El Comité Europeo de Protección de Datos ha publicado las recomendaciones que complementan las herramientas de transferencia para garantizar el cumplimiento del nivel de protección de datos personales de la Unión Europea.
En la reciente sentencia C-311/18 (Schrems II) el Tribunal de Justicia de la Unión Europea (TJUE) recuerda que la protección otorgada a los datos personales en el Espacio Económico Europeo (EEE) debe viajar con los datos allá donde vayan. La transferencia de datos personales a terceros países no puede ser un medio para socavar o diluir la protección que se brinda en el EEE, ya que el nivel de protección en terceros países no tiene que ser idéntico.
El TJUE defiende la validez de las Cláusulas Contractuales tipo como una herramienta de transferencia que puede servir para garantizar contractualmente un nivel de protección equivalente para los datos transferidos a terceros países. Estas Cláusulas Contractuales Tipo y otras herramientas de transferencia mencionadas en el artículo 46 del RGPD no operan en vacío, ya que tanto los responsables como los encargados del tratamiento deben verificar caso por caso y en colaboración con el importador en el tercer país si la legislación en dicho tercer país influye en la eficacia de las salvaguardas apropiadas que figuran en los instrumentos de transferencia del citado artículo 46 del RGPD.
En este sentido, para ayudar a los exportadores de datos personales en la compleja tarea, el Comité de Protección de Datos enumera en sus recomendaciones seis pasos a tener en cuenta:
1.Conocer las transferencias. Es necesario mapear todas las transferencias de datos personales a terceros países para garantizar que se les brinde un nivel de protección equivalente, se procesen donde se procesen. También se deben verificar que los datos transferidos son adecuados, relevantes y limitados a lo necesario en relación a los fines para los que se tratan en el tercer país.
2.Verificar la herramienta de transferencia en la que se basa la transferencia. En ausencia de una decisión de adecuación por parte de la Comisión Europea, se debe confiar en una de las herramientas de transferencia del artículo 46 para todas aquellas transferencias que son regulares y repetidas en el tiempo.
3.Evaluar si existe alguna legislación o práctica en el tercer país que pueda afectar a la eficacia de las herramientas de transferencia en las que se confía. Deberá tenerse en cuenta si las autoridades públicas acceden a datos con fines de vigilancia y seguridad nacional. En ausencia de una legislación que regula las circunstancias por las cuales las autoridades públicas pueden acceder a los datos personales, se deben considerar otros factores relevantes y objetivos y no confiar en factores subjetivos como la probabilidad de que pueda ocurrir dicha inferencia. Se debe realizar dicha evaluación con la debida diligencia y documentarla de forma minuciosa.
4.Identificar y adoptar medidas complementarias necesarias para llevar el nivel de protección de los datos transferidos al estándar de la UE. Este paso únicamente será necesario si su evaluación revela que la legislación de un tercer país incide en la efectividad del mecanismo de transferencia.
5.Tomar cualquier paso procesal formal que pueda requerir la adopción de la medida complementaria.
6.Reevaluación del nivel de protección otorgado a los datos transferidos. El principio de responsabilidad proactiva requiere de una vigilancia continua del nivel de protección de los datos personales.
Link al documento: