Navigacija
SUVP (GDPR) > Art铆culo聽45. Transferencias basadas en una decisi贸n de adecuaci贸n
Prenos PDF

Art铆culo聽45 RGPD. Transferencias basadas en una decisi贸n de adecuaci贸n

1. Podr谩 realizarse una transferencia de datos personales a un tercer pa铆s u organizaci贸n internacional cuando la Comisi贸n haya decidido que el tercer pa铆s, un territorio o uno o varios sectores espec铆ficos de ese tercer pa铆s, o la organizaci贸n internacional de que se trate garantizan un nivel de protecci贸n adecuado. Dicha transferencia no requerir谩 ninguna autorizaci贸n espec铆fica.

Uvodne izjave

(103) La Comisi贸n puede decidir, con efectos para toda la Uni贸n, que un tercer pa铆s, un territorio o un sector espec铆fico de un tercer pa铆s, o una organizaci贸n internacional ofrece un nivel de protecci贸n de datos adecuado, aportando de esta forma en toda la Uni贸n seguridad y uniformidad jur铆dicas en lo que se refiere al tercer pa铆s u organizaci贸n internacional que se considera ofrece tal nivel de protecci贸n. En estos casos, se pueden realizar transferencias de datos personales a estos pa铆ses sin que se requiera obtener otro tipo de autorizaci贸n. La Comisi贸n tambi茅n puede decidir revocar esa decisi贸n, previo aviso y completa declaraci贸n motivada al tercer pa铆s u organizaci贸n internacional.

2. Al evaluar la adecuaci贸n del nivel de protecci贸n, la Comisi贸n tendr谩 en cuenta, en particular, los siguientes elementos:

Uvodne izjave

(104) En consonancia con los valores fundamentales en los que se basa la Uni贸n, en particular la protecci贸n de los derechos humanos, la Comisi贸n, en su evaluaci贸n del tercer pa铆s, o de un territorio o un sector espec铆fico de un tercer pa铆s, debe tener en cuenta de qu茅 manera respeta un determinado tercer pa铆s respeta el Estado de Derecho, el acceso a la justicia y las normas y criterios internacionales en materia de derechos humanos y su Derecho general y sectorial, incluida la legislaci贸n relativa a la seguridad p煤blica, la defensa y la seguridad nacional, as铆 como el orden p煤blico y el Derecho penal. En la adopci贸n de una decisi贸n de adecuaci贸n con respecto a un territorio o un sector espec铆fico de un tercer pa铆s se deben tener en cuenta criterios claros y objetivos, como las actividades concretas de tratamiento y el alcance de las normas jur铆dicas aplicables y la legislaci贸n vigente en el tercer pa铆s. El tercer pa铆s debe ofrecer garant铆as que aseguren un nivel adecuado de protecci贸n equivalente en lo esencial al ofrecido en la Uni贸n, en particular cuando los datos personales son objeto de tratamiento en uno o varios sectores espec铆ficos. En particular, el tercer pa铆s debe garantizar que haya un control verdaderamente independiente de la protecci贸n de datos y establecer mecanismos de cooperaci贸n con las autoridades de protecci贸n de datos de los Estados miembros, as铆 como reconocer a los interesados derechos efectivos y exigibles y acciones administrativas y judiciales efectivas.

(105) Aparte de los compromisos internacionales adquiridos por el tercer pa铆s u organizaci贸n internacional, la Comisi贸n debe tener en cuenta las obligaciones resultantes de la participaci贸n del tercer pa铆s u organizaci贸n internacional en sistemas multilaterales o regionales, en particular en relaci贸n con la protecci贸n de los datos personales, y el cumplimiento de esas obligaciones. En particular, debe tenerse en cuenta la adhesi贸n del pa铆s al Convenio del Consejo de Europa, de 28 de enero de 1981, para la protecci贸n de las personas con respecto al tratamiento automatizado de datos de car谩cter personal y su Protocolo adicional. La Comisi贸n debe consultar al Comit茅 al evaluar el nivel de protecci贸n existente en terceros pa铆ses u organizaciones internacionales.

