Cuarto paso para transferir datos a terceros países según el CEPD

El Comité Europeo de Protección de Datos menciona las siguientes acciones a realizar en sus recomendaciones sobre la cuarta fase en materia de transferencias a terceros países, especialmente a EEUU.

4.1 Identificar las medidas aplicables a cada caso.

4.2 Verificar la eficacia potencial a cada caso de las medidas identificadas.

4.3 Seleccionar las medidas contractuales, técnicas u organizativas más adecuadas.

4.4 Tener en cuenta que las medidas contractuales y organizativas no impedirán el acceso de las agencias de inteligencia a los datos en la mayoría de los casos.

4.5 Lista de factores a tener en cuenta a la hora de seleccionar las medidas adicionales a aplicar:

  • Formato de los datos a transferir.
  • Categoría de datos.
  • Duración y complejidad del tratamiento.
  • Número de actores implicados en el tratamiento.
  • Transferencias sucesivas al mismo país o a otros terceros países.

4.6 Ejemplos de medidas técnicas válidas

  • Cifrado de datos almacenados.
  • Cifrado de datos en tránsito.
  • Seudonimización.
  • Fragmentación – Tratamiento dividido entre varios encargados.
  • Destinatario protegido.

4.7 Ejemplos de medidas técnicas insuficientes

  • Servicios de cloud computing en los que el proveedor necesita tener acceso en claro a los datos para poder prestar el servicio.
  • Servicios de cloud computing o de hosting en los que el proveedor tiene acceso a la clave de cifrado.
  • Acceso de remoto del proveedor a un servidor en el EEE del responsable del tratamiento europeo.

En sucesivos artículos hablaremos de las medidas contractuales y organizativas.

En el widget jurídico y curso Protocolo de transferencias de datos a EEUU tras la invalidez del Privacy Shield de Campus Ribas tratamos con detalle el protocolo completo a aplicar en el caso de las transferencias de datos personales a EEUU.

Este protocolo se describe en la infografía relativa al protocolo de transferencias de datos a EEUU.