Política de transferencia internacional de datos personales
Objetivo
Proporcionar directrices para llevar a cabo transferencias internacionales de datos y orientaciones sobre cómo gestionar las distintas actividades y operaciones de tratamiento de datos.
El proceso de cumplimiento implica interpretar la ley para definir las obligaciones legales, diagnosticar los hechos pertinentes y relevantes para su aplicación y mapear los flujos y procesos que contribuyen o no a que los hechos sean
de acuerdo con el documento legal.
Esta Política establece reglas para el control de los datos personales, dentro de los límites prescritos en la Ley General de Protección de Datos Personales (LGPD) Ley 13.709/2018.
Documentos relacionados son la Política de Privacidad de CAST:
https://www.cast4it.com/politica-de-privacidade-2/.
CONTEXTO
La LGPD es una ley transversal que afecta a diferentes agentes económicos de Brasil, como el mundo académico, el sector privado, el sector público y el tercer sector.
Entre los agentes obligados, CAST se encuentra en el sector de las Tecnologías de la Información (TI), por lo que presenta por tanto una serie de particularidades en el tratamiento de datos personales que se realiza dentro de su estructura. dentro de su estructura.
Como es bien sabido, la CAST trabaja con varios clientes
tanto dentro como fuera del país, que también tienen sinergias con el ámbito de la protección de datos.
Como resultado de este trabajo se pretende desarrollar: el cumplimiento por parte del CAST del nuevo contexto normativo de protección de datos de la LGPD y, alternativamente, al establecido por el GDPR. establecido por el GDPR; con potencial de difusión y réplica por otras instituciones e influir en agentes gubernamentales y otros actores privados.
ÁREAS IMPLICADAS
Todas las áreas de CAST.
DEFINICIONES
AGENTE DE TRATAMIENTO: el Controlador y el Operador (Art. 5, IX, LGPD).
ANONIMIZACIÓN: utilización de medios técnicos razonables disponibles en el momento del tratamiento, por los que un dato pierde la posibilidad de asociación directa o indirecta con una persona (Art. 5, XI, LGPD). Los datos anonimizados, en los términos de la ley, dejan de ser considerados datos personales, garantizando una mayor libertad en su tratamiento (Art. 12, LGPD).
AUTORIDAD NACIONAL DE PROTECCIÓN DE DATOS PERSONALES ("ANPD"): Órgano de la Administración Pública encargado de velar, aplicar y supervisar el cumplimiento de la Ley en todo el territorio nacional
(Art. 5, XIX, LGPD). La ANPD fue creada por la LGPD como un órgano de la administración pública federal con autonomía técnica, dependiente de la Presidencia de la República, y su naturaleza fue definida como transitoria y sujeta a transformación por el Poder Ejecutivo
en una entidad de la administración pública federal indirecta, sujeta a un régimen autárquico especial y vinculada a la Presidencia de la República (Art. 55-A).
FUNDAMENTO JURÍDICO: es el fundamento que autoriza el tratamiento de datos personales por parte de un encargado, y deberá definirse, en casos específicos, con base en alguna de las hipótesis previstas en la LGPD en el artículo 7 (en el caso de datos personales) o en el artículo 11 (en el caso de
datos personales sensibles). Las bases legales sólo no serán necesarias en los casos en que no aplique la LGPD, como en las hipótesis del artículo 4 o en situaciones de tratamiento de datos anonimizados, cuando no sea posible identificar al titular
por medios razonables.
CONSENTIMIENTO: expresión libre, informada e inequívoca (Art. 7, I, LGPD) por la que el interesado consiente el tratamiento de sus datos personales para una finalidad determinada (Art. 5, XII, LGPD). Deberá constar por escrito o por otro medio que acredite la manifestación de voluntad del interesado (Art. 8, LGPD).
RESPONSABLE: persona física o jurídica, pública o privada, que es responsable de las decisiones relativas al tratamiento de datos personales (art. 5, VI, LGPD). Determina cómo se tratan los datos.
INTERESADO: persona física a la que se refieren los datos personales objeto de tratamiento (art. 5, V, LGPD).
DATOS PERSONALES: información relativa a una persona física identificada o identificable (Art. 5, I, LGPD). También se consideran datos personales a efectos de la ley aquellos
utilizados para formar el perfil de comportamiento de una determinada persona física, si está identificada (Art. 12, §2, LGPD).
DATOS PERSONALES SENSIBLES: datos personales de origen racial o étnico, convicciones religiosas, opiniones políticas, afiliación sindical o a organizaciones religiosas, filosóficas o políticas, datos relativos a la salud o a la vida sexual, datos genéticos o biométricos, cuando estén vinculados a una persona física (Art. 5, II, LGPD).
RESPONSABLE DE PROTECCIÓN DE DATOS (RPD): es la persona física o jurídica designada por el Encargado del Tratamiento para actuar como canal de comunicación entre el Responsable del Tratamiento, los interesados y la Autoridad Nacional de Protección de Datos (ANPD).
ESPACIO ECONÓMICO EUROPEO ("EEE"): creado en 1994 para ampliar las disposiciones del mercado interior de la Unión Europea a los países de la Asociación Europea de Libre Comercio (AELC). En virtud de la normativa de la UE, no existen prohibiciones a la libre circulación de datos personales entre los Estados miembros de la UE por motivos relacionados con la protección de las personas físicas en relación con el tratamiento de datos personales. El espacio de libre circulación de datos se ha ampliado al EEE, que incorpora a Islandia, Liechtenstein y Noruega al mercado interior.
GDPR (GENERAL DATA PROTECTION REGULATION): Reglamento General de Protección de Datos 2016/679. Son normas sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).
LGPD (LEY GENERAL DE PROTECCIÓN DE DATOS): La Ley 13.709/2018 contempla el tratamiento de datos personales, incluso en soporte digital, por personas físicas o jurídicas de derecho público o privado (Art. 1, LGPD). Se aplica a cualquier tratamiento realizado por una persona física o por una persona jurídica de derecho público o privado, con independencia del soporte, del país en el que tenga su sede o del país en el que se encuentren los datos, siempre que: el tratamiento se realice en territorio nacional; la actividad de tratamiento tenga por objeto la oferta o prestación de bienes o servicios
o el tratamiento de datos de personas físicas ubicadas en territorio nacional; o los datos personales objeto del tratamiento hayan sido recabados en territorio nacional (Art. 3, apartado principal e incisos I a III, LGPD).
ADPPA (THE US DATA PROTECTION AND PRIVACY ACT): Ley aprobada con algunas modificaciones el 20 de julio de 2022 y la ADPPA se aplica al tratamiento de datos cubiertos, es decir, sólo a los datos que identifican o están vinculados o
razonablemente vinculables a la persona.
