El 3 de diciembre de 2024, el SEPD adoptó directrices sobre el artículo 48 del RGPD y una carta a la Comisión Europea sobre la necesidad de controlar cuidadosamente las condiciones de acceso y uso de datos personales por parte de las autoridades de terceros países en el contexto de futuras revisiones de sus decisiones de adecuación.
Carta a la Comisión Europea sobre la revisión de once decisiones de adecuación adoptadas antes del RGPD
El 15 de enero de 2024, la Comisión Europea concluyó su revisión de las once decisiones de adecuación adoptadas en virtud de la Directiva 95/46/CE. La Comisión Europea ha constatado que los datos personales transferidos desde la Unión Europea (UE) a Andorra, Argentina, Canadá, Islas Feroe, Guernsey, Isla de Man, Israel, Jersey, Nueva Zelanda, Suiza y Uruguay siguen beneficiándose de un nivel adecuado de protección. protección. Por tanto, estas transferencias pueden realizarse sin garantías adicionales.
En su informe y documento de trabajo , la Comisión Europea examinó los marcos de protección de datos en los once países y territorios afectados y, por primera vez, las normas relativas al acceso a datos personales por parte de las autoridades públicas de estos países con fines represivos y de seguridad nacional.
En su carta , el SEPD ofrece a la Comisión observaciones metodológicas sobre determinados aspectos de su evaluación que podrían haberse descrito con más detalle: el Estado de Derecho , determinados elementos del marco de protección de datos ( conceptos clave, bases de legalidad, derechos de las personas , garantías en materia de toma de decisiones automatizada, transferencias posteriores, etc.), así como el acceso y uso de datos personales por parte de autoridades de terceros países. El SEPD considera que la Comisión debería seguir cuidadosamente estos aspectos en sus futuras reevaluaciones de las leyes y prácticas de terceros países y territorios.
Esta carta fue enviada por el presidente del SEPD al comisario europeo de Justicia, Michael McGrath, el 5 de diciembre de 2024.
Directrices 02/2024 sobre el artículo 48 del RGPD
El artículo 48 del RGPD establece que “cualquier decisión de un tribunal o autoridad administrativa de un tercer país que requiera que un controlador o un subcontratista transfiera o divulgue datos personales de asistencia personal solo podrá ser reconocida o ejecutable de cualquier manera si se basa en un acuerdo internacional”. acuerdo, como un tratado de asistencia jurídica mutua, en vigor entre el tercer país solicitante y la Unión o un Estado miembro, sin perjuicio de otras causales de transferencia previstas en este Capítulo.
Las Directrices 02/2024 tienen como objetivo aclarar la lógica y el propósito de este artículo y proporcionar recomendaciones prácticas a los controladores y procesadores en la UE que puedan recibir solicitudes de divulgación o transferencia de datos de carácter personal por parte de autoridades de terceros países.
Según el SEPD, el objetivo del artículo 48 es aclarar que las sentencias o decisiones emanadas de autoridades de terceros países no pueden ser reconocidas ni ejecutadas automática y directamente en un Estado miembro de la UE. Como regla general, el reconocimiento y la ejecución de sentencias y decisiones extranjeras están garantizados por los acuerdos internacionales aplicables.
Independientemente de la existencia de un acuerdo internacional aplicable, si un responsable o encargado en la UE recibe una solicitud para transmitir datos personales de una autoridad de un tercer país y responde, este flujo de datos constituye una transferencia en el sentido del RGPD y debe cumplir con el artículo 6 y lo dispuesto en el Capítulo V.
Un acuerdo internacional puede constituir tanto una base jurídica como un instrumento de transferencia.
En ausencia de un acuerdo internacional, o si el acuerdo no proporciona una base legal según el artículo 6 del RGPD, se podrían considerar otras bases legales. Asimismo, en ausencia de un acuerdo internacional o si el acuerdo no proporciona garantías adecuadas según el artículo 46 del RGPD, podrían aplicarse otros instrumentos de transferencia, incluidas las excepciones previstas en el artículo 49 del RGPD.
Estas directrices están sujetas a consulta pública hasta el 27 de enero de 2025. Las contribuciones pueden enviarse utilizando el formulario disponible en el sitio web del SEPD .
https://www.cnil.fr/fr/transferts-de-donnees-hors-de-lue-deux-nouveaux-documents-du-cepd