Para poder habilitar una transferencia internacional de datos personales a un tercer país no declarado con nivel adecuado por la comisión europea (conforme al artículo 45 del GDPR), y no tratándose de una situación excepcional que podamos legitimar con algunas de las excepciones recogidas en el artículo 49 del GDPR, tendremos que acudir a alguno de los instrumentos habilitantes del artículo 46 del GDPR.
En este caso nos vamos a referir a alguna de las cláusulas contractuales tipo (SCC/CCT) adoptadas por la comisión europea que siguen siendo válidas.
Para ello, siguiendo las recomendaciones 1/2020 del Comité Europeo de Protección de Datos (EDPB/CEPD), tal y como exponíamos en nuestra entrada del pasado mes de noviembre, una vez identificada la transferencia en cuestión, y el instrumento habilitante de la misma, en este caso las SCC, se debe evaluar el marco normativo del país en cuestión en materia de protección de datos, para determinar qué medidas de seguridad complementarias (técnicas, contractuales y organizativas) sumar a las ya contempladas en las SCC.
Puede descargar aquí, un documento con el análisis que hemos llevado a cabo en este caso de la normativa colombiana: Ley Estatutaria nº 1581, Decreto 1377 y Decreto 886, una comparativa de estas con la normativa europea (GDPR/RGPD), enlaces a todas ellas, así como a las guías publicadas por la autoridad de control colombiana, la Superintendencia de Industria y Comercio (SIC).
El análisis se ha llevado a cabo siguiendo la siguiente estructura:
- Ámbito de aplicación
- Definiciones
- Principios relativos al tratamiento
- Categorías especiales de datos
- Tratamiento de datos de menores
- Derechos del interesado
- Consentimiento del interesado
- Bases legitimadoras del tratamiento
- Información sobre el tratamiento de datos
- Deberes de responsables y encargados del tratamiento
- Seguridad del tratamiento
- Transferencias internacionales
- Registro nacional de bases de datos
- Autoridad de protección de datos
- Procedimiento y sanciones