Resumen de las directrices 07/2022 sobre la certificación como herramienta para transferencias de datos


Manuel Castilleja Toscano     14/07/2022

Documento original resumido: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-072022-certification-tool-transfers_en

Las directrices proporcionan orientación sobre la aplicación del artículo 46.2.f) del RGPD, es decir sobre las transferencias de datos personales a terceros países o a organizaciones internacionales (TID) sobre la base de la certificación (artículo 42.2 RGPD) como garantía adecuada. El documento se estructura en cuatro secciones y un anexo.

1. GENERAL

Aclara que las directrices complementan las Directrices generales 1/2018 ya existentes sobre certificación y abordan los requisitos específicos del Capítulo V del RGPD cuando la certificación se utiliza como herramienta de transferencia. Como primer paso, debe garantizarse el cumplimiento de las disposiciones generales del RGPD y, como segundo paso, deben cumplirse las disposiciones del capítulo V del RGPD. Se describen los actores que están involucrados y sus roles, con un enfoque especial en el papel del importador de datos al que se le otorgará una certificación y del exportador de datos que la utilizará como una herramienta para enmarcar sus transferencias (considerando que la responsabilidad del cumplimiento del tratamiento de datos sigue siendo del exportador de datos). La certificación también puede incluir medidas adicionales que la complementen para garantizar el cumplimiento del nivel de protección de datos personales de la UE. También contiene información sobre el proceso de obtención de una certificación que se utilizará como herramienta para las TID.

2. ORIENTACIÓN DE APLICACIÓN DE LOS REQUISITOS DE ACREDITACIÓN

Los requisitos para la acreditación de un organismo de certificación se encuentran en la norma ISO 17065 y en la interpretación de las Directrices 4/2018 sobre la acreditación de organismos de certificación en virtud del artículo 43 del RGPD y su anexo en el contexto del capítulo V. Sin embargo, en el contexto de una transferencia, estas directrices explican con más detalle algunos de los requisitos de acreditación aplicables al organismo de certificación.

3. CRITERIOS ESPECÍFICOS DE CERTIFICACIÓN

Proporciona orientación sobre los criterios de certificación ya enumerados en las Directrices 1/2018 y establece criterios específicos adicionales que deben incluirse en un mecanismo de certificación que se utilizará como herramienta para las TID. Estos criterios abarcan la evaluación de la legislación de terceros países, las obligaciones generales de los exportadores e importadores, las normas sobre transferencias ulteriores, el recurso y la ejecución, el proceso y las acciones de situación en las que la legislación y las prácticas impiden el cumplimiento de los compromisos asumidos como parte de la certificación y las solicitudes de acceso a los datos por parte de las autoridades de terceros países.

4. COMPROMISOS VINCULANTES Y EXIGIBLES QUE DEBEN APLICARSE

Proporciona elementos que deben abordarse en los compromisos vinculantes y exigibles que los responsables o encargados del tratamiento no sujetos al RGPD deben tomar con el fin de proporcionar las garantías adecuadas a los datos transferidos a terceros países. Estos compromisos, que podrán establecerse en diferentes instrumentos, incluidos los contratos, incluirán, en particular, una garantía de que el importador no tiene motivos para creer que las leyes y prácticas del tercer país aplicable al tratamiento en cuestión, incluidos los requisitos para divulgar la pérdida de datos personales o las medidas que autorizan el acceso de las autoridades públicas, impiden que se cumplan sus compromisos en virtud de la certificación.

ANEXO

Contiene algunos ejemplos de medidas complementarias en consonancia con las enumeradas en el anexo II de las Recomendaciones 01/2020 sobre medidas que complementan los instrumentos de transferencia para garantizar un nivel de protección de los datos personales equivalente al de la UE en el contexto de la utilización de una certificación como herramienta para las transferencias.