El EDPB ha publicado recientemente una serie de directrices que tratan de orientar a las empresas ubicadas en el Espacio Económico Europeo sobre los aspectos que deben tener en cuenta a la hora de llevar a cabo transferencias internacionales de datos, concretamente, cuando los datos se transfieren a Estados Unidos.
Ya el RGPD establece en su artículo 46 que es necesario la adopción de garantías adecuadas a la hora de transferir datos personales fuera del Espacio Económico Europeo.
Pues bien, actualmente, existe un marco de privacidad negociado entre la Comisión Europea y el Gobierno de EE. UU. conocido como el Data Privacy Framework (DPF), gracias al cual, todas las empresas estadounidenses certificadas se considera que gozan de un nivel de protección adecuado.
El documento se presenta en un formato de preguntas, y pretende responder las principales dudas que las empresas europeas presentan frente a este marco, en concreto explica (i) qué es el DPF; (ii) que compañías estadounidenses pueden acogerse al DPF; (iii) qué hacer antes de transferir datos personales a una empresa en los EE.UU. que esté o afirme estar certificada con arreglo al DPF y (iv) donde encontrar información sobre la certificación de filiales estadounidenses de empresas europeas.
Entre otras cuestiones, indica que cualquier empresa ubicada en el EEE, antes de transferir datos personales a una empresa americana, debe comprobar si la misma se encuentra certificada en el DPF. En caso contrario, habría que acudir a otro tipo de garantías como pueden ser las Standard Contract Clauses (SCC). En el caso de tratarse de una filial cuya matriz estadounidense se encuentre certificada, deberá confirmar si la certificación de la compañía matriz cubre a sus filiales.
Además, advierte de que el hecho de que el destinatario de datos se encuentre adherido al DPF no significa que deban obviarse el resto de las obligaciones establecidas en el RGPD, tales como, minimización, proporcionalidad o deber de información.
Por último, cuando dicha transferencia de datos entre el EEE y EE. UU. se produce dentro de un encargo de tratamiento, responsable y encargado deben formalizar el correspondiente acuerdo de tratamiento.