El EDPB ha publicado un documento con respuestas a preguntas planteadas tras la sentencia que anula Privacy Shield como decisión de adecuación (art. 45 GDPR) para las transferencias de datos personales (TI) desde la UE a EEUU.
Podemos legitimar la TI con alguno de los mecanismos que ofrecen garantías adecuadas (art. 46 GDPR), SCCs, BCR, … el responsable del tratamiento deberá valorar si el nivel de adecuación a la normativa de privacidad del país de destino, y las medidas de seguridad implantadas por el destinatario alcanzan el nivel “de equivalencia esencial” solicitado por la Comisión, y pactar medidas de seguridad complementarias; si una vez valorado no se dan las garantías adecuadas, se deberá suspender la TI, y si no se suspende se debe notificar a la AEPD.
Podemos legitimar la TI con alguna de las excepciones contempladas en el art. 49 del GDPR, esto es consentimiento del interesado (explícito, específico para la TI, e informado, en particular de los posibles riesgos), relación contractual (TI ocasional y necesaria para el contrato) o interés público (reconocido en la legislación de la UE o sus estados miembros), pero además de estar a todo los exigido en dicho precepto, no debe convertirse esta en “la regla general”, sino al contrario restringirse a situaciones específicas.
Puede descargar el documento publicado por el EDPB traducido al castellano aquí.
