La autoridad de Renania del Norte-Westfalia ha actualizado sus indicaciones sobre la aplicación de las transferencias internacionales de datos.
En este comunicado, la autoridad alemana aporta unas pautas que deben observarse cuando se transfieren datos personales a terceros países que no se encuentren bajo el paraguas del RGPD ni tampoco bajo una decisión de adecuación. A este respecto, recuerda que es obligación del responsable comprobar si puede realizar dicha transferencia de acuerdo a una base legal. Esta primera fase de verificación debe llevarse a cabo independientemente de si lo que se va a realizar es una transferencia internacional o no (responsabilidad proactiva).
Posteriormente, en una segunda fase, sigue siendo el propio responsable de tratamiento el encargado de asegurarse que las transferencias que lleve a cabo las hace de acuerdo con el capítulo V del RGPD. Por supuesto que el caso no presenta mayores problemas cuando la Comisión de la UE ha determinado a un país con un nivel adecuado de protección de datos, dado que se estima que la protección que se goza en aquellos países es similar a la exigida por la normativa europea, como recientemente se ha declarado al Reino Unido tras hacerse efectivo el Brexit.
Por otro lado, la autoridad recuerda que también es posible la transferencia de datos cuando un país no sea considerado con ese nivel de protección equivalente al europeo, y para ello será clave que tanto el responsable como el encargado, aporten garantías suficientes en las transferencias de estos datos, como así lo refleja el artículo 46.1 del RGPD. En este sentido, los exportadores de los datos deben realizar unos controles adicionales y tomar medidas adecuadas para garantizar este cumplimiento. En esta misma línea, el artículo 46.2 menciona algunos casos para los que, además, no es necesario una autorización expresa de la autoridad de control:
– Cláusulas tipo (46.2.C): que hayan sido adoptadas por la Comisión que permiten el intercambio de datos entre exportadores en espacio europeo e importadores en terceros países. Dado que recientemente se han modificado las cláusulas contractuales tipo, es importante tener en cuenta que, existe un plazo hasta diciembre de 2022 para adaptarse a las nuevas cláusulas contractuales tipo. Si un exportador de datos concluye un contrato con el importador de datos en un tercer país, lo hace bajo su propia responsabilidad.
– Cláusulas tipo adoptadas por una autoridad de control (46.2.D): Las autoridades de supervisión tienen la opción de adoptar sus propias cláusulas contractuales estándar y coordinarlas a nivel de la UE en un proceso de coherencia. Para su uso sin autorización, las cláusulas deben ser aprobadas a nivel de la UE por la Comisión de la UE.
-Normas corporativas vinculantes (47): se refieren a grupos de empresas que desarrollan una actividad económica conjunta.