Resum de les directrius 07/2022 sobre la certificació com a eina per a transferències de dades


Manuel Castilleja Toscano     14/07/2022

Document original resumit: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-072022-certification-tool-transfers_en

Les directrius proporcionen orientació sobre l'aplicació de l'article 46.2.f) del RGPD, és a dir, sobre les transferències de dades personals a tercers països o a organitzacions internacionals (TID) sobre la base de la certificació (article 42.2 RGPD) com a garantia adequada. El document s'estructura en quatre seccions i un annex.

1. GENERAL

Aclareix que les directrius complementen les Directrius generals 1/2018 ja existents sobre certificació i aborden els requisits específics del Capítol V de l'RGPD quan la certificació s'utilitza com a eina de transferència. Com a primer pas, cal garantir el compliment de les disposicions generals de l'RGPD i, com a segon pas, s'han de complir les disposicions del capítol V de l'RGPD. Es descriuen els actors que hi estan involucrats i els seus rols, amb un enfocament especial en el paper de l'importador de dades al qual se li atorgarà una certificació i de l'exportador de dades que la utilitzarà com una eina per emmarcar les transferències (considerant que la responsabilitat del compliment del tractament de dades continua sent de l'exportador de dades). La certificació també pot incloure mesures addicionals que la complementin per garantir el compliment del nivell de protecció de dades personals de la UE. També conté informació sobre el procés d'obtenció d'una certificació que es farà servir com a eina per a les TID.

2. ORIENTACIÓ D'APLICACIÓ DELS REQUISITS D'ACREDITACIÓ

Els requisits per a l'acreditació d'un organisme de certificació es troben a la norma ISO 17065 ia la interpretació de les Directrius 4/2018 sobre l'acreditació d'organismes de certificació en virtut de l'article 43 del RGPD i el seu annex al context del capítol V. No obstant això, en el context d'una transferència, aquestes directrius expliquen amb més detall alguns dels requisits d'acreditació aplicables a l'organisme de certificació.

3. CRITERIS ESPECÍFICS DE CERTIFICACIÓ

Proporciona orientació sobre els criteris de certificació ja enumerats a les Directrius 1/2018 i estableix criteris específics addicionals que s'han d'incloure en un mecanisme de certificació que s'utilitzarà com a eina per a les TID. Aquests criteris abasten l'avaluació de la legislació de tercers països, les obligacions generals dels exportadors i importadors, les normes sobre transferències ulteriors, el recurs i l'execució, el procés i les accions de situació en què la legislació i les pràctiques impedeixen el compliment dels compromisos assumits com a part de la certificació i les sol·licituds d'accés a les dades per part de les autoritats de tercers països.

4. COMPROMISOS VINCULANTS I EXIGIBLES QUE HAN D'APLICAR-SE

Proporciona elements que cal abordar en els compromisos vinculants i exigibles que els responsables o encarregats del tractament no subjectes al RGPD han de prendre per tal de proporcionar les garanties adequades a les dades transferides a tercers països. Aquests compromisos, que es poden establir en diferents instruments, inclosos els contractes, inclouran, en particular, una garantia que l'importador no té motius per creure que les lleis i pràctiques del tercer país aplicable al tractament en qüestió, inclosos els requisits per divulgar la pèrdua de dades personals o les mesures que autoritzen l'accés de les autoritats públiques, impedeixen que es compleixin els seus compromisos en virtut de la certificació.

ANNEX

Conté alguns exemples de mesures complementàries d'acord amb les enumerades a l'annex II de les Recomanacions 01/2020 sobre mesures que complementen els instruments de transferència per garantir un nivell de protecció de les dades personals equivalent al de la UE en el context de la utilització una certificació com a eina per a les transferències.