La Autoridad Europea de Protección de Datos (SEPD) ha publicado un documento estratégico para controlar la conformidad de las instituciones, de los órganos y de los organismos europeo (IUE) a la sentencia “Schrems II” que el julio pasado ha invalidado el Privacy Shield en relación a las trasferencias de datos personales en dirección de los países terceros, y en particular en los Estados Unidos.
El fin del documentos de SEPD es que las transferencias internacionales en curso y los futuros sean efectuados en cumplimento con la ley de protección de datos de la Unión Europea, específicamente disciplinada desde el Reglamento Europeo UE 2018/1725 para los tratamientos de datos personales efectuados desde las instituciones, desde los órganos y desde los organismos de la Unión Europea, y desde el Reglamento UE 2016/679 (GDPR) para todos los tratamientos de datos personales efectuados desde los otros responsables que se localizan en la Unión o relativos a interesados que se encuentran en la UE efectuados desde responsables extra UE cuando se refieren a la oferta de bienes o la prestación de servicios o el control de sus comportamientos.
En el comunicado de prensa del 29 octubre 2020, la Autoridad de Protección de Datos Wojciech Wiewiórowski ha afirmado: “las transferencias de datos personales por parte de las instituciones europeas a los países terceros deberían ser en conformidad a la Carta de derechos fundamentales de la Unión Europea en materia de protección de datos, en particular al capítulo V del Reglamento Europeo 2018/1725. Por esta razón, la estrategia se basa sobre la cooperación y la responsabilidad de los responsables del tratamiento para evaluar si los estándares de protección esencialmente equivalentes, basados sobre la sentencia del Tribunal, se garantizan cuando se efectúan las transferencias de datos personales en dirección de países terceros”.
Además, la Autoridad de Protección de Datos de Europa subraya que seguirá cooperando con las otras autoridades de control de protección de datos (DPA) dentro del Comité Europeo de Protección de Datos (EDPB) de manera que los datos personales de las personas sean constantemente protegidos en toda la Unión Europea y en la EEE cuando se verifican transferencias de datos a terceros.
La sentencia Schrems II tiene consequencias de amplia portada sobre todos los instrumentos legales utilizados para transferir datos personales desde el Espacio Económica Europea en dirección de cualquier país terceros, incluido las transferencias entre autoridades públicas.
Si bien la estrategia intenta de render todos las trasferencias conformes a la sentencia a medio término, el SEPD ha identificado dos prioridades que afrontar a corto plazo:
mapa y verifica todos los contratos de servicios entre responsable y encargado del tratamiento y/o los contactos entre encargado y sub-encargado del tratamiento que llevan a trasferencias de datos en los países terceros, con un acento particular sobre los efectuados en los Estados Unidos.
Es en este contexto que la Autoridad de Protección Europea de Protección de Datos ha desarrollado un plan de acción para racionalizar las medidas de conformidad y de ejecución, distinguiendo entre acciones de conformidad a corto y medio plazo.
Mientras la estrategia seguirá a ser actuada, la Autoridad de Protección de Datos Europea anima las instituciones, organismos y órganos Europeos a evitar transferencias de datos personales en dirección de los Estados Unidos para nuevas operaciones de tratamiento o nuevos contratos con proveedores de servicios.
FUENTE: FEDERPRIVACY