a) el Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales, la legislaci贸n pertinente, tanto general como sectorial, incluida la relativa a la seguridad p煤blica, la defensa, la seguridad nacional y la legislaci贸n penal, y el acceso de las autoridades p煤blicas a los datos personales, as铆 como la aplicaci贸n de dicha legislaci贸n, las normas de protecci贸n de datos, las normas profesionales y las medidas de seguridad, incluidas las normas sobre transferencias ulteriores de datos personales a otro tercer pa铆s u organizaci贸n internacional observadas en ese pa铆s u organizaci贸n internacional, la jurisprudencia, as铆 como el reconocimiento a los interesados cuyos datos personales est茅n siendo transferidos de derechos efectivos y exigibles y de recursos administrativos y acciones judiciales que sean efectivos;

b) la existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer pa铆s o a las cuales est茅 sujeta una organizaci贸n internacional, con la responsabilidad de garantizar y hacer cumplir las normas en materia de protecci贸n de datos, incluidos poderes de ejecuci贸n adecuados, de asistir y asesorar a los interesados en el ejercicio de sus derechos, y de cooperar con las autoridades de control de la Uni贸n y de los Estados miembros,聽y

c) los compromisos internacionales asumidos por el tercer pa铆s u organizaci贸n internacional de que se trate, u otras obligaciones derivadas de acuerdos o instrumentos jur铆dicamente vinculantes, as铆 como de su participaci贸n en sistemas multilaterales o regionales, en particular en relaci贸n con la protecci贸n de los datos personales.

3. La Comisi贸n, tras haber evaluado la adecuaci贸n del nivel de protecci贸n, podr谩 decidir, mediante un acto de ejecuci贸n, que un tercer pa铆s, un territorio o uno o varios sectores espec铆ficos de un tercer pa铆s, o una organizaci贸n internacional garantizan un nivel de protecci贸n adecuado a tenor de lo dispuesto en el apartado聽2 del presente art铆culo. El acto de ejecuci贸n establecer谩 un mecanismo de revisi贸n peri贸dica, al menos cada cuatro a帽os, que tenga en cuenta todos los acontecimientos relevantes en el tercer pa铆s o en la organizaci贸n internacional. El acto de ejecuci贸n especificar谩 su 谩mbito de aplicaci贸n territorial y sectorial, y, en su caso, determinar谩 la autoridad o autoridades de control a que se refiere el apartado聽2, letra聽b), del presente art铆culo. El acto de ejecuci贸n se adoptar谩 con arreglo al procedimiento de examen a que se refiere el art铆culo聽93, apartado聽2.

Povezana besedila

4. La Comisi贸n supervisar谩 de manera continuada los acontecimientos en pa铆ses terceros y organizaciones internacionales que puedan afectar a la efectiva aplicaci贸n de las decisiones adoptadas con arreglo al apartado聽3 del presente art铆culo y de las decisiones adoptadas sobre la base del art铆culo聽25, apartado聽6, de la Directiva聽95/46/CE.

Uvodne izjave

(106) La Comisi贸n debe supervisar la aplicaci贸n de las decisiones sobre el nivel de protecci贸n en un pa铆s tercero, un territorio o un sector espec铆fico de un pa铆s tercero, o una organizaci贸n internacional, y la aplicaci贸n las decisiones adoptadas sobre la base del art铆culo 25, apartado 6, o el art铆culo 26, apartado 4, de la Directiva 95/46/CE. En sus decisiones de adecuaci贸n, la Comisi贸n debe establecer un mecanismo para la revisi贸n peri贸dica de su aplicaci贸n. Dicha revisi贸n peri贸dica debe realizarse en colaboraci贸n con el tercer pa铆s u organizaci贸n internacional de que se trate y tener en cuenta todos los cambios en la materia que se produzcan en dicho tercer pa铆s u organizaci贸n internacional. A efectos de la supervisi贸n y realizaci贸n de las revisiones peri贸dicas, la Comisi贸n debe tomar en consideraci贸n las opiniones y conclusiones del Parlamento Europeo y del Consejo, as铆 como de otros organismos y fuentes pertinentes. La Comisi贸n debe evaluar, en un plazo razonable, la aplicaci贸n de dichas decisiones e informar de cualquier conclusi贸n pertinente al Comit茅 que, en el sentido del Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo [12], establece el presente Reglamento, y al Parlamento Europeo y el Consejo.

