Transferencia de datos entre empresas
Diferentes tipos de transferencia de datos
La transferencia de datos personales entre empresas se puede dividir en tres tipos:
- 1. La transmisión a un tercero que procesa los datos como responsable independiente.
- 2. El tratamiento se realiza sobre la base de una responsabilidad conjunta
- 3. La transferencia a un proveedor de servicios que está sujeto a instrucciones y actúa como encargado de tratamiento.
Cada una de estas variantes tiene diferentes consecuencias legales, por lo que debe determinarse el tipo de transmisión en el caso individual en cuestión.
Para los dos primeros puntos solo hay partes responsables, bajo las cuales el RGPD incluye a cualquier persona física o jurídica, autoridad, institución u otro organismo que, solo (punto 1) o en conjunto (punto 2) con otros, sobre los fines y medios de procesamiento personal.
Si un organismo no decide los fines y los medios, pero se los dan, es decir, está obligado por instrucciones, este es el caso del punto 3.
Transferencia de datos conforme a la ley
Tan pronto como se determina qué tipo de transferencia de datos se está llevando a cabo, resulta el procedimiento legalmente requerido. En principio, el procesamiento de datos personales siempre requiere un permiso legal.
Transferir persona responsable a persona responsable
Cuando se transfieren datos entre dos personas responsables, por lo general se reduce a una justificación de acuerdo con el artículo 6, párrafo 1, cláusula 1 del RGPD , en el que el procesamiento se basa en un interés legítimo de acuerdo con el artículo 6, párrafo 1, cláusula 1 lit.
El considerando 48 del RGPD establece:
«Las personas responsables que formen parte de un grupo de empresas o de un grupo de instituciones que estén adscritas a una oficina central pueden tener un interés legítimo en transferir datos personales dentro del grupo de empresas para fines administrativos internos, incluido el tratamiento de datos personales de clientes y empleados. Los principios básicos para la transferencia de datos personales dentro de grupos corporativos a una empresa en un tercer país no se ven afectados «.
El tipo de datos también puede ser determinante para determinar si existe tal interés. Para la transmisión de datos de clientes, el equilibrio del interés legítimo predominante tenderá a ser a favor de la empresa; en el caso de los datos de los empleados, se debe aplicar un estándar más alto a los requisitos de transmisión.
Dado que la limitación estricta de la finalidad también debe observarse en el contexto de la transmisión de datos personales, los datos transmitidos solo pueden procesarse para la finalidad que justifique el interés legítimo establecido. Se requiere una base legal separada para cualquier procesamiento posterior de estos datos.
Responsabilidad compartida
El procesamiento también puede tener lugar en el marco del control conjunto, si los fines y los medios de procesamiento se determinan conjuntamente. Entonces se requieren tanto una base legal de acuerdo con el Art. 6 Párr. 1 Cláusula 1 del RGPD y un contrato de responsabilidad conjunta (Acuerdo de Controlador Conjunto).
Transferir de persona responsable al encargado de tratamiento
Si se cumplen los requisitos previos para el tratamiento de datos, no se requiere ningún permiso adicional para la transmisión según el Art. 6, párrafo 1, cláusula 1 del RGPD. Este es el caso si existe una autoridad para emitir instrucciones en una dirección, es decir, una empresa determina los fines y los medios del tratamiento y la otra realiza el tratamiento en consecuencia para ello.
Características especiales de una transferencia a un tercer país
Si los datos personales se transfieren a un tercer país para el que no existe una decisión de adecuación de acuerdo con el Art. 45 RGPD , el RGPD prescribe medidas adicionales que deben tomarse. Por ejemplo, al realizar un traslado a EE. UU. La mayoría de las veces, las cláusulas contractuales estándar de la UE de acuerdo con el Art. 46 Apartado 2 lit. c) RGPD , más raramente se aplican las Reglas corporativas vinculantes de acuerdo con el Art. 47 RGPD .
Existen cláusulas contractuales estándar para la transferencia de responsable a responsable y para la transferencia de responsable a encargado de tratamiento.
Requisitos de información e inclusión del procesamiento en el directorio de actividades de tratamiento
El tipo respectivo de transferencia de datos personales también tiene un impacto en las obligaciones de información de acuerdo con los artículos 13 y 14 del RGPD . Cada responsable debe informar a las personas afectadas por el tratamiento. Un encargado no tiene que proporcionar información porque no es el responsable. Si los datos se transfieren a un tercer país inseguro, se debe proporcionar información sobre esto y sobre las garantías adecuadas para la seguridad de la transferencia.
Además, el tratamiento debe estar incluido en el directorio de actividades de tratamiento .
Conclusión: haga que la transferencia de datos sea compatible con RGPD desde el principio
Si transfiere datos personales a otras empresas (también dentro de un grupo empresarial o grupo de empresas), siempre debe comprobar por qué y cómo se realiza la transferencia de datos. Una vez determinadas las circunstancias, se deben tomar las medidas necesarias (ponderación de intereses, acuerdo de tramitación de pedidos, acuerdo de controlador conjunto).
También se pasan por alto rápidamente particularidades como las transferencias a terceros países, especialmente en las grandes corporaciones. Pero es precisamente aquí donde no se pueden cometer errores. Las autoridades supervisoras pueden utilizar el registro de actividades de procesamiento para verificar de manera fácil y efectiva si se han cumplido las regulaciones. Las multas pueden basarse en las ventas grupales .