¿Puedo tratar datos fuera de la UE gracias al RGPD?

El RGPD permite la transferencia de datos personales a países no pertenecientes a la UE (los llamados “terceros países”) para garantizar el comercio y la cooperación internacionales.

Puede transferir datos a países que garanticen un nivel de protección adecuado: Andorra, Argentina, Canadá (sólo organizaciones comerciales), Islas Feroe, Guernesey, Israel, Isla de Man, Jersey, Nueva Zelanda, Suiza, Uruguay, Japón, Reino Unido, Corea del Sur y EE.UU. (si el receptor pertenece al Marco de Privacidad de Datos). En estos países, las normativas legales nacionales ofrecen un nivel de protección de los datos personales comparable al de la legislación de la UE.

Para transferir datos a un tercer país que no garantice un nivel adecuado de protección, por lo que no existe una decisión de adecuación de la Comisión Europea, es necesario asegurarse de que los datos personales serán protegidos por el destinatario.

Esto puede garantizarse, por ejemplo, mediante el uso de cláusulas contractuales estándar, para las transferencias de datos dentro de un grupo de empresas mediante las llamadas normas corporativas vinculantes, o mediante el compromiso de cumplir códigos de conducta, declarados de aplicación general por la Comisión Europea.

Hay varias excepciones que autorizan la transferencia de datos a un tercer país, incluso si la protección de los datos personales no puede garantizarse suficientemente. Lo más frecuente es que se requiera el consentimiento del interesado.