ENCARGADO: persona física o jurídica, pública o privada, que realiza el tratamiento de datos personales por cuenta del Responsable (art. 5, VII, LGPD). Es la persona que da las órdenes sobre cómo deben tratarse los datos.
TRATAMIENTO: cualquier operación realizada con datos personales, tales como las relativas a la recolección, producción, recepción, clasificación, uso, acceso, reproducción, transmisión, distribución, procesamiento, archivo, almacenamiento, eliminación, evaluación o control de la información, modificación, comunicación, transferencia, difusión o extracción (Art. 5, X, LGPD).
TRANSFERENCIA INTERNACIONAL DE DATOS: es la transferencia de datos personales a un país extranjero u organización internacional de la que el país sea miembro (Art. 5, XV, LGPD).
UNIÓN EUROPEA ("UE"): es un bloque económico formado por 28 países europeos (27 con el Brexit, es decir, la salida del Reino Unido): Alemania, Austria, Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Italia, Letonia, Lituania, Luxemburgo, Malta, Países Bajos, Polonia, Portugal, Reino Unido, República Checa, Rumanía y Suecia.
PRINCIPIOS DE LA LGPD
En terminología jurídica, un principio es un tipo de norma que debe cumplirse en la mayor medida posible y cuyo contenido sirve de pauta general para interpretar situaciones concretas. En la LGPD, los principios se enumeran a lo largo del artículo 6 y son los siguientes:
ADECUACIÓN: compatibilidad del tratamiento con las finalidades informadas al interesado, según el contexto del tratamiento (art. 6, II, LGPD).
BUENA FE: supone observar un comportamiento leal, correcto y proactivo en la realización de actividades de tratamiento de datos personales. Este principio actúa como guía de todos los demás y sirve de faro para interpretar los conceptos abiertos (art. 6, caput, LGPD).
FINALIDAD: tratamiento efectuado con fines legítimos, determinados y explícitos e informados al interesado, sin que sea posible un tratamiento posterior incompatible o desnaturalizado (art. 6, I, LGPD).
ACCESO LIBRE: garantizar a los interesados una consulta libre y sencilla sobre la forma y duración del tratamiento, así como sobre la integridad de sus datos personales (art. 6, IV, LGPD).
NO DISCRIMINACIÓN: imposibilidad de tratamiento con fines discriminatorios ilícitos o abusivos (art. 6, IX, LGPD).
NECESIDAD: limitación o minimización del tratamiento al mínimo necesario para el cumplimiento de sus fines, abarcando los datos que sean pertinentes, proporcionados y no excesivos en relación con los fines del tratamiento (art. 6, III, LGPD).
PREVENCIÓN: adopción de medidas para evitar la producción de daños como consecuencia del tratamiento de datos personales (art. 6, VIII, LGPD).
CALIDAD DE LOS DATOS: garantizar a los interesados que los datos son exactos, claros, pertinentes y actualizados, de acuerdo con la necesidad de los mismos y para el cumplimiento de la finalidad para la que son tratados (art. 6, V, LGPD).
RESPONSABILIDAD Y RENDICIÓN DE CUENTAS: demostración por parte del agente de la adopción de medidas efectivas capaces de acreditar el cumplimiento de las normas de protección de datos de carácter personal, incluyendo la eficacia de dichas medidas (art. 6, X, LGPD).
SEGURIDAD: la utilización de medidas técnicas y administrativas para proteger los datos personales del acceso no autorizado y de la destrucción, pérdida, alteración, comunicación o difusión accidental o ilícita (art. 6, VII, LGPD).
TRANSPARENCIA: garantizar a los interesados información clara, precisa y fácilmente accesible sobre el tratamiento y los respectivos encargados del mismo, respetando el secreto comercial e industrial (art. 6, VI, LGPD).
DERECHOS DEL TITULAR EN LA LGPD
Los derechos de los interesados se recogen principalmente en el artículo 18 de la LGPD. También existe el derecho de propiedad (artículo 17) y, en relación con el tratamiento automatizado, los derechos de información y revisión (artículo 20):
ACCESO A LOS DATOS: el interesado tiene derecho a recibir una copia de los datos personales que obren en poder de la empresa, si así lo solicita (art. 18, II, LGPD). Según la LGPD, este derecho estará sujeto a regulación por la autoridad nacional y las autoridades sanitarias y de salud, en el ámbito de sus competencias (art. 13, § 3, LGPD). Cabe destacar que los notarios y las oficinas de registro deberán facilitar el acceso a los datos por medios electrónicos a la administración pública, en atención a sus fines (art. 23, § 5, LGPD).
ANONIMIZACIÓN, BLOQUEO O SUPRESIÓN: el interesado tiene derecho a solicitar la anonimización, el bloqueo o la supresión de sus datos innecesarios, excesivos o tratados con infracción de lo dispuesto en la Ley (art. 18, IV, LGPD).
CONFIRMACIÓN DE LA EXISTENCIA DEL TRATAMIENTO: derecho del interesado a obtener del responsable del tratamiento, en relación con los datos del interesado tratados por éste, en cualquier momento y previa solicitud, información sobre la existencia del tratamiento (art. 18, I, LGPD), es decir, de cada operación realizada con sus datos personales (art. 5, X, LGPD).
RECTIFICACIÓN DE DATOS INCOMPLETOS, INEXACTOS O ACTUALIZADOS: el interesado podrá solicitar la rectificación de los datos cuando sean inexactos, insuficientes, inexactos, no expresen la completitud de la información almacenada o deban actualizarse (art. 18, III, LGPD).
ELIMINACIÓN DE DATOS PERSONALES: el interesado puede solicitar la supresión de sus datos, por lo que la empresa deberá eliminar todos los datos recogidos en relación con ese interesado, salvo que exista otra base legal para conservar esos datos (art. 18, VI, LGPD).
INFORMACIÓN SOBRE EL COMPARTIMIENTO: el interesado podrá solicitar información a las entidades públicas y privadas con las que el Responsable haya compartido datos (art. 18, VII, LGPD).
INFORMACIÓN SOBRE EL NO CONSENTIMIENTO: el interesado puede solicitar información sobre la posibilidad e hipótesis de no prestar el consentimiento, además de conocer las consecuencias de la negativa (art. 18, VIII, LGPD).
INFORMACIÓN SOBRE EL TRATAMIENTO AUTOMATIZADO: el interesado puede solicitar información sobre los criterios y procedimientos utilizados para la decisión automatizada. Esta información, que deberá facilitar el responsable del tratamiento, deberá ser clara y coherente con lo solicitado (art. 20, §1, LGPD).
