Primer paso para transferir datos a terceros países según el CEPD

El Comité Europeo de Protección de Datos (CEPD) ha abierto el plazo de consulta pública de sus Recomendaciones 01/2020 sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de datos personales de la UE después de la sentencia Schrems II que invalida el Privacy Shield.

El CEPD propone una hoja de ruta basada en un esquema de 6 pasos destinado a aplicar el principio de responsabilidad proactiva a las transferencias de datos a terceros países.

Los seis pasos se han repartido en varios artículos con el fin de desglosar los puntos que componen cada paso de forma exhaustiva y añadir, en su caso nuestras recomendaciones:

PASO 1 – Conoce tus transferencias

1.1 Identificar todas las transferencias a terceros países.

1.2 Identificar las transferencias sucesivas de los encargados a los subencargados del tratamiento.

1.3 Verificar si los subencargados se encuentran en el mismo país del encargado o en otro.

1.4 Incluir en el RAT las transferencias identificadas.

1.5 Realizar un mapa de ubicaciones en las que los datos pueden estar almacenados o ser objeto de tratamiento.

1.6 En el caso que haya muchas transferencias la recomendación de Ribas es crear un registro o mapa de transferencias con una hoja Excel o con una aplicación como Compliance 3.0.

1.7 Tratar como transferencia a un tercer país el acceso remoto del proveedor extranjero a los datos ubicados en el Espacio Económico Europeo.

1.8 Actualizar el registro de encargados y subencargados del tratamiento con la información obtenida en relación con las transferencias identificadas.

1.9 Verificar que se está informando a los interesados sobre todas las transferencias identificadas.

1.10 Verificar que se aplica el principio de minimización de datos y que los datos transferidos son adecuados, pertinentes y limitados a lo necesario en relación con los fines del tratamiento.

En el widget jurídico y curso Protocolo de transferencias de datos a EEUU tras la invalidez del Privacy Shield de Campus Ribas tratamos con detalle el protocolo completo a aplicar en el caso de las transferencias de datos personales a EEUU.

Este protocolo se describe en la infografía relativa al protocolo de transferencias de datos a EEUU.