CEPD: Declaración 02/2022 sobre las transferencias de datos personales a la Federación Rusa
El 12 de julio, el Comité Europeo de Protección de Datos (en adelante, CEPD) emitió una declaración sobre las transferencias de datos personales a Rusia, aclarando la situación actual existente para los flujos de datos a este territorio con ocasión del conflicto internacional existente por la participación del país en la guerra de Ucrania.
El CEPD recuerda en su comunicado, que por la exclusión de Rusia del Consejo de Europa el pasado 16 de marzo, el alcance de su participación en los Convenios y Protocolos del Consejo de Europa está por determinar; suponiendo cualquier cambio en la misma, un impacto significativo para los derechos de protección de datos de los interesados; teniendo gran incidencia en materia de transferencias internacionales.
Tal y como indica el CEPD, actualmente Rusia no se beneficia de una Decisión de Adecuación, por lo que para realizar una transferencia internacional al citado territorio, ha de recurrirse a otro de los instrumentos establecidos en el capítulo V del Reglamento General de Protección de Datos (en adelante, RGPD). En este sentido, el CEPD establece que los exportadores, cuando vayan a transferir datos al territorio ruso, deberán evaluar e identificar la base jurídica de la transferencia y el mecanismo que se utilizará para garantizar una protección equivalente (Ej.: cláusulas contractuales tipo, las normas corporativas vinculantes etc.).
Además, el CEPD recuerda que, a raíz de la sentencia Schrems II, los exportadores de datos deben evaluar si, en el contexto de la transferencia en cuestión, existe algún elemento en la legislación y/o en las prácticas vigentes en Rusia, que pueda afectar a la eficacia del mecanismo utilizado. Si este es el caso, el CEPD indica que los exportadores deben aplicar medidas complementarias para garantizar a los interesados un nivel de protección equivalente al europeo y que si no son capaces de lograr este objetivo; deberán suspender la transferencia.
El CEPD destaca en su comunicado que ya algunas autoridades de control europeas están estudiando la licitud de las transferencias de datos a Rusia, y que las mismas, han de estudiar las transferencias al citado territorio, teniendo en cuenta el mayor impacto sobre los derechos y libertades de los interesados que pueda derivarse de los flujos a Rusia; recurriendo si es necesario a una actuación coordinada en el contexto del CEPD.