聽2, de la Directiva聽95/46/CE seguir谩n siendo v谩lidas hasta que hayan sido modificadas, sustituidas o derogadas, en caso necesario, por dicha autoridad de control. Las decisiones adoptadas por la Comisi贸n en virtud del art铆culo聽26, apartado聽4, de la Directiva聽95/46/CE permanecer谩n en vigor hasta que sean modificadas, sustituidas o derogadas, en caso necesario, por una decisi贸n de la Comisi贸n adoptada de conformidad con el apartado聽2 del presente art铆culo.

5. Authorisations by a Member State or supervisory authority on the basis of Article聽26(2) of Directive 95/46/EC shall remain valid until amended, replaced or repealed, if necessary, by that supervisory authority. Decisions adopted by the Commission on the basis of Article聽26(4) of Directive聽95/46/EC shall remain in force until amended, replaced or repealed, if necessary, by a Commission Decision adopted in accordance with paragraph聽2 of this Article.

ISO 27701 Considerandos Ley de Directrices y caso Deja un comentario
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 46 GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).


para acceder al texto completo

Considerandos

(108) En ausencia de una decisi贸n por la que se constate la adecuaci贸n de la protecci贸n de los datos, el responsable o el encargado del tratamiento deben tomar medidas para compensar la falta de protecci贸n de datos en un tercer pa铆s mediante garant铆as adecuadas para el interesado. Tales garant铆as adecuadas pueden consistir en el recurso a normas corporativas vinculantes, a cl谩usulas tipo de protecci贸n de datos adoptadas por la Comisi贸n o por una autoridad de control, o a cl谩usulas contractuales autorizadas por una autoridad de control. Esas garant铆as deben asegurar la observancia de requisitos de protecci贸n de datos y derechos de los interesados adecuados al tratamiento dentro de la Uni贸n, incluida la disponibilidad por parte de los interesados de derechos exigibles y de acciones legales efectivas, lo que incluye el derecho a obtener una reparaci贸n administrativa o judicial efectiva y a reclamar una indemnizaci贸n, en la Uni贸n o en un tercer pa铆s. En particular, deben referirse al cumplimiento de los principios generales relativos al tratamiento de los datos personales y los principios de la protecci贸n de datos desde el dise帽o y por defecto. Las transferencias tambi茅n pueden realizarlas autoridades o entidades p煤blicas con entidades o autoridades p煤blicas de terceros pa铆ses o con organizaciones internacionales con competencias o funciones correspondientes, igualmente sobre la base de disposiciones incorporadas a acuerdos administrativos, como un memorando de entendimiento, que reconozcan derechos exigibles y efectivos a los interesados. Si las garant铆as figuran en acuerdos administrativos que no sean jur铆dicamente vinculantes se debe recabar la autorizaci贸n de la autoridad de control competente.

(108) In the absence of an adequacy decision, the controller or processor should take measures to compensate for the lack of data protection in a third country by way of appropriate safeguards for the data subject. Such appropriate safeguards may consist of making use of binding corporate rules, standard data protection clauses adopted by the Commission, standard data protection clauses adopted by a supervisory authority or contractual clauses authorised by a supervisory authority. Those safeguards should ensure compliance with data protection requirements and the rights of the data subjects appropriate to processing within the Union, including the availability of enforceable data subject rights and of effective legal remedies, including to obtain effective administrative or judicial redress and to claim compensation, in the Union or in a third country. They should relate in particular to compliance with the general principles relating to personal data processing, the principles of data protection by design and by default. Transfers may also be carried out by public authorities or bodies with public authorities or bodies in third countries or with international organisations with corresponding duties or functions, including on the basis of provisions to be inserted into administrative arrangements, such as a memorandum of understanding, providing for enforceable and effective rights for data subjects. Authorisation by the competent supervisory authority should be obtained when the safeguards are provided for in administrative arrangements that are not legally binding.

(109) La posibilidad de que el responsable o el encargado del tratamiento recurran a cl谩usulas tipo de protecci贸n de datos adoptadas por la Comisi贸n o una autoridad de control no debe obstar a que los responsables o encargados incluyan las cl谩usulas tipo de protecci贸n de datos en un contrato m谩s amplio, como un contrato entre dos encargados, o a que a帽adan otras cl谩usulas o garant铆as adicionales, siempre que no contradigan, directa o indirectamente, las cl谩usulas contractuales tipo adoptadas por la Comisi贸n o por una autoridad de control, ni mermen los derechos o las libertades fundamentales de los interesados. Se debe alentar a los responsables y encargados del tratamiento a ofrecer garant铆as adicionales mediante compromisos contractuales que complementen las cl谩usulas tipo de protecci贸n de datos.

(109) The possibility for the controller or processor to use standard data-protection clauses adopted by the Commission or by a supervisory authority should prevent controllers or processors neither from including the standard data-protection clauses in a wider contract, such as a contract between the processor and another processor, nor from adding other clauses or additional safeguards provided that they do not contradict, directly or indirectly, the standard contractual clauses adopted by the Commission or by a supervisory authority or prejudice the fundamental rights or freedoms of the data subjects. Controllers and processors should be encouraged to provide additional safeguards via contractual commitments that supplement standard protection clauses.

Ley de Directrices y caso Deja un comentario
[js-disqus]