Actualización 2 de noviembre de 2022
El Consejo Europeo de Protección de Datos (EDPB) proporciona su marco para el cumplimiento del RGPD en caso de transferencia de datos fuera de la Unión Europea.
Recomendaciones 01/2020 sobre medidas que
complementar las herramientas de transferencia para garantizar el cumplimiento de
el nivel de protección de datos personales de la UE
Versión 2.0
Adoptado el 18 de junio de 2021.
https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_fr
Era de esperar que este marco aligerara las formalidades contractuales de las empresas (Binding Corporate Rules o cláusulas contractuales estándar) en cuanto a la transferencia de datos fuera de la Unión Europea.
Mais il ressort de ce cadre que l’examen minutieux des législations étrangères reste nécessaire, comme le préconise l’arrêt Schrems II (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62018CJ0311), dès qu’une zone territoriale est identifiée comme incertaine par les autorités européennes : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde,
Excepto en el caso de las excepciones previstas en el artículo 49 del RGPD.
De hecho, un Estado soberano puede en todos los casos acceder a los datos, previa solicitud específica: solo una solicitud general de acceso a los datos podría ser impugnada en términos de principios.
En cuanto a las transferencias de datos a Estados Unidos, aún no existe una decisión de adecuación por parte de la Comisión Europea, tras las denominadas sentencias Schrems I TJUE de 6 de octubre de 2015 (C-362/14) (invalidación del Safe Harbour) y Schrems II de 16 de julio de 2020 (C-311/18) (invalidación del Privacy Shield). La legislación estadounidense refleja, en efecto, una concepción de la privacidad centrada en la protección de los ciudadanos estadounidenses, sin incluir a los extranjeros, que no es la universalista de la Unión Europea.
La Cuarta Enmienda a la Constitución de los Estados Unidos establece: "No se violará el derecho de los ciudadanos a estar seguros en su persona, domicilio, papeles y efectos contra registros e incautaciones sin motivo, ni se emitirá ninguna orden excepto bajo presunción grave, corroborada por juramento o declaración solemne y describiendo con precisión el lugar a ser registrado y las personas o cosas a ser apresadas. »
A pesar de los esfuerzos de reconciliación (cf. la reciente orden ejecutiva de Joe Biden del 7 de octubre de 2022 que prevé claramente el recurso a un delegado del poder ejecutivo e incluso a un tribunal independiente pero cuyas opiniones no son ejecutables), la legislación estadounidense aún prevé la vigilancia masiva. y la falta de recursos efectivos en relación con los derechos de los interesados.
Por lo tanto, corresponde ante todo al exportador de datos, en un peligroso ejercicio de evaluación, comprobar la legislación extranjera. El Comité proporciona una lista de fuentes de datos en el Anexo III de sus recomendaciones.
Las nuevas Cláusulas Contractuales Tipo (“SCC”) (adoptadas por la Comisión Europea el 4 de junio de 2021 y publicadas el 7 de junio de 2021, que entrarán en vigor el 27 de junio de 2021, https://eur-lex.europa. eu/eli/ dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=fr) no exime de este ejercicio.
La decisión provisional de Doctolib puede dar pistas sobre cómo asegurar una transferencia de datos: ubicación y encriptación en Francia, obligación de la filial europea de impugnar la solicitud "general" extranjera, datos insensibles, período de retención de datos breve: https://roquefeuil.avocat.fr/2021/04/transfert-de-donnees-sur-un-cloud.html
Spanish 
French 
English 
German 
Portuguese 
Italian