OPOSICIÓN: el interesado podrá oponerse al contexto del tratamiento de datos y/o a los fines del tratamiento, incluido el tratamiento realizado sobre la base de una de las hipótesis de renuncia al consentimiento (art. 18, §2, LGPD).
PETICIÓN: el interesado puede formular cualquier petición relativa a sus datos contra el responsable del tratamiento ante la autoridad nacional (art. 18, §1, LGPD).
PORTABILIDAD: puesta a disposición de los datos del interesado a otro proveedor de servicios o productos, previa solicitud expresa y respetando los secretos comerciales e industriales, de conformidad con la normativa del Órgano de Control (art. 18, V, LGPD).
REVISIÓN: el interesado puede solicitar la revisión de las decisiones adoptadas exclusivamente sobre la base de un tratamiento automatizado de datos personales que afecten a sus intereses, incluidas las decisiones dirigidas a definir su perfil personal, profesional, de consumo y de crédito o aspectos de su personalidad (art. 20, caput, LGPD).
REVOCACIÓN DEL CONSENTIMIENTO: manifestación expresa del interesado, a través de un procedimiento gratuito y facilitado (art. 18, IX, LGPD), ratificando el tratamiento efectuado en los términos del consentimiento previamente manifestado en tanto no exista solicitud de cancelación (art. 8, §5, LGPD).
TITULARIDAD DE LOS DATOS PERSONALES: toda persona física tiene garantizada la titularidad de sus datos personales y se le garantizan los derechos fundamentales de libertad, privacidad e intimidad (art. 17, LGPD), por lo que el titular es, por tanto, la persona física a la que se refieren los datos personales objeto de tratamiento (art. 5, V, LGPD).
ÁMBITO DE APLICACIÓN
El objetivo de esta Política es proporcionar algunas directrices para las operaciones de tratamiento que implican la transferencia internacional de datos personales. Cuando pensamos en Clientes, Empleados, Candidatos, Proveedores y Socios, se transfieren internacionalmente datos relativos a personas físicas identificadas o identificables. A este respecto, es necesario cumplir las leyes y reglamentos aplicables, garantizando un nivel elevado y coherente de protección de los datos personales y salvaguardando los derechos y libertades individuales de los interesados. El contenido de esta Política se expone a continuación:
- Transferencia internacional de datos: normativa aplicable: En este apartado se explica el ámbito de aplicación de la LGPD y algunos puntos del GDPR, definiendo qué es la transferencia internacional de datos y cuándo se produce.
- Precauciones para realizar una transferencia internacional: expone en qué casos está permitida una transferencia internacional, cuáles son los requisitos y qué preguntas hay que hacerse antes de realizarla.
TRANSFERENCIA INTERNACIONAL DE DATOS: NORMAS APLICABLES
REQUISITOS PARA LLEVAR A CABO CUALQUIER TRATAMIENTO DE DATOS PERSONALES
La LGPD enumera las hipótesis que autorizan el tratamiento de datos personales en los artículos 7 y 11 (datos personales sensibles), las denominadas bases jurídicas. Todas las operaciones de tratamiento deben basarse en una base jurídica válida y adecuada y
esta elección debe registrarse y realizarse previamente, antes del tratamiento.
Además, todas las operaciones de tratamiento deben respetar los principios de protección de datos personales (art. 6 y art. 16 de la LGPD), y deben llevarse a cabo con fines específicos (por ejemplo, si la finalidad es la ejecución de un contrato, los datos no pueden utilizarse con fines de mercadotecnia), y no se permite indicar una finalidad genérica (por ejemplo, disponiendo que los datos puedan utilizarse eventualmente con otros fines). Asimismo, la finalidad debe ser explícita (no presunta) e informada al interesado, es decir, el interesado debe disponer de información clara, suficiente y precisa para comprender los fines y la necesidad del tratamiento, de conformidad con el principio de transparencia de
. En este sentido, si el tratamiento está vinculado al cumplimiento de una obligación legal, por ejemplo, es imperativo que esta información se presente al interesado, de modo que exista una expectativa de tratamiento.
Por tanto, el tratamiento debe ser adecuado, es decir, compatible con los fines informados al interesado, acorde con el contexto en el que se realiza, limitado al mínimo necesario para alcanzar sus fines, referirse únicamente a datos pertinentes, proporcionados y no excesivos y respetar los demás principios de protección de datos (art. 6 de la LGPD).
En consonancia con las mejores prácticas de gobernanza, también es esencial posibilitar a los interesados el ejercicio de sus derechos (art. 18 de la LGPD), proporcionándoles información suficiente sobre sus derechos y la forma de ejercerlos, así como indicándoles los cauces para formular solicitudes.
Es importante destacar que todos los documentos que traten de la privacidad y la protección de datos, como contratos, políticas de privacidad y condiciones de consentimiento, deben contener información suficiente sobre cómo, con qué fin y sobre qué base (fundamento jurídico) se tratan los datos. De las recomendaciones anteriores se desprende que existen algunos requisitos legales para que el tratamiento de datos personales se considere legítimo. A continuación se resumen algunas cuestiones destinadas a verificar la legitimidad del tratamiento.
RESUMEN: ¿CUÁNDO ES LEGÍTIMO EL TRATAMIENTO DE DATOS PERSONALES?
- Pregunta 1: ¿Es necesario el tratamiento para la realización del objeto previsto y su correspondiente finalidad? ¿Hay alguna otra forma de proceder sin el tratamiento? Si no es así, pase a las siguientes preguntas.
- Pregunta 2: ¿Se tratan los datos con fines específicos, explícitos e informados para el interesado y la persona responsable del interesado?
- Pregunta 3: ¿Se basa el tratamiento en un fundamento jurídico válido y adecuado?
- Pregunta 4: Si el consentimiento es la base jurídica, ¿se obtiene y registra adecuadamente?
OBLIGACIONES DE TRANSPARENCIA Y SEGURIDAD DE LOS RESPONSABLES DEL TRATAMIENTO
La LGPD establece que el Responsable u Operador que, como consecuencia de la realización de actividades de tratamiento de datos personales, cause un daño patrimonial, moral, individual o colectivo a terceros por infracción de la legislación de protección de datos personales, está obligado a repararlo (art. 42).
Téngase en cuenta que el operador responderá solidariamente de los daños y perjuicios causados por el tratamiento cuando incumpla las obligaciones de la legislación de protección de datos o cuando no haya seguido las instrucciones lícitas del Responsable del tratamiento, en cuyo caso el Operador se equipara al Responsable del tratamiento (art. 42, I, de la LGPD). En otras palabras, el Operador debe cumplir la legalidad de la orden recibida por el Responsable del tratamiento.