[12] Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecuci贸n por la Comisi贸n (DO L 55 de 28.2.2011, p. 13). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:055:TOC

5. Cuando la informaci贸n disponible, en particular tras la revisi贸n a que se refiere el apartado聽3 del presente art铆culo, muestre que un tercer pa铆s, un territorio o un sector espec铆fico de ese tercer pa铆s, o una organizaci贸n internacional ya no garantiza un nivel de protecci贸n adecuado a tenor del apartado聽2 del presente art铆culo, la Comisi贸n, mediante actos de ejecuci贸n, derogar谩, modificar谩 o suspender谩, en la medida necesaria y sin efecto retroactivo, la decisi贸n a que se refiere el apartado聽3 del presente art铆culo. Dichos actos de ejecuci贸n se adoptar谩n de acuerdo con el procedimiento de examen a que se refiere el art铆culo聽93, apartado聽2.

Povezana besedila

Por razones imperiosas de urgencia debidamente justificadas, la Comisi贸n adoptar谩 actos de ejecuci贸n inmediatamente aplicables de conformidad con el procedimiento a que se refiere el art铆culo聽93, apartado聽3.

Povezana besedila

6 La Comisi贸n entablar谩 consultas con el tercer pa铆s u organizaci贸n internacional con vistas a poner remedio a la situaci贸n que d茅 lugar a la decisi贸n adoptada de conformidad con el apartado聽5.

Uvodne izjave

(107) La Comisi贸n puede reconocer que un tercer pa铆s, un territorio o sector espec铆fico en un tercer pa铆s, o una organizaci贸n internacional ya no garantiza un nivel de protecci贸n de datos adecuado. En consecuencia, debe prohibirse la transferencia de datos personales a dicho tercer pa铆s u organizaci贸n internacional, salvo que se cumplan los requisitos del presente Reglamento relativos a las transferencias basadas en garant铆as adecuadas, incluidas las normas corporativas vinculantes, y a las excepciones aplicadas a situaciones espec铆ficas. En ese caso, debe establecerse la celebraci贸n de consultas entre la Comisi贸n y esos terceros pa铆ses u organizaciones internacionales. La Comisi贸n debe informar en tiempo oportuno al tercer pa铆s u organizaci贸n internacional de las razones y entablar consultas a fin de subsanar la situaci贸n.

7. Toda decisi贸n de conformidad con el apartado聽5 del presente art铆culo se entender谩 sin perjuicio de las transferencias de datos personales al tercer pa铆s, a un territorio o uno o varios sectores espec铆ficos de ese tercer pa铆s, o a la organizaci贸n internacional de que se trate en virtud de los art铆culos聽46 a聽49.

Povezana besedila

8. La Comisi贸n publicar谩 en el聽Diario Oficial de la Uni贸n Europea聽y en su p谩gina web una lista de terceros pa铆ses, territorios y sectores espec铆ficos en un tercer pa铆s, y organizaciones internacionales respecto de los cuales haya decidido que se garantiza, o ya no, un nivel de protecci贸n adecuado.

9. Las decisiones adoptadas por la Comisi贸n en virtud del art铆culo聽25, apartado聽6, de la Directiva聽95/46/CE permanecer谩n en vigor hasta que sean modificadas, sustituidas o derogadas por una decisi贸n de la Comisi贸n adoptada de conformidad con los apartados聽3 o聽5 del presente art铆culo.

ISO 27701 Uvodne izjave Smernice in sodna praksa Pustite komentar
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 45 GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).

(EN) [鈥


to read the full text

Uvodne izjave

(103) La Comisi贸n puede decidir, con efectos para toda la Uni贸n, que un tercer pa铆s, un territorio o un sector espec铆fico de un tercer pa铆s, o una organizaci贸n internacional ofrece un nivel de protecci贸n de datos adecuado, aportando de esta forma en toda la Uni贸n seguridad y uniformidad jur铆dicas en lo que se refiere al tercer pa铆s u organizaci贸n internacional que se considera ofrece tal nivel de protecci贸n. En estos casos, se pueden realizar transferencias de datos personales a estos pa铆ses sin que se requiera obtener otro tipo de autorizaci贸n. La Comisi贸n tambi茅n puede decidir revocar esa decisi贸n, previo aviso y completa declaraci贸n motivada al tercer pa铆s u organizaci贸n internacional.

