Les transferències internacionals de dades en el nou reglament Europeu (2016/679) de protecció de dades

Novetats del Reglament europeu (2016/679) de protecció de dades
Transferències basades en una decisió d’adequació
1. Podrà realitzar-se una transferència de dades personals a un tercer país o organització internacional quan la Comissió hagi decidit que el tercer país, un territori o un o diversos sectors específics d’aquest tercer país, o l’organització internacional que es tracti garanteixen un nivell de protecció adequat. Aquesta transferència no requerirà cap autorització específica.
2. En avaluar l’adequació del nivell de protecció, la Comissió tindrà en compte, en particular, els següents elements:
a) l’Estat de Dret, el respecte dels drets humans i les llibertats fonamentals, la legislació pertinent, tant general com a sectorial, inclosa la relativa a la seguretat pública, la defensa, la seguretat nacional i la legislació penal, i l’accés de les autoritats públiques a les dades personals, així com l’aplicació d’aquesta legislació, les normes de protecció de dades, les normes professionals i les mesures de seguretat, incloses les normes sobre transferències ulteriors de dades personals a un altre tercer país o organització internacional observades en aquest país o organització internacional, la jurisprudència, així com el reconeixement als interessats les dades personals dels quals estiguin sent transferits de drets efectius i exigibles i de recursos administratius i accions judicials que siguin efectius;
b) l’existència i el funcionament efectiu d’una o diverses autoritats de control independents al tercer país o a les quals estigui subjecta una organització internacional, amb la responsabilitat de garantir i fer complir les normes en matèria de protecció de dades, inclosos poders d’execució adequats, d’assistir i assessorar als interessats en l’exercici dels seus drets, i de cooperar amb les autoritats de control de la Unió i dels Estats membres, i
c) els compromisos internacionals assumits pel tercer país o organització internacional que es tracti, o altres obligacions derivades d’acords o instruments jurídicament vinculants, així com de la seva participació en sistemes multilaterals o regionals, en particular en relació amb la protecció de les dades personals.
3. La Comissió, després d’haver avaluat l’adequació del nivell de protecció, podrà decidir, mitjançant un acte d’execució, que un tercer país, un territori o un o diversos sectors específics d’un tercer país, o una organització internacional garanteixen un nivell de protecció adequat a tenor del que es disposa a l’apartat 2. L’acte d’execució establirà un mecanisme de revisió periòdica, almenys cada quatre anys, que tingui en compte tots els esdeveniments rellevants al tercer país o en l’organització internacional. L’acte d’execució especificarà el seu àmbit d’aplicació territorial i sectorial, i, si escau, determinarà l’autoritat o autoritats de control al fet que es refereix l’apartat 2, lletra b), del present article. L’acte d’execució s’adoptarà conformement al procediment d’examen al fet que es refereix l’article 93 del Reglament, apartat 2.
4. La Comissió supervisarà de manera continuada els esdeveniments en països tercers i organitzacions internacionals que puguin afectar a l’efectiva aplicació de les decisions adoptades conformement a l’apartat 3 i de les decisions adoptades sobre la base de l’article 25, apartat 6, de la Directiva 95/46/CE.
5. Quan la informació disponible, en particular després de la revisió al fet que es refereix l’apartat 3, mostri que un tercer país, un territori o un sector específic d’aquest tercer país, o una organització internacional ja no garanteix un nivell de protecció adequat a tenor de l’apartat 2 del present article, la Comissió, mitjançant actes d’execució, derogarà, modificarà o suspendrà, en la mesura necessària i sense efecte retroactiu, la decisió al fet que es refereix l’apartat 3. Aquests actes d’execució s’adoptaran d’acord amb el procediment d’examen al fet que es refereix l’article 93, apartat 2 (veure nota al peu). Per raons imperioses d’urgència degudament justificades, la Comissió adoptarà actes d’execució immediatament aplicables de conformitat amb el procediment al fet que es refereix l’article 93, apartat 3.
6. La Comissió entaularà consultes amb el tercer país o organització internacional amb vista a posar remei a la situació que doni lloc a la decisió adoptada de conformitat amb l’apartat 5.
7. Tota decisió de conformitat amb l’apartat 5 s’entendrà sense perjudici de les transferències de dades personals al tercer país, a un territori o un o diversos sectors específics d’aquest tercer país, o a l’organització internacional que es tracti en virtut dels articles 46 a 49. 8. La Comissió publicarà en el Diari Oficial de la Unió Europea i a la seva pàgina web una llista de tercers països, territoris i sectors específics en un tercer país, i organitzacions internacionals respecte dels quals hagi decidit que es garanteix, o ja no, un nivell de protecció adequat. Les decisions adoptades per la Comissió en virtut de l’article 25, apartat 6, de la Directiva 95/46/CE romandran en vigor fins que siguin modificades, substituïdes o derogades per una decisió de la Comissió adoptada de conformitat amb els apartats 3 o 5 del present article.
