En las recomendaciones sobre transferencias a terceros países el CEPD menciona el cifrado de datos como una medida técnica adecuada para complementar las medidas del artículo 46 del RGPD. Esta medida es especialmente útil en el casos de las transferencias a EEUU.

El CEPD distingue entre los datos que se encuentran almacenados en un servidor controlado por una empresa norteamericana y los que se encuentran en tránsito y van a pasar por un tercer país.

Los requisitos para los primeros son los siguientes.

Cifrado de datos almacenados

1. El cifrado de los datos debe realizarse con un sistema de cifrado fuerte antes del envío de los datos.

2. Debe utilizarse un algoritmo de cifrado y parametrización (longitud de la clave, simetría de la clave y restantes elementos operativos) que sean conformes con el estado del arte y que puedan considerarse robustos contra un análisis criptográfico llevado a cabo por las autoridades públicas del país de destino, teniendo en cuenta los recursos y capacidades técnicas  disponibles para ellas. Por ejemplo, la potencia de proceso para ataques de fuerza bruta.

3. La potencia de cifrado debe ser adecuada para el período de tiempo específico durante el cual debe preservarse la confidencialidad de los datos personales cifrados.

4. El algoritmo de cifrado debe aplicarse mediante programas informáticos debidamente mantenidos cuya conformidad con la especificación del algoritmo elegido se ha verificado, por ejemplo, mediante certificación.

5. Las claves deben gestionarse de manera fiable (se generan, administran, almacenan y se revocan).

6. Las claves deben conservarse únicamente bajo el control del exportador de datos.

En el widget jurídico y curso Protocolo de transferencias de datos a EEUU tras la invalidez del Privacy Shield de Campus Ribas tratamos con detalle el protocolo completo a aplicar en el caso de las transferencias de datos personales a EEUU.

Este protocolo se describe en la infografía relativa al protocolo de transferencias de datos a EEUU.