![La lista de países adecuados para las transferencias RGPD [TABLA]](https://static.dastra.eu/content/e17d5904-998c-4377-abe4-f36485364dad/la-liste-des-pays-adequats-pour-les-transferts-rgpd-tableau-300-1000.webp)
El traslado de datos personales a países fuera del Espacio Económico Europeo (EEE) está prohibido por defecto. Sin embargo, existen excepciones previstas por el Reglamento General de Protección de Datos (RGPD). Uno de los mecanismos clave para asegurar estas transferencias es el reconocimiento de la adecuación del país receptor por parte de la Comisión Europea. Este artículo tiene como objetivo informar a los Delegados de Protección de Datos (DPO) y otros profesionales de protección de datos sobre la lista de países considerados adecuados por la Unión Europea para las transferencias de datos personales.
El marco jurídico del artículo 45 del RGPD
El artículo 45 del RGPD permite las transferencias de datos personales a un país tercero o a una organización internacional cuando la Comisión Europea ha decidido que dicho país tercero, territorio o uno o varios sectores específicos dentro de ese país tercero, o esa organización internacional, ofrece un nivel de protección adecuado. Esta decisión de adecuación implica que el país tercero o la organización internacional proporciona un nivel de protección de datos esencialmente equivalente al garantizado dentro de la UE/EEE. Esta evaluación se basa en varios criterios, entre ellos:
- El respeto del estado de derecho, de los derechos humanos y de las libertades fundamentales.
- La existencia y el funcionamiento efectivo de una o varias autoridades de control independientes.
- Los compromisos internacionales del país o de la organización internacional en materia de protección de datos.
Lista de países adecuados y decisiones de adecuación
A continuación, se ofrece una descripción detallada de los países actualmente reconocidos como que ofrecen una protección adecuada de los datos por parte de la Comisión Europea, así como las decisiones de adecuación correspondientes y una breve descripción de su legislación local sobre protección de datos:
| País | Decisión de adecuación | Ley local | Descripción | URL |
|---|---|---|---|---|
| Andorra | 19 de octubre de 2010 | Ley 15/2003 sobre la protección de datos personales | La ley andorrana garantiza la protección de los datos personales y está alineada con los principios del RGPD. | Decisión de la Comisión sobre Andorra |
| Argentina | 3 de junio de 2003 | Ley 25.326 sobre la protección de datos personales | La ley argentina establece principios sólidos de protección de datos, similares a los del RGPD. | Decisión de la Comisión sobre Argentina |
| Canadá | 20 de diciembre de 2001 | Ley de protección de la información personal y documentos electrónicos (PIPEDA) | PIPEDA se aplica a las organizaciones comerciales y asegura un nivel adecuado de protección. Solo las organizaciones comerciales están cubiertas por esta decisión de adecuación. Los tratamientos de datos en sectores privados como el comercio, los servicios financieros y otras organizaciones comerciales están incluidos. |
Decisión de la Comisión sobre Canadá |
| Islas Feroe | 8 de diciembre de 2010 | Ley de protección de datos personales | La legislación de las Islas Feroe es conforme a los principios del RGPD, asegurando así una protección adecuada. | Decisión de la Comisión sobre las Islas Feroe |
| Guernsey | 21 de noviembre de 2003 | Ley de protección de datos (Data Protection (Bailiwick of Guernsey) Law, 2017) | La ley de Guernsey está alineada con las normas del RGPD, garantizando un alto nivel de protección. | Decisión de la Comisión sobre Guernsey |
| Israel | 31 de enero de 2011 | Ley sobre la protección de la privacidad, 1981 | La ley israelí sobre la protección de datos es considerada como que ofrece una protección adecuada. | Decisión de la Comisión sobre Israel |
| Isla de Man | 28 de abril de 2010 | Ley de protección de datos (Data Protection Act 2002) | La legislación de la Isla de Man es conforme a las exigencias europeas en materia de protección de datos. | Decisión de la Comisión sobre la Isla de Man |
| Japón | 23 de enero de 2019 | Ley sobre la protección de la información personal (APPI) | Japón ha implementado garantías adicionales para alinear su protección de datos con las normas de la UE. | Decisión de la Comisión sobre Japón |
| Jersey | 21 de noviembre de 2003 | Ley de protección de datos (Data Protection (Jersey) Law 2018) | Jersey tiene leyes que cumplen con los principios de protección de datos de la UE. | Decisión de la Comisión sobre Jersey |