Los encargados del tratamiento no serán considerados responsables a menos que puedan demostrar: que no han realizado el tratamiento de datos personales que se les ha asignado; que, aunque hayan realizado el tratamiento, no se ha infringido la legislación sobre protección de datos; o que el daño es culpa exclusiva del interesado o de un tercero.
Debe tenerse en cuenta que el tratamiento de datos personales será irregular cuando no se ajuste a la legalidad o no ofrezca la seguridad que el interesado puede esperar de él, habida cuenta de la forma en que se realice, del resultado y de los riesgos que razonablemente quepa esperar de él y de las técnicas de tratamiento de datos personales existentes en el momento en que se llevó a cabo (art. 44, LGPD).
Los encargados del tratamiento tienen la obligación de garantizar la seguridad de los datos personales, en la medida de su responsabilidad en la realización del tratamiento. Teniendo en cuenta que la transferencia internacional de datos supone un mayor riesgo para los derechos y libertades de los interesados, si no se emplean técnicas y medidas adecuadas y satisfactorias, aumentan las posibilidades de que se produzcan incidentes de seguridad
.
Por lo tanto, el responsable del tratamiento o el encargado del tratamiento que no adopte las medidas de seguridad adecuadas, causante del daño, podrá ser responsable de los daños y perjuicios derivados de una violación de la seguridad de los datos. Los Encargados del Tratamiento deberán, por tanto, adoptar las medidas de seguridad de índole técnica y administrativa necesarias para la protección de los datos de carácter personal contra el acceso no autorizado y la destrucción, pérdida, alteración, comunicación accidental o ilícita o cualquier forma de tratamiento inadecuado o ilícito (art. 46, LGPD).
En cualquier operación que implique la transferencia internacional de datos, el responsable del tratamiento debe respetar los principios de protección de datos y salvaguardar los derechos de los interesados, entre ellos la transparencia, es decir, el interesado debe disponer de información clara, precisa y fácilmente accesible sobre el tratamiento y los respectivos encargados del tratamiento. También debe facilitarse a los interesados información adicional sobre la transferencia, especialmente cuando se trate de datos sensibles.
¿QUÉ ES LA TRANSFERENCIA INTERNACIONAL DE DATOS?
Puede ocurrir que, como consecuencia de la naturaleza de las operaciones de los Responsables, sea necesario tratar datos personales conjuntamente con empleados, departamentos o incluso organismos e instituciones de otros países, operadores de servicios externalizados contratados fuera de la jurisdicción nacional, o compartir datos con instituciones extranjeras con las que se hayan establecido acuerdos y colaboraciones.
En estas situaciones, se producirá una transferencia internacional de datos, es decir, los datos personales se transferirán a un país extranjero o a una organización internacional de la que el país sea miembro (art. 5, XV, de la LGPD). La transferencia internacional implica el uso compartido de los datos (Art. 5, XVI de la LGPD).
Sin embargo, hay que hacer una distinción, teniendo en cuenta que hoy en día los datos viajan a velocidades que antes eran inimaginables. Evidentemente, una cantidad considerable de información se transporta por la red del punto "A" al punto "B", en distintos países, a través de proveedores de Internet, de una aplicación a otra.
En este contexto, el mero transporte de información a través de la red no se caracteriza como transferencia internacional de datos. Por lo tanto, el proveedor de Internet no se caracterizará como operador.
Sin embargo, cuando agentes situados en los puntos "A" y "B", en países diferentes, desean compartir la información de personas físicas identificadas o identificables para determinados fines, ello implica una transferencia internacional y sólo puede llevarse a cabo cuando cumple determinados requisitos legales (o reglamentarios).
He aquí algunos ejemplos que le ayudarán a comprender cuándo se caracteriza la transferencia internacional de datos.
EJEMPLOS:
- Ejemplo 1 - intercambio de correos electrónicos: imaginemos que una persona física de Brasil envía un correo electrónico a un destinatario de Inglaterra. Si este correo electrónico contiene hojas de cálculo o documentos con datos sobre los candidatos a un determinado puesto de trabajo, esta operación se caracterizaría como una transferencia internacional de datos.
Ejemplo 2 - acceso a un sistema en el extranjero: un ejecutivo de cierta multinacional viaja al extranjero y accede a información sobre clientes en sus archivos y en el sistema de su empresa en su ordenador . Esto no caracteriza una transferencia internacional de datos. Sin embargo, si los datos se transmiten a terceros a través de este sistema, sí constituiría una transferencia.
- Ejemplo 3 - llamada telefónica: un empleado de cierta empresa extranjera llama a su supervisor, transmitiéndole datos sobre las inversiones y el patrimonio de dos de sus clientes, personas físicas brasileñas. Al final de la llamada, el supervisor graba y almacena los datos en su ordenador, en el sistema de la empresa extranjera. Esto caracteriza la transferencia internacional de datos.
Veremos que la LGPD prevé algunas hipótesis taxativas en las que se permite la transferencia internacional de datos personales (Arts. 33 a 36 de la LGPD). Al fin y al cabo, la transferencia internacional implica mayores riesgos para los derechos y libertades de los titulares de los datos personales, bien por la distancia entre los puntos "A" y "B", bien por la necesidad de armonización entre las legislaciones de los distintos países, a fin de salvaguardar las garantías que dichas legislaciones confieren a los titulares de los datos.
¿CUÁNDO SE PERMITE LA TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES EN VIRTUD DE LA LGPD?
Según la LGPD (Art. 33), la transferencia internacional de datos personales sólo se permite, alternativamente, cuando:
(a) Los países u organismos internacionales proporcionen un nivel de protección de datos personales adecuado al previsto en la LGPD (Art. 33, I, de la LGPD). Se establece que el nivel de protección de datos del país extranjero u organismo internacional será evaluado por la ANPD (Art. 34 de la LGPD), por lo que las personas jurídicas de derecho público, en el ámbito de sus competencias legales, y los responsables de las mismas, en el ámbito de sus actividades, podrán solicitar a la ANPD que evalúe el nivel de protección de datos personales que ofrece un país u organismo internacional (Art. 33, párrafo único de la LGPD).
(b) El Responsable ofrece y acredita garantías de cumplimiento de los principios, los derechos del interesado y el régimen de protección de datos previsto en la LGPD. Es responsabilidad del Responsable del Tratamiento garantizar la seguridad de los datos y la protección de los derechos y garantías de los interesados. Esta hipótesis se trata con más detalle en la sección "Transferencia a países con régimen diferente del brasileño".
