La autoridad de control de Dinamarca ha aclarado algunas preguntas relacionadas con el concepto “exportador de datos” originadas a raíz de la decisión del TJUE en el caso “Schrems II”.
Desde la publicación de la decisión del TJUE en el caso “Schrems II”, la autoridad de control de Dinamarca ha recibido un gran número de preguntas relacionadas con la transferencia de datos personales a terceros países. Muchas de ellas se centran en el concepto de “exportador de datos” y consideraciones en torno a quien debería asegurar que la transferencia de datos tiene lugar conforme a la normativa aplicable, especialmente en situaciones complejas. Mientras que el concepto “exportador de datos” no se define en el RGPD, sí que se desarrolla en las cláusulas tipo publicadas por la Comisión Europea, que es una de las herramientas más utilizadas para transferir datos conforme al Capítulo V del RGPD. En consecuencia, la autoridad de control de Dinamarca ha publicado una aclaración del rol y concepto de “exportador de datos”.
Un responsable o encargado del tratamiento en un tercer país a quién se le transfieren datos bajo las cláusulas tipo es considerado un “importador de datos”.
Un responsable de datos europeo puede utilizar cláusulas tipo para transferir datos a un responsable o encargado del tratamiento en un tercer país. El responsable o encargado de tratamiento en el tercer país sería entonces considerado el “importador de datos”. Esta situación ha creado algunas dudas sobre cuál de las partes debe garantizar la legalidad de la transferencia bajo el RGPD, especialmente en aquellos casos en los que uno o más de los sub-encargados de tratamiento se encuentra fuera de la EU/EEA.
El RGPD establece que las dos partes (tanto exportador como importador) son responsables de determinar la base legal para la transferencia.
Conforme al artículo 44 del RGPD, “Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional.”. La autoridad de control de Dinamarca interpreta este Artículo del RGPD como una obligación aplicable tanto al responsable como al encargado de los datos. Las dos partes deben por tanto asegurar que existe una base legítima que sea efectiva para la transferencia de datos a la luz de las circunstancias de la misma.
Bajo el RGPD, se espera que tanto el responsable como el encargado tomen las medidas necesarias para garantizar la seguridad de los datos.
El artículo 32 del RGPD establece que el responsable y el encargado de los datos deben establecer un nivel de seguridad adecuado. La autoridad de control de Dinamarca considera que tanto el responsable como cualquier posible encargado de tratamiento son sujetos independientes en relación a esta obligación, lo que significa que se espera que tanto el responsable de los datos como el encargado deben implementar las medidas técnicas y organizativas que sean apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Cuando el encargado aporta toda o la mayor parte de la infraestructura técnica, la tarea del responsable es asegurar -y ser capaz de demostrarlo ante la autoridad de control de Dinamarca- que el encargado ha establecido un nivel de seguridad satisfactorio sobre los datos que se tratan.
¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de Datos, Evaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Infórmate aquí.