| Nueva Zelanda | 19 de diciembre de 2012 | Ley de protección de la información personal (Privacy Act 1993, enmendada en 2020) | Nueva Zelanda asegura una protección adecuada de los datos con principios alineados con los de la UE. | Decisión de la Comisión sobre Nueva Zelanda |
| Suiza | 26 de julio de 2000 | Ley federal sobre la protección de datos (LPD) | La legislación suiza está armonizada con la de la UE, garantizando una protección adecuada. | Decisión de la Comisión sobre Suiza |
| Uruguay | 21 de agosto de 2012 | Ley sobre la protección de datos personales y de Habeas Data (Ley n° 18.331) | Uruguay ha implementado una legislación rigurosa sobre la protección de datos personales. | Decisión de la Comisión sobre Uruguay |
| Reino Unido | 28 de junio de 2021 | Data Protection Act 2018 | Tras el Brexit, el Reino Unido recibió una decisión de adecuación, confirmando que sus leyes de protección de datos ofrecen una protección equivalente a la del RGPD. | Decisión de la Comisión sobre Reino Unido |
| República de Corea | 17 de diciembre de 2021 | Ley sobre la protección de la información personal (PIPA) | La República de Corea ha implementado medidas para alinear su legislación sobre protección de datos con los requisitos del RGPD. | Decisión de la Comisión sobre Corea del Sur |
Adecuación de Estados Unidos: el Data Privacy Framework
Tras las sucesivas anulaciones de los marcos Safe Harbor y Privacy Shield, la Unión Europea y los Estados Unidos negociaron un nuevo marco de transferencia de datos. La Comisión Europea adoptó una decisión de adecuación para Estados Unidos el 10 de julio de 2023.
- Decisión de adecuación: 10 de julio de 2023
- Ley local: Data Privacy Framework (DPF)
- Descripción: El Data Privacy Framework (DPF) se estableció para abordar las preocupaciones planteadas por el TJUE sobre la vigilancia gubernamental y los recursos para las personas afectadas. Incluye compromisos vinculantes por parte de las autoridades estadounidenses para limitar el acceso de las agencias de inteligencia a los datos de la UE y proporcionar recursos efectivos a los ciudadanos europeos. El DPF también se basa en un mecanismo de auto-certificación donde las empresas estadounidenses deben comprometerse a cumplir los principios de protección de datos definidos por el marco y renovar esta certificación cada año.
- URL: Decisión de la Comisión sobre Estados Unidos
Proceso de revisión y revocación
Las decisiones de adecuación no son permanentes. La Comisión Europea supervisa continuamente la evolución de las leyes y prácticas de protección de datos en los países terceros y puede revocar o suspender una decisión de adecuación si considera que el nivel de protección adecuado ya no se garantiza.
Consecuencias prácticas para las organizaciones
La decisión de adecuación simplifica enormemente las transferencias de datos a estos países, eliminando la necesidad de recurrir a garantías adicionales como las cláusulas contractuales tipo, las normas corporativas vinculantes o los códigos de conducta. Para los DPO, esto significa una carga administrativa reducida y una mayor seguridad jurídica al planificar las transferencias de datos.
Para las organizaciones que operan dentro de la UE/EEE, es esencial mantenerse informadas sobre el estado de las decisiones de adecuación, ya que cualquier cambio puede afectar sus estrategias de transferencia de datos. Aquí hay algunas buenas prácticas:
- Verificación regular: Consulte regularmente la lista de los países adecuados en el sitio web de la Comisión Europea para mantenerse actualizado.
- Cláusulas contractuales tipo: Tenga preparados mecanismos alternativos, como cláusulas contractuales tipo, para las transferencias a países que podrían perder su estatus de adecuación.
- Evaluación continua: Evalúe regularmente los riesgos asociados con las transferencias de datos a países terceros, incluso aquellos reconocidos como adecuados.
Informe de la Comisión sobre las decisiones de adecuación de abril de 2024
Para más información sobre las decisiones de adecuación y los mecanismos de transferencia de datos, consulte el informe de la Comisión Europea publicado en 2024. Este informe ofrece un análisis detallado de los marcos de transferencia de datos y las decisiones de adecuación vigentes. Renueva las decisiones para 11 países.
- Enlace al informe: Informe de la Comisión (2024)
- Comunicado de prensa asociado: Comunicado de prensa de la Comisión Europea
¿Cómo le ayuda Dastra?
Incluimos por defecto en nuestra plataforma la lista de países reconocidos como adecuados por la Comisión Europea y la mantenemos actualizada. Además, realizamos un seguimiento necesario en caso de cambios en estas decisiones de adecuación. Gracias a nuestro mapa interactivo, puede visualizar todas las transferencias para los tratamientos de datos y verificar rápidamente la conformidad de las mismas.