El Comité Europeo de Protección de Datos menciona las siguientes acciones a realizar en sus recomendaciones sobre la cuarta fase en materia de transferencias a terceros países, especialmente a EEUU.

4.1 Identificar las medidas aplicables a cada caso.

4.2 Verificar la eficacia potencial a cada caso de las medidas identificadas.

4.3 Seleccionar las medidas contractuales, técnicas u organizativas más adecuadas.

4.4 Tener en cuenta que las medidas contractuales y organizativas no impedirán el acceso de las agencias de inteligencia a los datos en la mayoría de los casos.

4.5 Lista de factores a tener en cuenta a la hora de seleccionar las medidas adicionales a aplicar:

• Formato de los datos a transferir.
• Categoría de datos.
• Duración y complejidad del tratamiento.
• Número de actores implicados en el tratamiento.
• Transferencias sucesivas al mismo país o a otros terceros países.

4.6 Ejemplos de medidas técnicas válidas

• Cifrado de datos almacenados.
• Cifrado de datos en tránsito.
• Seudonimización.
• Fragmentación – Tratamiento dividido entre varios encargados.
• Destinatario protegido.

4.7 Ejemplos de medidas técnicas insuficientes

• Servicios de cloud computing en los que el proveedor necesita tener acceso en claro a los datos para poder prestar el servicio.
• Servicios de cloud computing o de hosting en los que el proveedor tiene acceso a la clave de cifrado.
• Acceso de remoto del proveedor a un servidor en el EEE del responsable del tratamiento europeo.

En sucesivos artículos hablaremos de las medidas contractuales y organizativas.

En el widget jurídico y curso Protocolo de transferencias de datos a EEUU tras la invalidez del Privacy Shield de Campus Ribas tratamos con detalle el protocolo completo a aplicar en el caso de las transferencias de datos personales a EEUU.

Este protocolo se describe en la infografía relativa al protocolo de transferencias de datos a EEUU.