El European Data Protection Board (EDPB) ha publicado un documento de recomendaciones para la transferencia de datos entre la Unión Europea y Estados Unidos. De esta manera, el EDPB busca acabar con la incertidumbre de muchos negocios que realizan este tipo de transferencias de datos y que habían quedado en un limbo legal después de la sentencia del TJUE sobre el caso “Schrems II”. Esta sentencia supuso la abolición del Escudo de Seguridad, el marco legal en el que se venían realizando estas transferencias.
¿Qué dice el EDPB sobre las transferencias de datos entre la UE y EEUU?
El EDPB deja claro en el documento que las transferencias de datos entre ambos bloques son todavía posibles. Sin embargo, cada caso de exportación de datos a EEUU debe ser evaluado de manera individual. Esta evaluación debe determinar si se cumplen los requisitos que garantizan la seguridad de los datos (compliance) y también el nivel de riesgo que supone la transferencia.
Para evaluar la compliance, el EDPB describe un proceso de seis pasos que los responsables de tratamiento deben seguir:
- Conocer las transferencias: el responsable de tratamiento debe identificar todas las transferencias de datos como paso previo imprescindible para poder realizar una evaluación.
- Identificar las garantías de transferencia: éstas están recogidas en los artículos del RGPD 46 (Transferencias mediante garantías adecuadas), 47 (Normas corporativas vinculantes), 48 (Transferencias o comunicaciones no autorizadas por el Derecho de la Unión) y 49 (Excepciones para situaciones específicas).
- Evaluar si las garantías se cumplen: esta es la parte más complicada porque se debe comprobar y demostrar que se dan las garantías suficientes para la transferencia de datos.
- Adoptar medidas suplementarias: si se determina que se dan las garantías suficientes, no significa que la transferencia no se pueda realizar. Para ello, se pueden poner en marcha medidas suplementarias que aborden de manera específica los desafíos que plantee la transferencia de datos.
- Poner en práctica las medias suplementarias: tras asegurarse de que se dan todas las garantías y diseñar las medidas suplementarias, se debe poner todo en práctica para asegurar que la transferencia se realiza cumpliendo con todas esas garantías declaradas.
- Reevaluar periódicamente: el último paso del proceso propuesto por el EDPB aborda el hecho de que las transferencias de datos están en constante evolución y que por tanto deben ser reevaluadas de manera periódica para asegurar que las garantías en las que se basan siguen en pie.
Por lo tanto, cualquier empresa u organización que necesite realizar transferencias de datos entre Europa y Estados Unidos debe saber que no existe una solución tipo, sino que debe evaluar caso por caso. La clave está en la capacidad para demostrar que se cumple con el principio de accountability y que se han evaluado convenientemente todos los riesgos a los que se exponen los datos.