Tercer paso para transferir datos a terceros países según el CEPD

3.1 Verificar que el instrumento de transferencia del artículo 46 del RGPD escogido consigue un nivel de protección equivalente al del EEE.

3.2 Verificar si existe alguna norma en el tercer país que impida al importador de los datos cumplir las obligaciones establecidas en el instrumento de transferencia del artículo 46 del RGPD escogido.

3.3 Utilizar fuentes de información apropiadas para valorar los obstáculos para el cumplimiento del RGPD establecidos en la normativa del tercer país. Por ejemplo:

  • Jurisprudencia del TJUE.
  • Jurisprudencia del TEDH.
  • Decisiones de adecuación relativas al país de destino.
  • Resoluciones e informes del Consejo de Europa y otras organizaciones intergubernamentales.
  • Resoluciones e informes de organismos y agencias de la ONU en materia de derechos humanos.
  • Jurisprudencia nacional.
  • Resoluciones de las autoridades administrativas nacionales competentes en materia de protección de datos.
  • Informes de instituciones académicas.

3.4 Extender el alcance de la evaluación a todos los actores implicados en la transferencia de datos, incluyendo:

  • Responsables del tratamiento.
  • Encargados del tratamiento.
  • Subencargados del tratamiento.

3.5 Analizar las características de la transferencia con mayor impacto jurídico. En particular:

  • La finalidad de la transferencia.
  • El tipo de entidades involucradas en el tratamiento.
  • El sector.
  • Las categorías de datos personales transferidos.
  • La ubicación de los datos y el tipo de acceso a ellos.
  • El formato de los datos a transferir: texto plano, datos seudonimizados o cifrados.
  • Las transferencias sucesivas a otros países.

3.6 Verificar si la normativa del país de destino genera algún obstáculo para el ejercicio de los derechos por parte de los interesados.

3.7 Prestar especial atención a las normas del país de destino que establecen la obligación de revelar datos personales a las autoridades públicas o que otorgan a esas autoridades públicas facultades de acceso a los datos personales (por ejemplo, en materia de derecho penal, supervisión regulatoria y seguridad nacional.

3.8 Las normas de la UE, como los artículos 47 y 52 de la Carta de los Derechos Fundamentales de la UE, deben utilizarse como referencia para evaluar si ese acceso de las autoridades públicas se limita a lo que es necesario y proporcionado en una sociedad democrática y si se ofrece a los interesados una reparación efectiva.

3.9 La existencia de una ley general de protección de datos o de una autoridad independiente de protección de datos, así como la adhesión a los instrumentos internacionales que prevean salvaguardias de protección de datos, pueden contribuir a garantizar la proporcionalidad de la injerencia del gobierno.

3.10 Las recomendaciones del CEPD sobre Garantías Esenciales Europeas (EEG) proporcionan elementos que deben evaluarse para determinar si el marco jurídico que rige el acceso a los datos personales por parte de las autoridades públicas de un tercer país, puede considerarse una injerencia justificable y, por lo tanto, no afecta a los compromisos asumidos por el importador de los datos en el instrumento de transferencia del artículo 46 del RGPD.

3.11 Documentar todo el proceso y obtener evidencias que demuestren las acciones realizadas por el responsable del tratamiento que exporta los datos.

MEDIDAS ESPECÍFICAS PARA ESTADOS UNIDOS

El TJUE sostiene que la Sección 702 de la FISA de los Estados Unidos no respeta las garantías mínimas resultantes del principio de proporcionalidad en virtud de la legislación de la Unión Europea y no puede considerarse limitado a lo estrictamente necesario. 

Esto significa que el nivel de protección de los programas autorizados por la Sección 702 de la FISA no es esencialmente equivalente a las garantías exigidas por la legislación de la UE. 

En consecuencia, si el importador de datos o cualquier otro receptor al que el importador de datos pueda revelar los datos está comprendido en el ámbito de aplicación de la Sección 702 de la FISA, la transferencia de datos sólo se podrá basar en la Cláusulas Contractuales Tipo o en otros instrumentos de transferencia del artículo 46 del RGPD si las medidas técnicas complementarias adicionales hacen imposible o ineficaz el acceso a los datos transferidos.

En el widget jurídico y curso Protocolo de transferencias de datos a EEUU tras la invalidez del Privacy Shield de Campus Ribas tratamos con detalle el protocolo completo a aplicar en el caso de las transferencias de datos personales a EEUU.

Este protocolo se describe en la infografía relativa al protocolo de transferencias de datos a EEUU.