Saltar al contenido
RGPD

Artículo 46

Transferencias mediante garantías adecuadas

1. A falta de decisión con arreglo al artículo 45, apartado 3, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.

2. Las garantías adecuadas con arreglo al apartado 1 podrán ser aportadas, sin que se requiera ninguna autorización expresa de una autoridad de control, por:

(a)

un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos;

(b)

normas corporativas vinculantes de conformidad con el artículo 47;

(c)

cláusulas tipo de protección de datos adoptadas por la Comisión de conformidad con el procedimiento de examen a que se refiere el artículo 93, apartado 2;

(d)

cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión con arreglo al procedimiento de examen a que se refiere en el artículo 93, apartado 2;

(e)

un código de conducta aprobado con arreglo al artículo 40, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados, o

(f)

un mecanismo de certificación aprobado con arreglo al artículo 42, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados.

3. Siempre que exista autorización de la autoridad de control competente, las garantías adecuadas contempladas en el apartado 1 podrán igualmente ser aportadas, en particular, mediante:

(a)

cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional, o

(b)

disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

4. La autoridad de control aplicará el mecanismo de coherencia a que se refiere el artículo 63 en los casos indicados en el apartado 3 del presente artículo.

5. Las autorizaciones otorgadas por un Estado miembro o una autoridad de control de conformidad con el artículo 26, apartado 2, de la Directiva 95/46/CE seguirán siendo válidas hasta que hayan sido modificadas, sustituidas o derogadas, en caso necesario, por dicha autoridad de control. Las decisiones adoptadas por la Comisión en virtud del artículo 26, apartado 4, de la Directiva 95/46/CE permanecerán en vigor hasta que sean modificadas, sustituidas o derogadas, en caso necesario, por una decisión de la Comisión adoptada de conformidad con el apartado 2 del presente artículo.

Preguntas habituales

Preguntas frecuentes

¿Cuándo se necesitan garantías adecuadas según el artículo 46?

El artículo 46 se aplica cuando no existe una decisión con arreglo al artículo 45, apartado 3, para el destino. En ese caso, el responsable o el encargado del tratamiento solo puede transmitir datos personales a un tercer país u organización internacional si ha ofrecido garantías adecuadas.

Hay una segunda condición: los interesados deben contar con derechos exigibles y acciones legales efectivas.

¿Qué garantías puedo utilizar sin autorización expresa de una autoridad de control?

El artículo 46, apartado 2, enumera seis instrumentos que no requieren ninguna autorización expresa de una autoridad de control:

  • un instrumento jurídicamente vinculante y exigible entre autoridades u organismos públicos
  • normas corporativas vinculantes de conformidad con el artículo 47
  • cláusulas tipo de protección de datos adoptadas por la Comisión
  • cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión
  • un código de conducta aprobado con arreglo al artículo 40, junto con compromisos vinculantes y exigibles del responsable o el encargado en el tercer país
  • un mecanismo de certificación aprobado con arreglo al artículo 42, también acompañado de compromisos vinculantes y exigibles

En el caso del código de conducta y del mecanismo de certificación, esos compromisos incluyen los relativos a los derechos de los interesados.

¿Qué instrumentos de transferencia requieren la autorización previa de la autoridad de control?

Según el artículo 46, apartado 3, dos opciones necesitan la autorización de la autoridad de control competente: cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional, y disposiciones que se incorporen en acuerdos administrativos entre autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

En estos casos, la autoridad de control aplica el mecanismo de coherencia a que se refiere el artículo 63.

¿Siguen siendo válidas las autorizaciones otorgadas con arreglo a la Directiva 95/46/CE?
Sí. Las autorizaciones otorgadas por un Estado miembro o una autoridad de control de conformidad con el artículo 26, apartado 2, de la Directiva 95/46/CE siguen siendo válidas hasta que dicha autoridad de control las modifique, sustituya o derogue, en caso necesario. Del mismo modo, las decisiones adoptadas por la Comisión en virtud del artículo 26, apartado 4, de esa Directiva permanecen en vigor hasta que sean modificadas, sustituidas o derogadas por una decisión de la Comisión adoptada de conformidad con el artículo 46, apartado 2.