Transferencias a terceros países
El nuevo reglamento de protección de datos también abarca la transferencia de datos personales a terceros países u organizaciones internacionales.
Si los datos personales se transfieren de la Unión Europea a responsables, encargados u otros destinatarios en terceros países o a organizaciones internacionales, esto no debe menoscabar el nivel de protección de las personas físicas garantizado en la Unión Europea por el nuevo reglamento de protección de datos, ni siquiera en las transferencias ulteriores de datos personales desde el tercer país u organización internacional a responsables y encargados en el mismo u otro tercer país u organización internacional. Con este fin, se encomienda a la Comisión la evaluación del nivel de protección que ofrece un territorio o un sector de tratamiento en un tercer país.
Cuando la Comisión no haya adoptado una decisión de adecuación sobre un territorio o sector, la transferencia de datos personales se puede seguir realizando en casos especiales o cuando existan garantías apropiadas (cláusulas tipo de protección de datos, normas corporativas vinculantes, cláusulas contractuales).
Por tanto, en ausencia de una decisión por la que se constate la adecuación de la protección de los datos, el responsable o el encargado del tratamiento deben tomar medidas para compensar la falta de protección de datos en un tercer país mediante garantías adecuadas para el interesado.
Comunicación de brechas de seguridad a las autoridades y a los afectados
Esta es una de grandes novedades que introduce el nuevo reglamento de protección de datos.
Hasta ahora no era obligatorio informar a las autoridades cuando se producía una brecha, pero con la entrada en vigor del reglamento las empresas deben comunicar a las autoridades nacionales competentes lo antes posible cualquier violación de las reglas sobre protección de datos. Y, además, han de informar al interesado sin dilación indebida la violación de la seguridad de los datos personales en caso de que puede entrañar un alto riesgo para sus derechos y libertades, y permitirle tomar las precauciones necesarias. Es una consecuencia del principio de privacy by design establecido en la nueva normativa.
La comunicación debe describir la naturaleza de la violación de la seguridad de los datos personales y las recomendaciones para que la persona física afectada mitigue los potenciales efectos adversos resultantes de la violación.
No hay comentarios:
Publicar un comentario