Transferències mitjançant garanties adequades
1. Mancant decisió conformement a l’article 45, apartat 3, el responsable o l’encarregat del tractament solament podrà transmetre dades personals a un tercer país o organització internacional si hagués ofert garanties adequades i a condició que els interessats comptin amb drets exigibles i accions legals efectives.
2. Les garanties adequades conformement a l’apartat 1 podran ser aportades, sense que es requereixi cap autorització expressa d’una autoritat de control, per:
a) un instrument jurídicament vinculant i exigible entre les autoritats o organismes públics;
b) normes corporatives vinculants de conformitat amb l’article 47;
c) clàusules tipus de protecció de dades adoptades per la Comissió de conformitat amb el procediment d’examen al fet que es refereix l’article 93, apartat 2;
d) clàusules tipus de protecció de dades adoptades per una autoritat de control i aprovades per la Comissió conformement al procediment d’examen al fet que es refereix en l’article 93, apartat 2;
i) un codi de conducta aprovat conformement a l’article 40, juntament amb compromisos vinculants i exigibles del responsable o l’encarregat del tractament al tercer país d’aplicar garanties adequades, incloses la relatives als drets dels interessats, o
f) un mecanisme de certificació aprovat conformement a l’article 42, juntament amb compromisos vinculants i exigibles del responsable o l’encarregat del tractament al tercer país d’aplicar garanties adequades, incloses la relatives als drets dels interessats.
3. Sempre que existeixi autorització de l’autoritat de control competent, les garanties adequades contemplades a l’apartat 1 podran igualment ser aportades, en particular, mitjançant:
a) clàusules contractuals entre el responsable o l’encarregat i el responsable, encarregat o destinatari de les dades personals al tercer país o organització internacional, o
b) disposicions que s’incorporin en acords administratius entre les autoritats o organismes públics que incloguin drets efectius i exigibles per als interessats.
4. L’autoritat de control aplicarà el mecanisme de coherència al fet que es refereix l’article 63 en els casos indicats a l’apartat 3 del present article.
5. Les autoritzacions atorgades per un Estat membre o una autoritat de control de conformitat amb l’article 26, apartat 2, de la Directiva 95/46/CE seguiran sent vàlides fins que hagin estat modificades, substituïdes o derogades, en cas necessari, per aquesta autoritat de control. Les decisions adoptades per la Comissió en virtut de l’article 26, apartat 4, de la Directiva 95/46/CE romandran en vigor fins que siguin modificades, substituïdes o derogades, en cas necessari, per una decisió de la Comissió adoptada de conformitat amb l’apartat 2.
Normes corporatives vinculants
1. L’autoritat de control competent aprovarà normes corporatives vinculants de conformitat amb el mecanisme de coherència establert en l’article 63, sempre que aquestes:
a) siguin jurídicament vinculants i s’apliquin i siguin complertes per tots els membres corresponents del grup empresarial o de la unió d’empreses dedicades a una activitat econòmica conjunta, inclosos els seus empleats;
b) confereixin expressament als interessats drets exigibles en relació amb el tractament de les seves dades personals, i
c) compleixin els requisits establerts a l’apartat 2.
2. Les normes corporatives vinculants esmentades a l’apartat 1 especificaran, com a mínim, els següents elements:
a) l’estructura i les dades de contacte del grup empresarial o de la unió d’empreses dedicades a una activitat econòmica conjunta i de cadascun dels seus membres;
b) les transferències o conjunts de transferències de dades, incloses les categories de dades personals, el tipus de tractaments i les seves finalitats, el tipus d’interessats afectats i el nom del tercer o els tercers països en qüestió;
c) el seu caràcter jurídicament vinculant, tant a nivell intern com a extern;
d) l’aplicació dels principis generals en matèria de protecció de dades, en particular la limitació de la finalitat, la minimització de les dades, els períodes de conservació limitats, la qualitat de les dades, la protecció de les dades des del disseny i per defecte, la base del tractament, el tractament de categories especials de dades personals, les mesures encaminades a garantir la seguretat de les dades i els requisits pel que fa a les transferències ulteriors a organismes no vinculats per les normes corporatives vinculants;
i) els drets dels interessats en relació amb el tractament i els mitjans per exercir-los, en particular el dret a no ser objecte de decisions basades exclusivament en un tractament automatitzat, inclosa l’elaboració de perfils de conformitat amb el que es disposa en l’article 22, el dret a presentar una reclamació davant l’autoritat de control competent i davant els tribunals competents dels Estats membres de conformitat amb l’article 79, i el dret a obtenir una reparació, i, quan escaigui, una indemnització per violació de les normes corporatives vinculants;
f) l’acceptació per part del responsable o de l’encarregat del tractament establerts al territori d’un Estat membre de la responsabilitat per qualsevol violació de les normes corporatives vinculants per part de qualsevol membre que es tracti no establert en la Unió; el responsable o l’encarregat solament serà exonerat, total o parcialment, d’aquesta responsabilitat si demostra que l’acte que va originar els danys i perjudicis no és imputable a aquest membre;