(c) La transferencia sea necesaria para la cooperación jurídica internacional entre órganos públicos de inteligencia, investigación y persecución, de conformidad con instrumentos de derecho internacional (Art. 33, III, de la LGPD). (d) La transferencia sea necesaria para la protección de la vida o la seguridad física del titular de los datos o de terceros (Art. 33, IV, de la LGPD). En este caso, se podrían abarcar estudios que involucren COVID-19, algoritmos sobre el comportamiento de sistemas epidémicos.
(e) La autoridad nacional autoriza la transferencia (art. 33, V de la LGPD).
(f) La transferencia resulta de un compromiso contraído en un acuerdo de cooperación internacional (art. 33, VI, de la LGPD). En este caso, la transferencia puede realizarse a través de un acuerdo bilateral entre ministerios de distintos países, por ejemplo.
(g) La transferencia sea necesaria para la ejecución del orden público o atribución legal del servicio público (Art. 33, VII, de la LGPD).
(h) Que el interesado haya dado su consentimiento expreso y destacado a la transferencia (art. 33, VIII, de la LGPD), con información previa del carácter internacional de la operación, distinguiendo claramente entre ésta y otras finalidades; o bien
(i) Es necesario para cumplir las hipótesis previstas en los puntos II, V y VI del art. 7 de la LGPD (art. 33, IX, de la LGPD), es decir, respectivamente: para el cumplimiento de una obligación legal o reglamentaria por parte del Responsable del Tratamiento, cuando sea necesario para la ejecución de un contrato o de procedimientos preliminares relacionados con un contrato en el que el interesado sea parte, a petición del interesado y para el ejercicio regular de derechos en procedimientos judiciales, administrativos o de arbitraje.
Entre las hipótesis antes mencionadas se encuentra la posible protección de la salud o integridad física del interesado o tercero (Art. 33, VI, de la LGPD), por lo que si el interesado o tercero se encuentra en riesgo, excepcionalmente se podrá realizar la transferencia para salvaguardarlos.
Lo dispuesto en el Art. 33, II, de la LGPD respecto a cuándo el Responsable ofrece y acredita garantías de cumplimiento de los principios, derechos del titular de los datos y régimen de protección de datos de la LGPD se presentará en el siguiente apartado de esta Política.
Consentimiento específico y destacado de los propietarios (Art. 33, VIII, de la LGPD ) La cesión podrá realizarse con el consentimiento específico y destacado de los propietarios, siempre que se informe previamente del carácter internacional de la operación, distinguiéndola claramente de otras finalidades.
EJEMPLO:
Una determinada institución quiere promover nuevas asociaciones internacionales, por lo que la transferencia debe basarse en una hipótesis jurídica que la autorice, por ejemplo cuando el titular da su consentimiento específicamente para el fin deseado (que debe describirse de forma clara y fácil de entender) y destacado. También se recomienda que la transferencia esté prevista en las condiciones de uso y la política de privacidad de la plataforma. En algunos casos será necesario elaborar más de una versión de estos documentos para los titulares de los datos en los países implicados, de conformidad con la normativa aplicable.
El consentimiento del titular de datos personales es la expresión libre, informada e inequívoca por la que el titular consiente el tratamiento de datos personales para una finalidad específica. Conviene analizar brevemente las características del consentimiento aquí señaladas.
En este sentido, el consentimiento de un interesado puede considerarse libre en situaciones en las que exprese su elección de forma espontánea y sin ningún tipo de coacción o coerción. También es importante señalar que el interesado debe ser informado de la posibilidad de no dar su consentimiento y de las consecuencias de negarse a hacerlo.
El interesado debe ser informado, de forma clara y transparente, sobre qué datos personales debe facilitar, cuáles se recopilarán independientemente de que los facilite o no, y las consecuencias de no dar su consentimiento a la facilitación o recopilación de dichos datos (como la eliminación del proceso de selección, por ejemplo).
Se informará al interesado cuando la información sea clara, precisa, en lenguaje sencillo y fácil de entender. Es esencial asegurarse de que no se ha ocultado al interesado información esencial sobre la operación de tratamiento, sus métodos, los agentes implicados y los posibles riesgos. En este sentido, tendrán más control sobre sus datos.
El adjetivo inequívoco se refiere a la forma en que el interesado expresa su acuerdo con el tratamiento de sus datos de manera firme y clara. Es esencial garantizar que la persona física ha dado su consentimiento a las operaciones que se llevarán a cabo con su información, por lo que debe garantizarse siempre al interesado la prominencia de las cláusulas de tratamiento de datos personales, ya sea en formato electrónico o impreso. En otras palabras, con arreglo a la nueva legislación sobre protección de datos personales, además de una confirmación clara por parte del interesado, éste debe haber decidido sin ambigüedades, confusiones o elementos que puedan poner en peligro su decisión.
Una vez explicado el concepto de consentimiento, también es necesario subrayar que su concepto difícilmente puede evaluarse de forma aislada, de manera estática. El consentimiento sólo puede considerarse libre, informado e inequívoco si se tiene en cuenta la finalidad de la operación de tratamiento de datos personales. La finalidad es mucho más que un mero accesorio del consentimiento, es uno de los principios de la Ley General de Protección de Datos Personales.
Por finalidad se entiende el propósito informado a la persona física sobre las operaciones que se llevarán a cabo para tratar sus datos. La combinación de consentimiento y finalidad permite garantizar, por una parte, que el agente responsable del tratamiento de datos personales se ha esforzado por dejar claros los fines para los que se recogen, almacenan y utilizan los datos del interesado y, por otra, que el consentimiento del interesado queda lo más claro posible.
En cuanto al adjetivo destacado, la cláusula sobre la transferencia internacional de datos no puede estar en medio de otras cláusulas de un contrato, por ejemplo, y debe estar separada. Si se trata de un documento en línea, por ejemplo, las condiciones de uso, debe estar en su propia ventana.
También es aconsejable separar los fines para los que se da el consentimiento, a fin de no imponer un tratamiento excesivo al interesado. Una buena solución es utilizar casillas de verificación para obtener el consentimiento de forma granular. Además, no es recomendable que las casillas de verificación estén ya marcadas, lo que induciría a error al interesado haciéndole creer que la selección de esas opciones sería la única posibilidad de utilizar los servicios, por lo que deben presentarse en blanco en el término o cláusula para que el interesado las marque.
