El Tribunal de Justicia Europeo (TJUE) ha declarado recientemente en su sentencia la invalidez de la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE- EE. UU. conocido como Privacy- Shield.
Por otro lado, las Cláusulas contractuales tipo de la Decisión 2010/87, que regula los contratos de acceso a datos por cuenta de terceros, en los que existe una transferencia internacional de datos, entre responsables y encargados del tratamiento, siguen siendo válidas.
En su comunicado, el Comité Europeo de Protección de datos (CEPD), manifiesta la importancia de esta decisión tomada por el TJUE, ya que consideraban que ese marco no garantizaba plenamente un nivel de protección adecuado. El CEPD se ha comprometido a proporcionar a la Comisión Europea asistencia y orientación para construir un nuevo marco que cumpla plenamente con la legislación de protección de datos de la UE.
¿Qué ocurrirá a partir de ahora?
El CEPD va a evaluar la sentencia con más detalle y proporcionará aclaraciones a los interesados y orientaciones sobre el uso de instrumentos para la transferencia de datos personales a terceros países.
En cuanto a la utilización de las Cláusulas Contractuales tipo de la Decisión 2010/87, el CEPD está estudiando incorporar medidas adicionales para garantizar el nivel de protección adecuado. Además, en este comunicado, se indica que antes de realizar la transferencia internacional, debe haber una evaluación previa, y es el exportador (de ser necesario, con la asistencia del importador) el que tendrá en cuenta el contenido de las Cláusulas Contractuales tipo, las circunstancias específicas de la transferencia, así como el régimen jurídico aplicable en el país del importador. El examen de este último se hará a la luz de los factores no exhaustivos establecidos en el Art. 45(2) del RGPD. Por lo tanto, está dejando en manos del exportador esa evaluación previa. En el caso de que considere que tuviera que incorporar medidas adicionales, el CEPD está estudiando en que consistirían esas medidas.
¿Cómo legalizar las transferencias internacionales?
Las transferencias internacionales a este tercer país EE.UU. se tendrán que realizar sobre la base de las cláusulas contractuales tipo de la decisión 2010/87.
Nosotros como responsables y exportadores de los datos, tenemos que valorar las garantías del art. 45.2 del RGPD, entre otras, evaluar la legislación pertinente, sectorial y general en lo que respecta a la protección de datos, la existencia y el funcionamiento efectivo de una o varias autoridades de control independientes o sujeción a una organización internacional. Si del resultado de esa evaluación se considera que el país no proporciona un nivel de protección suficiente, el responsable, además, podrá añadir medidas adicionales de seguridad a esas Cláusulas tipo.
Por otro lado, el CEPD, en su comunicado, insta a la utilización de las excepciones contenidas en el art.49 del RGPD, siguiendo las directrices publicadas por el mismo.
