CÓMO COMPROBAR SI SE PUEDEN TRANSFERIR DATOS PERSONALES A UNA ORGANIZACIÓN UBICADA EN EEUU EN BASE AL MARCO DE PRIVACIDAD “DATA PRIVACY FRAMEWORK (DPF)”
El 10 de julio de 2023, la Comisión Europea (CE) adoptó su Decisión de Ejecución de 10.7.2023 de conformidad con el RGPD sobre el nivel adecuado de protección de datos personales en virtud del Marco de privacidad de datos UE-EEUU llamado “Data Privacy Framework (DPF)”.
Es decir que a efectos del artículo 45 del RGPD, la CE garantiza un nivel adecuado de protección de los datos personales transferidos desde la UE a organizaciones en los EEUU que están incluidas en la lista del DPF.
Esto significa que desde el 10 de julio, las transferencias desde la UE a organizaciones de EEUU que estén incluidas en esa lista pueden basarse en la Decisión de Adecuación (DA), sin necesidad de depender de los instrumentos de transferencia del artículo 46 del RGPD (SCC, BCR, etc.).
La diferencia entre las DA sobre otros países y la de los EEUU es que en la de otros países la CE garantiza un nivel de protección adecuado en todas las organizaciones del país y en la de EEUU solo lo garantiza en las organizaciones adheridas al Marco de privacidad DPF. Por lo que en el caso de las transferencias a EEUU que quieran basarse en esta DA se debe consultar previamente si la entidad a la que se pretenden transferir los datos personales está adherida al DPF desde el siguiente enlace:
https://www.dataprivacyframework.gov/s/participant-search
En la sección “Data Privacy Framework List” se accede a un buscador para comprobar si la entidad a la que se pretenden transferir los datos está:
Al DPF con:
Y qué datos personales están cubiertos por el DPF:
Se adjunta documento original y la traducción realizada por Privacy Driver de la nota informativa que al respecto ha emitido el Comité Europeo de Protección de Datos (CEPD).