Artículo

Medidas adicionales para transferencias internacionales de datos

Legal Alert

La Sentencia del Tribunal de Justicia de la Unión Europea (TJUE), de 16 de julio de 2020 (Asunto C-311/18) supuso la anulación del Acuerdo Privacy Shield como garantía para realizar transferencias internacionales de datos de carácter personal por parte de responsables de tratamiento ubicados en el Espacio Económico Europeo (EEE) a aquéllos encargados o responsables de tratamiento ubicados en los Estados Unidos. La propia sentencia sugería que el uso las «cláusulas contractuales tipo» de la Comisión Europea, como garantía adecuada y alternativa al Privacy Shield, necesariamente debería combinarse con medidas adicionales, para poder realizar dichas transferencias.

Con el fin de definir y concretar esas medidas adicionales a las que se refería la sentencia, el pasado 10 de noviembre de 2020 el Comité Europeo de Protección de Datos (CEPD) publicó las «Recomendaciones 1/2020, sobre las medidas complementarias a las garantías para realizar una transferencia internacional con el fin de acreditar el cumplimiento en materia de protección de datos». Este documento se encuentra en fase de consulta pública.

En ellas, el CEPD establece un procedimiento para evaluar la necesidad de implementar dichas medidas adicionales, de acuerdo con las garantías contempladas en el Reglamento General de Protección de Datos (RGPD).

El primer paso consiste, a grandes rasgos, en la identificación de las transferencias a realizar, verificando que los datos son relevantes, adecuados y necesarios para el cumplimiento de los fines del tratamiento a que se refiere esa transferencia internacional de datos. A continuación, debe constatarse si las garantías aplicadas para transmitir los datos son adecuadas de acuerdo con el RGPD (p.e.: se basan en Cláusulas Contractuales Tipo). El tercer paso exige analizar la regulación del país tercero y su posible afectación a los derechos de los interesados, todo ello considerando las Garantías Esenciales Europeas establecidas por el CEPD en las Recomendaciones 2/2020, sobre las Garantías Europeas Esenciales en relación con medidas de vigilancia (igualmente sometido a fase de consulta pública).

Si no concurriera el anterior requisito, será necesario implementar medidas adicionales, a cuyo efecto se propone una lista no exhaustiva de posibles medidas:

Las medidas técnicas se basan, principalmente, en el cifrado o la seudonimización de los datos personales que se transfieran, antes del envío de dichos datos, tanto en la propia transmisión hacia el país tercero como en su posterior almacenamiento en el país de destino.
Las medidas contractuales pasan por imponer a la entidad ubicada en el país tercero, y receptora de los datos, la obligación contractual de implementar medidas técnicas adecuadas. También se recomienda exigir a dicho tercero que evalúe la afectación a los derechos en materia de Privacidad en la legislación de su país, o que informe sobre las solicitudes de autoridades para acceder a los datos personales en un periodo de tiempo. Se recomienda que esta información se facilite a quien pretenda llevar a cabo la transferencia, como parte cedente, a través de cuestionarios estructurados.
Las medidas organizativas se basan en la elaboración de Políticas que definan los roles y responsabilidades específicas, dentro del tratamiento que supone, en sí, la realización de la transferencia internacional.

El CEPD es tajante al indicar que, en caso de que la implementación de las medidas no resulte suficiente para salvaguardar los derechos de los interesados, la transferencia internacional no deberá realizarse o, en su caso, deberá suspenderse.

En último caso se tendrían que respetar las formalidades necesarias para asegurar que la implantación de las medidas. Por ejemplo, si las medidas requieren modificar las Cláusulas Contractuales Tipo, debe solicitarse autorización a la autoridad de control competente.

Todo lo anterior debe completarse con una reevaluación periódica del funcionamiento de las medidas implementadas.

En conclusión, estas Recomendaciones, que aportan una cierta seguridad jurídica que resultaba necesaria a la luz de la sentencia del TJUE, obligan a revisar -de nuevo- las transferencias internacionales de datos que toda empresa esté llevando a cabo, para, cuando sea preciso, completar las garantías adecuadas con otras medidas complementarias que puedan corresponder.

Ver contenido sin conexión

Auditoría & Assurance

Consultoría

Risk Advisory

Financial Advisory

Deloitte Legal

Business Process Solutions

Centro de Excelencia de la Empresa Familiar

Consumo

Energía, Recursos e Industria

Servicios Financieros

Sector Público

Sanidad

Tecnología, Medios y Telecomunicaciones

Carrera profesional

Ofertas de empleo

Alumni

Medidas adicionales para transferencias internacionales de datos

Legal Alert

Accede al documento aquí

Recommendations

Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza

España exigirá PCR negativa a los viajeros procedentes de zonas de riesgo

Enlaza tus cuentas

Ver contenido sin conexión

Medidas adicionales para transferencias internacionales de datos

Legal Alert

Recommendations

Enlaza tus cuentas

Anteriormente te uniste a My Deloitte con tu dirección de correo electrónico. Inicia sesión de nuevo para vincular tu cuenta a redes sociales.

You've previously logged into My Deloitte with a different account. Link your accounts by re-verifying below, or by logging in with a social media account.

Parece que has iniciado sesión con tu dirección de correo electrónico y con tus redes sociales. Vincula tus cuentas iniciando sesión con tu correo electrónico o cuenta social.