Supuestos sometidos a autorización previa de las autoridades de protección de datos.

Sin valoraciones

  1. Las transferencias internacionales de datos a países u organizaciones internacionales que no cuenten con decisión de adecuación aprobada por la Comisión o que no se amparen en alguna de las garantías previstas en el artículo anterior y en el artículo 46.2 del Reglamento (UE) 2016/679, requerirán una previa autorización de la Agencia Española de Protección de Datos o, en su caso, autoridades autonómicas de protección de datos, que podrá otorgarse en los siguientes supuestos:

a) Cuando la transferencia pretenda fundamentarse en la aportación de garantías adecuadas con fundamento en cláusulas contractuales que no correspondan a las cláusulas tipo previstas en el artículo 46.2, letras c) y d), del Reglamento (UE) 2016/679.

b) Cuando la transferencia se lleve a cabo por alguno de los responsables o encargados a los que se refiere el artículo 77.1 de esta ley orgánica y se funde en disposiciones incorporadas a acuerdos internacionales no normativos con otras autoridades u organismos públicos de terceros Estados, que incorporen derechos efectivos y exigibles para los afectados, incluidos los memorandos de entendimiento.

El procedimiento tendrá una duración máxima de seis meses.

  1. La autorización quedará sometida a la emisión por el Comité Europeo de Protección de Datos del dictamen al que se refieren los artículos 64.1.e), 64.1.f) y 65.1.c) del Reglamento (UE) 2016/679. La remisión del expediente al citado comité implicará la suspensión del procedimiento hasta que el dictamen sea notificado a la Agencia Española de Protección de Datos o, por conducto de la misma, a la autoridad de control competente, en su caso.

Vea nuestro curso de LOPD GDD

 

1. Transferencias Internacionales de Datos

Uno de los supuestos más comunes que requieren autorización previa es la transferencia internacional de datos personales a países fuera del Espacio Económico Europeo (EEE) que no ofrecen un nivel adecuado de protección de datos.

Supuestos que Requieren Autorización Previa:

  • Transferencias basadas en excepciones específicas: Cuando no se cuenta con una decisión de adecuación de la Comisión Europea ni se han implementado las garantías adecuadas (como cláusulas contractuales estándar o normas corporativas vinculantes), y la transferencia se basa en excepciones como el consentimiento explícito o la necesidad de la transferencia para el cumplimiento de un contrato.
  • Transferencias con garantías adecuadas no aprobadas: Si se pretende utilizar otros mecanismos de transferencia, como acuerdos específicos entre administraciones públicas o contratos ad hoc que no hayan sido previamente aprobados, se requiere autorización previa de la AEPD.

2. Tratamientos de Datos Especialmente Sensibles

Algunos tratamientos que involucran datos especialmente sensibles pueden requerir autorización previa, especialmente cuando estos tratamientos no están claramente autorizados por la normativa o presentan riesgos elevados que no se pueden mitigar adecuadamente.

Ejemplos de Datos Sensibles:

  • Datos de salud: Tratamientos de datos relacionados con la salud, en particular si estos implican un gran volumen de datos, son tratados por una entidad sin fines de salud, o si el tratamiento podría tener consecuencias significativas para los derechos de los interesados.
  • Datos biométricos y genéticos: Uso de datos biométricos para identificar a una persona de manera inequívoca o tratamiento de datos genéticos para propósitos no cubiertos explícitamente por la normativa.
  • Datos relativos a infracciones penales y condenas: Tratamiento de datos relacionados con delitos o infracciones penales fuera del contexto judicial oficial, o por entidades no autorizadas específicamente para este fin.

3. Creación y Uso de Perfiles a Gran Escala

El tratamiento de datos para crear perfiles detallados sobre individuos, particularmente cuando estos perfiles se utilizan para tomar decisiones automatizadas con efectos legales o significativos, puede requerir autorización previa en ciertos casos.

Supuestos Incluidos:

  • Decisiones automatizadas: Cuando las decisiones tomadas a partir de estos perfiles afectan significativamente a los derechos fundamentales de los individuos, como la denegación de un crédito o la contratación laboral.
  • Monitoreo y seguimiento de comportamientos: Uso de tecnologías avanzadas para seguir y analizar el comportamiento de los individuos, como el seguimiento online extensivo que permite la elaboración de perfiles complejos.

4. Tratamiento de Datos en el Ámbito de la Seguridad Nacional o Defensa

En algunos casos, los tratamientos de datos realizados en el ámbito de la seguridad nacional, defensa, o cuando afectan la soberanía del Estado, pueden requerir autorización previa debido a la sensibilidad y el impacto potencial sobre los derechos fundamentales.

5. Procesos de Innovación Tecnológica con Alto Riesgo

Los tratamientos de datos que involucran nuevas tecnologías o métodos innovadores, como la inteligencia artificial (IA), pueden requerir autorización previa si presentan riesgos elevados para los derechos de los interesados.

Ejemplos de Nuevas Tecnologías:

  • Desarrollo de IA y algoritmos predictivos: Uso de datos personales para entrenar modelos de IA que luego se utilizan en decisiones automatizadas de alto impacto.
  • Aplicaciones en el sector de la salud o biotecnología: Tratamientos que implican la recolección y análisis de grandes volúmenes de datos personales sensibles para desarrollar nuevos tratamientos médicos o aplicaciones biotecnológicas.

6. Tratamientos No Cubiertos Específicamente por Normativa

En casos donde la normativa no proporciona una guía clara o específica sobre un tratamiento de datos potencialmente riesgoso, se puede requerir una autorización previa de la autoridad de protección de datos para proceder.

Procedimiento para Solicitar Autorización Previa

  • Solicitud Formal: El responsable del tratamiento debe presentar una solicitud formal ante la autoridad de protección de datos, proporcionando toda la información relevante sobre el tratamiento, incluyendo la evaluación de impacto en la protección de datos (si procede), las medidas de seguridad previstas, y una justificación detallada del tratamiento.
  • Evaluación por la Autoridad: La AEPD u otra autoridad competente evaluará la solicitud, considerando el cumplimiento con la normativa y los riesgos para los derechos de los interesados.
  • Decisión: La autoridad puede conceder la autorización, denegarla, o imponer condiciones específicas para llevar a cabo el tratamiento.

Compártelo en tus redes

Valore este curso

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestra web. Si sigues utilizando este sitio asumimos que estás de acuerdo. VER

ACEPTAR