EJEMPLO:
(I) Consentimiento para la transferencia internacional de datos:
Por la presente autorizo al [RESPONSABLE] y/o a cualquiera de sus [OPERADORES] a tratar mis datos personales indicados en el punto II para los fines [...] establecidos en el punto III;
(II) Datos personales: (marque con una "x" las opciones deseadas o deje en blanco si no está de acuerdo) ☐ nombre y número de teléfono personal; ☐ nombre y dirección de correo electrónico personal; ☐ nombre y dirección de correo electrónico corporativo;
(III) Fines: (marque al menos una opción con una "x") ☐ contratación de empleados publicidad de eventos; ☐ publicidad de cursos
; ☐ publicidad del boletín informativo; ☐ publicidad general; ☐ No deseo recibir ninguna de las publicidades enumeradas anteriormente;
(IV) Información adicional sobre la cesión Los datos podrán ser cedidos al tercero operador [...] ubicado en [...], por razón de [...], para el cumplimiento de la finalidad [...] enumerada anteriormente, quedando garantizados los derechos, principios y garantías establecidos en el régimen de la LGPD [...].
Cumplimiento de una obligación legal/normativa por parte del Responsable del tratamiento; ejecución o procedimientos preliminares relacionados con un contrato y el ejercicio regular de derechos en procedimientos judiciales, administrativos o de arbitraje (art. 33, IX, de la LGPD).
Si la finalidad de la transferencia internacional está vinculada a la necesidad de cumplir una obligación legal por parte del Responsable del tratamiento, se permitirá (Art. 7, II, de la LGPD) y si son relevantes para el propio GDPR en el caso de países del Espacio Económico Europeo, u otras normativas relativas a la materia.
En el caso de la ejecución de un contrato, las gestiones precontractuales pueden llevarse a cabo en relación con un contrato en el que el interesado sea parte, a petición de éste (art. 7, V, de la LGPD). En otras palabras, el responsable del tratamiento no puede utilizar esta justificación si no tiene una relación contractual con el interesado, si el interesado no tiene una relación directa con el responsable del tratamiento y los trámites no se realizan a petición del interesado, por ejemplo, un banco en el que el interesado no tiene cuenta, que realiza una comprobación de antecedentes sobre la situación financiera del interesado y le ofrece un préstamo, basándose en su CPF.
Además, la transferencia es legal cuando tiene por objeto el ejercicio regular de derechos en procedimientos judiciales, administrativos o arbitrales (en los términos de la Ley nº 9.307, de 23 de septiembre de 1996, la "Ley de Arbitraje"). Esta disposición busca salvaguardar el derecho a producir pruebas dentro de un proceso, evitando también el cercenamiento del derecho de defensa y garantizando el contradictorio y una amplia defensa. Al fin y al cabo, la finalidad de la transferencia internacional de datos puede ser discutida en el proceso, o estar relacionada con su objeto. En este sentido, la salvedad se hace para aclarar que las partes tienen los derechos mencionados y no pueden oponerse al tratamiento en este sentido.
SIMILITUDES Y DIFERENCIAS ENTRE LA LGPD Y LA GDPR
En muchos aspectos, la LGPD tiene disposiciones sobre la transferencia internacional de datos muy similares a las del RGPD. En el caso del RGPD, la transferencia internacional de datos solo se permite en las condiciones establecidas en el capítulo V del Reglamento, y debe cumplir sus demás disposiciones (art. 44). La transferencia a un tercer país u organización internacional fuera del EEE puede realizarse cuando se garantice un nivel adecuado de protección, sobre la base de una decisión de adecuación de la Comisión Europea.
En ausencia de una decisión de adecuación, la transferencia podrá llevarse a cabo cuando el responsable u operador ofrezca garantías adecuadas en forma de: normas corporativas vinculantes; cláusulas tipo de protección adoptadas por la Comisión Europea o una autoridad de control; un código de conducta aprobado en virtud del artículo 40, acompañado de compromisos vinculantes y exigibles; y un procedimiento de certificación, aprobado en virtud del artículo 42, acompañado de compromisos vinculantes y exigibles.
Además de estas hipótesis, existe una autorización específica (excepciones) para la transferencia de transferencia de datos previo: consentimiento explícito del interesado a la transferencia, informado de los posibles riesgos; cuando la transferencia sea necesaria para cumplir un contrato entre el interesado y el responsable del tratamiento o antes de la formación del contrato, a petición de éste. antes de la formación del contrato, a petición del interesado; cuando la transferencia sea cuando la transferencia sea necesaria por razones de interés público; cuando sea necesaria para el el reconocimiento, ejercicio o defensa de reclamaciones judiciales; y cuando sea necesaria para proteger los intereses vitales del interesado o de terceros.
Una disposición diferente, no contenida en la LGPD, es el artículo 49, que prevé una autorización específica cuando la transferencia se realice desde un registro acordado que, con arreglo al Derecho de la Unión o de los Estados miembros, ofrezca información al público y esté abierto a la consulta por parte del público en general o de cualquier persona con un interés legítimo, pero sólo en la medida en que se cumplan en el caso concreto las condiciones de consulta establecidas en el Derecho de la Unión o de los Estados miembros.
Además, el Art. 49 también establece que cuando una transferencia a un tercer país u organización internacional no pueda basarse en las disposiciones de los artículos 45 o 46, la transferencia sólo podrá tener lugar si (i) no es repetitiva (es decir, recurrente), (ii) sólo afecta a un número limitado de interesados, (iii) es necesaria para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o los derechos y libertades del interesado y (iv) el responsable del tratamiento evalúa todas las circunstancias que rodean la operación, proporcionando las garantías adecuadas en relación con la protección de los datos personales. El responsable del tratamiento debe informar a la autoridad de control de la transferencia e informar al interesado de la transferencia y de los intereses legítimos.
A continuación se presentan algunas preguntas específicas para evaluar si la transferencia de datos de carácter personal cumple con los requisitos establecidos en la LGPD.
RESUMEN: LISTA DE CONTROL PARA LA TRANSFERENCIA INTERNACIONAL DE DATOS
- Pregunta 1: ¿Tenemos previsto transferir datos personales fuera de Brasil? ¿Con qué finalidad?
- Pregunta 2: ¿Es la transferencia estrictamente necesaria para cumplir la finalidad prevista? ¿Existe alguna otra forma de alcanzar este fin? Si el tratamiento es estrictamente necesario y no hay otra forma de cumplir la finalidad, pase a la siguiente pregunta.
- Pregunta 3: ¿se realizará la transferencia a un país con un nivel de adecuación coherente con el establecido por la LGPD, evaluado por la ANPD? (Art. 33, I, de la LGPD) En caso negativo, proceda.