g) la forma en què es facilita als interessats la informació sobre les normes corporatives vinculants, en particular pel que fa a les disposicions contemplades en les lletres d), i) i f) del present apartat, a més dels articles 13 i 14;
h) les funcions de tot delegat de protecció de dades designat de conformitat amb l’article 37 (veure nota al peu), o de qualsevol altra persona o entitat encarregada de la supervisió del compliment de les normes corporatives vinculants dins del grup empresarial o de la unió d’empreses dedicades a una activitat econòmica conjunta, així com de la supervisió de la formació i de la tramitació de les reclamacions;
i) els procediments de reclamació;
j) els mecanismes establerts dins del grup empresarial o de la unió d’empreses dedicades a una activitat econòmica conjunta per garantir la verificació del compliment de les normes corporatives vinculants. Aquests mecanismes inclouran auditories de protecció de dades i mètodes per garantir accions correctivas per protegir els drets de l’interessat. Els resultats d’aquesta verificació haurien de comunicar-se a la persona o entitat al fet que es refereix la lletra h) i al consell d’administració de l’empresa que controla un grup empresarial, o de la unió d’empreses dedicades a una activitat econòmica conjunta, i posar-se a la disposició de l’autoritat de control competent que ho sol·liciti;
k) els mecanismes establerts per comunicar i registrar les modificacions introduïdes en les normes i per notificar aquestes modificacions a l’autoritat de control;
l) el mecanisme de cooperació amb l’autoritat de control per garantir el compliment per part de qualsevol membre del grup empresarial o de la unió d’empreses dedicades a una activitat econòmica conjunta, en particular posant a la disposició de l’autoritat de control els resultats de les verificacions de les mesures contemplades en la lletra j);
m) els mecanismes per informar a l’autoritat de control competent de qualsevol requisit jurídic d’aplicació en un país tercer a un membre del grup empresarial o de la unió d’empreses dedicades a una activitat econòmica conjunta, que probablement tinguin un efecte advers sobre les garanties establertes en les normes corporatives vinculants, i
n) la formació en protecció de dades pertinent per al personal que tingui accés permanent o habitual a dades personals.
3. La Comissió podrà especificar el format i els procediments per a l’intercanvi d’informació entre els responsables, els encarregats i les autoritats de control en relació amb les normes corporatives vinculants a tenor del que es disposa en el present article. Aquests actes d’execució s’adoptaran conformement al procediment d’examen al fet que es refereix l’article 93, apartat 2.
Article 93 Procediment de comitè
1. La Comissió estarà assistida per un comitè. Aquest comitè serà un comitè en el sentit del Reglament (UE) nº 182/2011.
2. Quan es faci referència al present apartat, s’aplicarà l’article 5 del Reglament (UE) n.o 182/2011.
3. Quan es faci referència al present apartat, s’aplicarà l’article 8 del Reglament (UE) nº182/2011, en relació amb el seu article 5.
Article 37
Designació del delegat de protecció de dades
1. El responsable i l’encarregat del tractament designaran un delegat de protecció de dades sempre que:
a) el tractament ho dugui a terme una autoritat o organisme públic, excepte els tribunals que actuïn en exercici de
la seva funció judicial;
b) les activitats principals del responsable o de l’encarregat consisteixin en operacions de tractament que, en raó de
la seva naturalesa, abast i/o finalitats, requereixin una observació habitual i sistemàtica d’interessats a gran escala, o
c) les activitats principals del responsable o de l’encarregat consisteixin en el tractament a gran escala de categories
especials de dades personals conformement a l’article 9 i de dades relatives a condemnes i infraccions penals al fet que es
refereix l’article 10.
2. Un grup empresarial podrà nomenar un únic delegat de protecció de dades sempre que sigui fàcilment
accessible des de cada establiment.
3. Quan el responsable o l’encarregat del tractament sigui una autoritat o organisme públic, es podrà designar
un únic delegat de protecció de dades per diverses d’aquestes autoritats o organismes, tenint en compte la seva
estructura organitzativa i grandària.
4. En casos diferents dels contemplats a l’apartat 1, el responsable o l’encarregat del tractament o les
associacions i altres organismes que representin a categories de responsables o encarregats podran designar un delegat
de protecció de dades o hauran de designar-ho si així ho exigeix el Dret de la Unió o dels Estats membres. El
delegat de protecció de dades podrà actuar per compte d’aquestes associacions i altres organismes que representin a
responsables o encarregats.
5. El delegat de protecció de dades serà designat atenent a les seves qualitats professionals i, en particular, als
seus coneixements especialitzats del Dret i la pràctica en matèria de protecció de dades i a la seva capacitat per
exercir les funcions indicades en l’article 39.
6. El delegat de protecció de dades podrà formar part de la plantilla del responsable o de l’encarregat del
tractament o exercir les seves funcions en el marc d’un contracte de serveis.
7. El responsable o l’encarregat del tractament publicaran les dades de contacte del delegat de protecció de dades
i els comunicaran a l’autoritat de control.