Transferencias internacionales de datos RGPD: criterios, derechos, principios y bases jurídicas

Transferencias internacionales de datos (TID)

TID (transferencias internacionales de datos): deben darse los tres requisitos. Los requisitos son:

1. Criterio geográfico: salida de datos del EEE (UE + Islandia, Liechtenstein, Noruega) hacia un tercer país.
2. Exportador: responsable del tratamiento (RT) o encargado del tratamiento (ET) sujeto al RGPD.
3. Importador: responsable del tratamiento, encargado del tratamiento u organización internacional en el tercer país.

No es TID

No es TID: si un usuario (tú) da sus datos directamente a una empresa extranjera (p. ej., un usuario de la UE compra directamente en una web de EE. UU.).

Acceso y portabilidad

Acceso y portabilidad son derechos distintos recogidos en el RGPD.

Acceso (Art. 15)

• Objeto: "Ver qué tienen de mí".
• Base: cualquiera de las bases jurídicas del tratamiento.
• Datos: todos, incluidos los inferidos o perfiles creados por la empresa.
• Formato: cualquiera (papel, visualización, PDF simple, etc.).
• Medio: manual o automatizado.

Portabilidad (Art. 20)

• Objeto: "Llevarme mis datos a otro".
• Base: solo cuando el tratamiento se base en consentimiento o en la ejecución de un contrato.
• Datos: únicamente los facilitados por el usuario (NO incluye los datos inferidos).
• Formato: estructurado, de uso común y lectura mecánica (XML, CSV, JSON).
• Medio: solo automatizado.

Territorialidad (Art. 3 RGPD)

¿A quién se aplica el RGPD?

• Establecimiento (Art. 3.1): responsable del tratamiento con sede o sucursal en la UE. El tratamiento se considera realizado "en el contexto" de esa sede.
• Targeting / Oferta (Art. 3.2.a): empresa situada fuera de la UE que ofrece bienes o servicios a residentes en la UE (por ejemplo, uso de moneda euro, envíos a España, idioma español).
• Control de comportamiento (Art. 3.2.b): empresa situada fuera de la UE que rastrea o monitoriza a personas en la UE (cookies, perfilado).
• Derecho internacional público (Art. 3.3): embajadas y consulados de Estados miembros de la UE en el extranjero.

Derechos

• Acceso: ¿Qué tienes de mí? + copia.
• Rectificación: corregir errores.
• Supresión (derecho al olvido): borrar los datos (si no existe obligación legal de conservarlos).
• Oposición: "No trates mis datos" (fundado en interés legítimo o para marketing).
• Limitación del tratamiento: "Congela" los datos (no borrarlos ni usarlos) mientras se resuelve una disputa.
• Portabilidad: entrega del archivo (XML/CSV) para trasladar los datos a otro proveedor.
• No a decisiones automatizadas: derecho a que una persona revise la decisión, no solo un algoritmo.

Principios

• Licitad, lealtad y transparencia: legalidad (Art. 6), no engañar, información clara y comprensible.
• Finalidad: "Para qué lo quiero". No usar los datos para finalidades incompatibles.
• Minimización: "Solo lo justo y necesario". No solicitar datos "por si acaso".
• Exactitud: datos correctos y actualizados. Si están mal, corregir o suprimir.
• Conservación: no guardar indefinidamente. Cuando termine la finalidad, borrar o bloquear para responsabilidades.
• Integridad y confidencialidad: seguridad; evitar hackeos y pérdida de documentación.
• Accountability: obligación de demostrar cumplimiento. "Lo que no está documentado, no existe".

Bases jurídicas (Art. 6.1 RGPD)

BASES: Según el artículo 6.1 del RGPD, el tratamiento de datos personales solo será lícito si se cumple al menos una de las siguientes bases jurídicas. No existe una jerarquía entre ellas, y el responsable del tratamiento debe identificar la más adecuada antes de iniciar el tratamiento.

• Consentimiento: el interesado debe haber dado su consentimiento para uno o varios fines específicos. Este debe ser una manifestación de voluntad libre, específica, informada e inequívoca, mediante una declaración o clara acción afirmativa.
  • Ej: un festival de música que vende entradas online y solicita el consentimiento mediante una casilla (no pre-marcada) para utilizar los datos de contacto con fines publicitarios.
• Ejecución de un contrato: el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación de medidas precontractuales a petición de este. Se rige por el principio de necesidad; no cubre tratamientos accesorios no esenciales para el contrato.
  • Ej: en una compraventa online, el tratamiento de la dirección postal del cliente es necesario para entregar el producto, o el tratamiento de la cuenta bancaria de un empleado para abonar la nómina.
• Cumplimiento de una obligación legal: el tratamiento es necesario para cumplir una obligación legal aplicable al responsable del tratamiento. La obligación debe venir impuesta por el Derecho de la Unión o de los Estados miembros.
  • Ej: una empresa que comunica los datos salariales de sus empleados a la Seguridad Social o a la Hacienda Pública porque la ley así lo exige.
• Intereses vitales: el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física. Se refiere a cuestiones de vida o muerte o amenazas graves para la salud, y tiene una aplicación restrictiva.
  • Ej: el tratamiento de datos de pasajeros de una aerolínea en caso de emergencia humanitaria o riesgo de propagación de una epidemia grave.
• Interés público: el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable.
  • Ej: una autoridad municipal que gestiona una biblioteca pública y trata los datos de los usuarios para el préstamo de libros, o la instalación de videovigilancia en la vía pública para preservar la seguridad.
• Interés legítimo: el tratamiento es necesario para satisfacer intereses legítimos del responsable del tratamiento o de un tercero, siempre que no prevalezcan los intereses o derechos y libertades del interesado. Requiere realizar una "prueba de sopesamiento".
  • Ej: el tratamiento de datos estrictamente necesario para la prevención del fraude (siempre que se supere el juicio de ponderación).