(104) En consonancia con los valores fundamentales en los que se basa la Uni贸n, en particular la protecci贸n de los derechos humanos, la Comisi贸n, en su evaluaci贸n del tercer pa铆s, o de un territorio o un sector espec铆fico de un tercer pa铆s, debe tener en cuenta de qu茅 manera respeta un determinado tercer pa铆s respeta el Estado de Derecho, el acceso a la justicia y las normas y criterios internacionales en materia de derechos humanos y su Derecho general y sectorial, incluida la legislaci贸n relativa a la seguridad p煤blica, la defensa y la seguridad nacional, as铆 como el orden p煤blico y el Derecho penal. En la adopci贸n de una decisi贸n de adecuaci贸n con respecto a un territorio o un sector espec铆fico de un tercer pa铆s se deben tener en cuenta criterios claros y objetivos, como las actividades concretas de tratamiento y el alcance de las normas jur铆dicas aplicables y la legislaci贸n vigente en el tercer pa铆s. El tercer pa铆s debe ofrecer garant铆as que aseguren un nivel adecuado de protecci贸n equivalente en lo esencial al ofrecido en la Uni贸n, en particular cuando los datos personales son objeto de tratamiento en uno o varios sectores espec铆ficos. En particular, el tercer pa铆s debe garantizar que haya un control verdaderamente independiente de la protecci贸n de datos y establecer mecanismos de cooperaci贸n con las autoridades de protecci贸n de datos de los Estados miembros, as铆 como reconocer a los interesados derechos efectivos y exigibles y acciones administrativas y judiciales efectivas.

(105) Aparte de los compromisos internacionales adquiridos por el tercer pa铆s u organizaci贸n internacional, la Comisi贸n debe tener en cuenta las obligaciones resultantes de la participaci贸n del tercer pa铆s u organizaci贸n internacional en sistemas multilaterales o regionales, en particular en relaci贸n con la protecci贸n de los datos personales, y el cumplimiento de esas obligaciones. En particular, debe tenerse en cuenta la adhesi贸n del pa铆s al Convenio del Consejo de Europa, de 28 de enero de 1981, para la protecci贸n de las personas con respecto al tratamiento automatizado de datos de car谩cter personal y su Protocolo adicional. La Comisi贸n debe consultar al Comit茅 al evaluar el nivel de protecci贸n existente en terceros pa铆ses u organizaciones internacionales.

(106) La Comisi贸n debe supervisar la aplicaci贸n de las decisiones sobre el nivel de protecci贸n en un pa铆s tercero, un territorio o un sector espec铆fico de un pa铆s tercero, o una organizaci贸n internacional, y la aplicaci贸n las decisiones adoptadas sobre la base del art铆culo 25, apartado 6, o el art铆culo 26, apartado 4, de la Directiva 95/46/CE. En sus decisiones de adecuaci贸n, la Comisi贸n debe establecer un mecanismo para la revisi贸n peri贸dica de su aplicaci贸n. Dicha revisi贸n peri贸dica debe realizarse en colaboraci贸n con el tercer pa铆s u organizaci贸n internacional de que se trate y tener en cuenta todos los cambios en la materia que se produzcan en dicho tercer pa铆s u organizaci贸n internacional. A efectos de la supervisi贸n y realizaci贸n de las revisiones peri贸dicas, la Comisi贸n debe tomar en consideraci贸n las opiniones y conclusiones del Parlamento Europeo y del Consejo, as铆 como de otros organismos y fuentes pertinentes. La Comisi贸n debe evaluar, en un plazo razonable, la aplicaci贸n de dichas decisiones e informar de cualquier conclusi贸n pertinente al Comit茅 que, en el sentido del Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo [12], establece el presente Reglamento, y al Parlamento Europeo y el Consejo.

[12] Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecuci贸n por la Comisi贸n (DO L 55 de 28.2.2011, p. 13). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:055:TOC

(107) La Comisi贸n puede reconocer que un tercer pa铆s, un territorio o sector espec铆fico en un tercer pa铆s, o una organizaci贸n internacional ya no garantiza un nivel de protecci贸n de datos adecuado. En consecuencia, debe prohibirse la transferencia de datos personales a dicho tercer pa铆s u organizaci贸n internacional, salvo que se cumplan los requisitos del presente Reglamento relativos a las transferencias basadas en garant铆as adecuadas, incluidas las normas corporativas vinculantes, y a las excepciones aplicadas a situaciones espec铆ficas. En ese caso, debe establecerse la celebraci贸n de consultas entre la Comisi贸n y esos terceros pa铆ses u organizaciones internacionales. La Comisi贸n debe informar en tiempo oportuno al tercer pa铆s u organizaci贸n internacional de las razones y entablar consultas a fin de subsanar la situaci贸n.

Smernice in sodna praksa Pustite komentar
[js-disqus]