- Pregunta 4: ¿Ofrece y acredita el responsable del tratamiento garantías de cumplimiento de los principios, los derechos de los interesados y el régimen de protección de datos previsto en la LGPD? (art. 33, II de la LGPD) ¿A través de qué instrumentos? En caso negativo, continúe.
- Pregunta 5: ¿La transferencia se basa en alguna otra hipótesis de autorización prevista en los puntos III a IX del art. 33 de la LGPD? En caso negativo, la transferencia no puede tener lugar.
TRANSFERENCIA A PAÍSES CON UN NIVEL DE PROTECCIÓN DE DATOS DIFERENTE AL DE BRASIL
Según la LGPD, la transferencia internacional de datos puede realizarse a países u organizaciones internacionales que proporcionen un nivel de protección adecuado (art. 33, I, LGPD). Ello se debe a que el ámbito de aplicación de la LGPD establece una serie de garantías y mecanismos de protección de los derechos de los interesados. Así, si el país u organización al que se va a realizar la transferencia no demuestra un nivel de protección adecuado, se pondrán en riesgo los derechos y libertades fundamentales de los interesados.
Sin embargo, ¿cómo saber el nivel de protección del país al que se realizará la transferencia? El artículo 34 de la LGPD establece que el nivel de protección de datos del país extranjero u organización internacional mencionados será evaluado por la Autoridad Nacional de Protección de Datos Personales (ANPD), que tendrá en cuenta los siguientes criterios:
(a) las normas generales y sectoriales de la legislación vigente en el país de destino o en la organización internacional;
(b) la naturaleza de los datos;
(c) el cumplimiento de los principios generales de protección de datos personales y de los derechos de los interesados establecidos en la LGPD;
(d) la adopción de medidas de seguridad previstas en la normativa;
(e) la existencia de garantías judiciales e institucionales para el respeto de los derechos de protección de datos personales; y otras circunstancias específicas relativas a la transferencia.
No obstante, hasta que se evalúe el nivel de protección de datos del país extranjero u organización internacional que pretende realizar la transferencia y se aplique el art. 33, I de la LGPD, ya se ha visto que existen otras disposiciones que autorizan las transferencias internacionales.
Dado que Brasil no ha reconocido hasta ahora a ningún otro país un nivel adecuado de protección de datos y que las autoridades extranjeras aún no lo han reconocido, cada flujo de datos debe evaluarse caso por caso para considerar una autorización específica o una medida compensatoria, como se explica a continuación.
Cuando el Responsable ofrezca y acredite garantías de cumplimiento de los principios, derechos del interesado y régimen de protección de datos previsto en la LGPD (Art. 33, II, de la LGPD).
La LGPD prevé determinadas medidas que puede adoptar el Responsable del Tratamiento para garantizar un nivel no idéntico pero equivalente de protección de datos personales en relación con los derechos y libertades de los interesados y sus garantías, que denominaremos "medidas compensatorias", por tratarse de mecanismos que tratan de compensar esta diferenciación de niveles.
Así, el Art. 33, II, de la LGPD establece que la transferencia internacional de datos podrá realizarse cuando el Responsable del Tratamiento ofrezca y acredite garantías de cumplimiento de los principios, derechos del interesado y régimen de protección previstos en la LGPD mediante:
(a) cláusulas contractuales específicas para una transferencia determinada;
(b) cláusulas contractuales tipo;
(c) normas corporativas globales;
(d) sellos, certificados y códigos de conducta emitidos regularmente.
Entre estos instrumentos, los que más utilizará la CAST en este momento son las cláusulas contractuales específicas para una determinada transferencia y las cláusulas contractuales tipo. En el caso de las cláusulas contractuales específicas, deben describir claramente la relación entre los fines del tratamiento y la transferencia internacional de datos personales , indicando la hipótesis autorizatoria de la LGPD que fundamenta la operación (artículos33 a 36 de la LGPD), especificando su finalidad, detallando las responsabilidades de los encargados del tratamiento y el flujo de datos, así como la forma en que se garantizarán las salvaguardasde los derechos y libertades de los interesados.
Por lo que respecta a las cláusulas contractuales tipo, cabe mencionar que la Comisión Europea puede decidir que las cláusulas contractuales tipo (CCT) ofrecen garantías suficientes en materia de protección de datos para los datos que vayan a transferirse
a escala internacional, y hasta la fecha ha publicado dos conjuntos de cláusulas contractuales tipo para las transferencias de datos de responsables del tratamiento en la UE a responsables del tratamiento y operadores establecidos fuera de la UE o del Espacio Económico Europeo (EEE).
Las disposiciones del Art. 33, II, de la LGPD presentan "medidas compensatorias" que buscan asegurar que las salvaguardas adecuadas para los derechos y libertades de los titulares de los datos estarán garantizadas, incluso si la transferencia se realiza a un nivel de protección de datos personales que difiere de Brasil. Así pues, si la transferencia se realiza desde un país cuyo nivel de protección de datos es diferente al de Brasil, los responsables del tratamiento tienen la obligación de garantizar que esta transferencia internacional no afectará negativamente al nivel de protección de los datos personales. Los responsables del tratamiento deben proporcionar a los interesados detalles adicionales sobre la transferencia internacional de datos, especialmente cuando la operación implique datos sensibles.
Por consiguiente, el responsable del tratamiento deberá garantizar la salvaguardia de los derechos de los interesados. Si la transferencia internacional de datos es realizada por una Parte distinta de CAST, ésta será responsable y deberá asegurarse de que la operación se realiza en un país con un nivel de protección adecuado, o asegurarse de que este nivel está garantizado, utilizando los instrumentos previstos en los párrafos del art. 33, II, de la LGPD, como cláusulas tipo.
EJEMPLO:
- En un contrato firmado con una institución extranjera, CAST aparece como mero Operador para prestar un servicio en Brasil. Para que esto sea posible, la institución extranjera deberá realizar la transferencia internacional de datos y, como Responsable del Tratamiento, deberá demostrar que garantiza la salvaguardia de los derechos de los interesados, si basa la transferencia en medidas compensatorias, como el uso de cláusulas contractuales específicas (art. 33, II, "a"). Corresponderá a CAST evaluar la licitud de la orden del responsable del tratamiento. No obstante, si CAST también figura en la relación contractual como responsable del tratamiento, también deberá ofrecer estas garantías.
Obligaciones de la ANPD en materia de transferencia internacional de datos y prueba de "medidas compensatorias" por parte del responsable del tratamiento.
