¿Qué debemos tener en cuenta para realizar una transferencia de datos personales a una empresa ubicada en Estados Unidos?

1 – ¿Se necesita autorización de la directora de la Agencia Española de Protección de Datos?

No hace falta autorización si la empresa en cuestión se haya adherida al Escudo de Privacidad UE-EE.UU. Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016.

Si no fuese el caso necesitaría autorización. Más información

2 – ¿Qué es el Escudo de Privacidad?

El escudo de la privacidad, es un mecanismo que permite la transferencia de datos personales de la UE a una empresa en los Estados Unidos, siempre que ésta los procese (es decir, los utilice, almacene y vuelva a transferir) con arreglo a un recio conjunto de normas y salvaguardias en materia de protección de datos.

La protección dispensada de datos se aplica independientemente de si el interesado es ciudadano de la UE o no.

3 – ¿Cómo podremos saber si una empresa de los EE. UU. forma parte del Escudo de privacidad?

Para averiguar si una empresa está afiliada al escudo de la privacidad, puede consultar la lista correspondiente en el sitio web del Departamento de Comercio (https://www.privacyshield.gov/welcome).

En ella figuran los datos de todas las empresas que participan en el escudo de la privacidad, el tipo de datos personales que utilizan y la clase de servicios que ofrecen.

También puede consultar una lista de las empresas que han dejado de pertenecer al escudo de la privacidad y que, por lo tanto, no tienen ya derecho a recibir los datos personales con arreglo a ese mecanismo.

Además, estas empresas solo podrán conservar los datos personales si se comprometen, ante el Departamento de Comercio, a seguir aplicando los principios de privacidad.

4 – ¿Qué son las normas corporativas vinculantes? ¿Deben ser aprobadas?

Las BCR Se configuran como una de las garantías apropiadas para poder realizar transferencias internacionales de datos sin necesidad de autorización específica.

No distingue entre BCR de responsable y de encargados. Necesitan de la aprobación por la autoridad de control competente por el mecanismo de coherencia.

Según el artículo 47 las autoridades de control competentes podrán aprobar normas corporativas vinculantes, de acuerdo con el mecanismo de coherencia siempre que éstas:

  1. Sean jurídicamente vinculantes y se apliquen y sean cumplidas por todos los miembros correspondientes del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, incluidos sus empleados;
  2. confieran expresamente a los interesados derechos exigibles en relación con el tratamiento de sus datos personales, y
  3. cumplan los requisitos establecidos en el apartado 2.

 

Desde nuestro despacho MedinAbello&Asociados, podemos ayudarle!