El Comité Europeo de Protección de Datos se pronuncia sobre las transferencias de datos personales con Rusia

El Comité Europeo de Protección de Datos (CEPD o EDPB, en siglas inglesas) ha emitido una declaración en la que señala la necesidad de que las transferencias internacionales de datos a Rusia respeten el nivel de protección que prevé el Reglamento General de Protección de Datos (RGPD).

Medidas políticas

Exclusión de Rusia del Consejo de Europa 

Tras la invasión de Ucrania, Rusia fue expulsada del Consejo de Europa. Por ello, se revocaron los convenios y protocolos de este país en el ámbito del Consejo, pero los que están abiertos a la adhesión de Estados no miembros del Consejo de Europa siguen en vigor.

Este es el caso del Convenio 108/1981 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal.

Sin embargo, está aún por determinar qué va a ocurrir con estos convenios no exclusivos de los miembros del Consejo. Si el Convenio 108/1981 con Rusia se cancelara, el efecto en el nivel de protección de datos en este país sería muy significativo.

Exclusión de Rusia del Convenio Europeo de Derechos Humanos

El próximo septiembre, Rusia quedará fuera del Convenio Europeo de Derechos Humanos.

Declaración del Comité Europeo de Protección de Datos

Nivel de protección y bases jurídicas para las transferencias internacionales

Ante estas circunstancias, el Comité Europeo de Protección de Datos recuerda que solo es posible realizar transferencias de datos personales a un país de fuera de la UE cuando se cumple una de estas tres condiciones:

1. Cuando la Comisión Europea haya declarado que ese país asegura un nivel adecuado de protección.
2. Cuando el destinatario de los datos ofrezca medidas de protección adecuadas, lo que solo ocurre cuando el país de destino protege los derechos de los interesados.
3. Cuando se cumpla alguna excepción singular prevista en la norma.

El Comité recuerda que la Comisión Europea no ha reconocido a Rusia como un destino adecuado para los datos, de modo que los exportadores de datos deberán identificar y evaluar las garantías de protección durante la transferencia y el instrumento jurídico en el que se formalicen, como las cláusulas contractuales tipo o las normas corporativas vinculantes.

Medidas complementarias

Además, el Comité recuerda que el Tribunal de Justicia de la Unión Europea ha manifestado  que los exportadores de datos son los responsables de definir y aplicar las garantías necesarias para alcanzar un nivel de protección equivalente al europeo.

Para ello, deben:

• considerar la legislación y las circunstancias del país de destino, e
• impedir o suspender la transferencia de datos si no son capaces de asegurar ese nivel mínimo.

Transferencias de datos de Estados miembros con Rusia

Varios Estados miembros del Espacio Económico Europeo mantienen estrechos vínculos económicos e históricos con Rusia que dan lugar a intercambios de datos personales frecuentes.

A este respecto, el Comité manifiesta:

• que las autoridades de control nacionales están estudiando los cambios legislativos oportunos en relación con las transferencias de datos, y
• que tendrán en cuenta el creciente impacto que las transferencias provocan en los derechos y libertades de los interesados.