CEPD: ¿Es el certificado Europrise una garantía adecuada en la realización de transferencias internacionales?
El pasado 13 de septiembre, el Comité Europeo de Protección de Datos (en adelante, “CEPD”), emitió un Dictamen sobre el esquema de certificación EuroPriSe; esquema aplicable únicamente a encargados de tratamiento, y desarrollado por Autoridad de Control de Renania del Norte-Westfalia (en adelante, “DPA de Renania del Norte Westfalia”). Para el CEPD, el proyecto de certificación incluye algunas inconsistencias, como el hecho de no dejar claro el ámbito de aplicación (Alemania y/o Europa; ya que el mismo es presentado como un “European Privacy Seal”), o el hecho de no aclarar, que el mismo nunca podría ser utilizado como una garantía adecuada en la realización de transferencias internacionales.
Por todo ello, el CEPD considera que el certificado de EuroPriSe puede dar lugar a una aplicación incoherente del Reglamento General de Protección de Datos (en adelante, “RGPD”), considerando necesario realizar una serie de cambios para cumplir los requisitos impuestos por el artículo 42 RGPD.
EL CERTIFICADO EUROPRISE COMO GARANTÍA ADECUADA
El CEPD destaca que, de la lectura del proyecto de certificación, se entiende que el mismo pretende ser aplicable a encargados de tratamiento situados fuera del Espacio Económico Europeo (en adelante, “E.E.E”), pero que han nombrado un representante en la Unión Europea de conformidad con el artículo 27 del RGPD.
Para el CEPD, este hecho podría implicar que el citado encargado situado fuera del E.E.E, tratara los datos en terceros territorios, sin existir una garantía que asegurase una protección equivalente a la europea.
El CEPD entiende que la certificación EuroPriSe no ha de ser considerada en sí misma, como una garantía adecuada en la realización de transferencias internacionales (de conformidad con el artículo 46.2. f) del RGPD). Por todo ello, el CEPD recomienda que el certificado aclare en su sección 2.13., que:
o siempre que se produzca una transferencia internacional de datos, han de respetarse las normas del Capítulo V del RGPD;
o que el certificado mismo no constituye una garantía adecuada en la realización de transferencias internacionales;
o que los solicitantes (encargados de tratamiento), no tienen derecho a hacer uso de la certificación de una manera que pueda dar la impresión de que la certificación en sí misma es una garantía de transferencias internacionales. En este sentido, el CEPD recuerda (de conformidad con su publicación “Recomendaciones 01/2020 sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de los datos personales de la UE” ) que, es deber de los responsables de tratamiento, independientemente de que exista un sello de certificación, “evaluar previamente la legislación del tercer país y en caso de que el mismo, no asegure un nivel de protección equivalente, aplicar medidas complementarias”.
En base a los argumentos esgrimidos, el CEPD entiende que un encargado de tratamiento debe abstenerse de solicitar la certificación, si es consciente de que su legislación no le permite cumplir con los principios del RGPD; principios consagrados por el propio esquema de certificación.
ACTUACIONES POSTERIORES
Tras el Dictamen, la DPA de Renania del Norte- Westfalia, dispone de un plazo de dos semanas para aportar el proyecto modificado o comunicar por qué no prevé seguir el dictamen, ante lo cual el Comité deberá adoptar una resolución vinculante (art.45 RGPD).
Ha de destacarse, que se trata del segundo Dictamen sobre un mecanismo de certificación que emite el CEPD. En su anterior Dictamen, se pronunció sobre el mecanismo de certificación propuesto por la Autoridad de Control de Luxemburgo (el “GDPR – CARPA”), el cual acabaría constituyendo tras su lanzamiento oficial el pasado 28 de junio, el primer mecanismo de certificación (de conformidad con el art. 42 RGPD), tanto a nivel nacional como internacional, en relación con el cumplimiento del RGPD.
Por otro lado, ha de indicarse, que es deber del CEPD, mantener un registro actualizado de los mecanismos de certificación existentes (art. 42.8 RGPD); no habiendo actualizado a fecha del presente artículo los mecanismos de certificación existentes.
Carlos Cuesta Hernández, Senior Privacy Counsel, Legal Army