La LGPD encomienda a la ANPD la definición del contenido de las cláusulas contractuales tipo y la verificación de las cláusulas contractuales específicas de una determinada transmisión, de las normas corporativas globales o de los sellos, certificados y códigos de conducta (Art. 35). Para esta verificación, se considerarán los requisitos, condiciones y garantías mínimas de la transferencia que se ajusten a los derechos, garantías y principios de la LGPD (Art.35, §1 de la LGPD).
Además, cuando se analicen cláusulas contractuales, documentos o normas corporativas globales sometidos a la aprobación de la Autoridad Nacional, se podrá solicitar información adicional o llevar a cabo la diligencia debida sobre las operaciones de tratamiento, cuando sea necesario (art. 35, §2 de la LGPD).
La ANPD podrá designar organismos de certificación, que permanecerán bajo su supervisión en los términos definidos en el reglamento, y los actos por ellos realizados podrán ser revisados por la autoridad nacional y, si no son conformes con la LGPD, sometidos a revisión o anulados (art. 35, § 3 y 4 de la LGPD).
Además, la ANPD podrá establecer normas técnicas mínimas, teniendo en cuenta la naturaleza de la información tratada, las características específicas del tratamiento y el estado actual de la tecnología, especialmente en el caso de datos personales sensibles, así como los principios de protección de datos personales (enunciados en el encabezamiento del artículo 6 de la LGPD).
Además, las medidas deberán respetarse desde la fase de diseño del producto o servicio hasta su ejecución. Cualquier modificación de las garantías presentadas como cumplimiento suficiente de los principios generales de protección y de los derechos del interesado deberá comunicarse a la autoridad nacional (art. 36 de la LGPD).
¿Cómo puede hacerse una idea del nivel de protección de cada país?
Teniendo en cuenta que CAST y su empresa matriz, por ejemplo, pueden tener oficinas en el extranjero y llevar a cabo una serie de acuerdos y asociaciones con instituciones extranjeras, es importante que, cuando se firmen estos instrumentos, tengan una idea del nivel de protección de los datos personales en el país de origen o de destino de la transferencia internacional de datos, para poder analizar después, en el caso concreto, qué autorización legal o medida compensatoria es aplicable a cada situación.
Sin embargo, dado que la ANPD será responsable de esta evaluación y aún no lo ha hecho, se sugiere que, por el momento, para tener parámetros más concretos y una idea más clara del grado de protección de los datos personales en un país determinado, se consulten las decisiones de adecuación de la Comisión Europea.
TRANSFERENCIA INTERNACIONAL DE DATOS CON PARTICIPACIÓN DE INSTITUCIONES Y OFICINAS EXTRANJERAS SITUADAS FUERA DE LA JURISDICCIÓN LOCAL
EJEMPLO:
Supongamos que una CAST brasileña tiene una oficina fuera de su jurisdicción de origen, en Francia. Y esa oficina necesita realizar una transferencia internacional de datos a Alemania. En este caso, el flujo de datos no estará restringido ni prohibido por la legislación alemana local, ya que ambos son países situados en el EEE, que entran en el ámbito de aplicación del RGPD. Sin embargo, si la empresa desea transferir los mismos datos a un país fuera del EEE, para el que la Comisión Europea no ha emitido una decisión de adecuación, deberán aplicarse las normas del capítulo V del RGPD, ya que estas normas están diseñadas para proteger los datos personales de los interesados sujetos a la jurisdicción de la UE.
Asimismo, dentro de un mismo grupo económico, la transferencia puede realizarse a través de un Acuerdo Intragrupo (IGA) - basado en cláusulas estándar, las Normas Corporativas Vinculantes (BCR), sujeto a la aprobación de las autoridades de los países correspondientes.
También es posible transferir desde CAST (cumpliendo todos sus requisitos) a Alemania, luego a Francia y después a EE.UU., por ejemplo, país en el que la decisión de adecuación de la Comisión se limitó al acuerdo bilateral UE-EE.UU. sobre el Escudo de la privacidad. Con el acuerdo bilateral, será posible transferir desde la UE a EE.UU., siguiendo sus disposiciones.
Sin embargo, si la transferencia implica a Brasil y EE.UU., habrá que tener en cuenta las normas aplicables al analizar el caso concreto, incluso, como ya se ha mencionado, en función del flujo de datos, habrá que prestar atención a las normas del estado norteamericano en el que se encuentre el agente de tratamiento en EE.UU., suponiendo, por ejemplo, que la transferencia abarque datos de interesados norteamericanos en ese estado.
En otras palabras, cada flujo de datos debe analizarse en función de sus peculiaridades. Además, si el objeto de un determinado contrato implica la transferencia a más de un país, cada uno de los flujos debe analizarse en función de sus características específicas. Por supuesto, este análisis será más fácil si se trata de una transferencia internacional, por ejemplo, de EE.UU. a un país del EEE, donde se aplica el acuerdo bilateral Privacy Shield, y luego a un país como Japón, donde la Comisión Europea ha decidido que es apropiado.
CONSIDERACIONES FINALES
Al celebrar acuerdos y asociaciones con instituciones extranjeras que impliquen la transferencia internacional de datos, siempre se debe tener cuidado de considerar la finalidad de la operación, su relación con el objeto contractual y la posición que ocupa el CAST brasileño.
Se ha visto que si el CAST es sólo un Operador, su responsabilidad en la cadena de protección de datos será en relación con la licitud de la orden emitida por el Controlador, mientras que si es un Controlador, sus responsabilidades serán mayores, ya que tomará las decisiones sobre cómo llevar a cabo el tratamiento.
En cualquier caso, conviene comprobar si la entidad extranjera cumple o está en proceso de cumplir las leyes y reglamentos de protección de datos que le son de aplicación. Además, deben observarse y cumplirse todos los requisitos para llevar a cabo la transferencia internacional de datos personales previstos en la LGPD, y detallados en esta Política, incluidos los casos en que lo permita el régimen de protección de datos de la LGPD (art. 33 y siguientes) o incluso con la excepción de los casos en que la LGPD disponga de salvaguardias (por ejemplo, la labor de un organismo de investigación).
Es importante destacar que las obligaciones de protección de datos personales durarán mientras las partes implicadas sigan disponiendo de los datos, y seguirán siendo válidas incluso después de que hayan expirado los Acuerdos, Asociaciones, etc.
Esta Política pretende ofrecer algunas pautas y buenas prácticas que, en el desarrollo de sus actividades, pueden implicar operaciones de tratamiento que conlleven la transferencia internacional de datos.
Su objetivo es orientar sobre la interpretación de la legislación aplicable, con la excepción de entendimientos posteriores de las autoridades competentes o de normativas específicas. Esta Política está sujeta a cambios y actualizaciones constantes.