El CEPD publica la versión final de las directrices sobre transferencias de datos a autoridades de países terceros
En un mundo cada vez más interconectado, la transferencia de datos personales a países terceros se ha convertido en una práctica común. Sin embargo, esta práctica plantea desafíos significativos en términos de protección de datos, especialmente cuando las autoridades de esos países terceros solicitan acceso a dichos datos.
Para abordar esta cuestión, el Comité Europeo de Protección de Datos (CEPD o EDPB, por sus siglas en inglés) ha publicado la versión final de sus directrices sobre el artículo 48 del Reglamento General de Protección de Datos (RGPD). Estas directrices, adoptadas el 4 de junio de 2025, tienen como objetivo aclarar las condiciones bajo las cuales los responsables y encargados del tratamiento en la Unión Europea (UE) pueden responder legalmente a estas solicitudes, garantizando al mismo tiempo que el nivel de protección de datos que garantiza el RGPD no se vea comprometido.
¿Cuáles son las directrices del CEPD sobre el artículo 48 del RGPD?
Las directrices del CEPD sobre el artículo 48 del RGPD son un documento esencial que proporciona una interpretación detallada de esta disposición del RGPD. El artículo 48 establece que cualquier sentencia de un tribunal o tribunal y cualquier decisión de una autoridad administrativa de un país tercero que requiera que un responsable o encargado del tratamiento transfiera o revele datos personales solo podrá ser reconocida o ejecutada si se basa en un acuerdo internacional, como un tratado de asistencia jurídica mutua, en vigor entre el país tercero solicitante y la UE o un Estado miembro.
El objetivo principal de estas directrices es proteger los datos personales de la aplicación extraterritorial de las leyes de países terceros que puedan violar el derecho internacional e impedir la protección de las personas físicas garantizada por el RGPD. En esencia, el CEPD busca garantizar que las decisiones de las autoridades extranjeras no sean reconocidas o ejecutadas automáticamente en la UE, subrayando la soberanía legal de la UE frente a las leyes de países terceros.
Necesidad de cumplir con el RGPD
Las directrices del CEPD dejan claro que cualquier transferencia o revelación de datos personales en respuesta a una solicitud de una autoridad de un país tercero debe cumplir con los requisitos del RGPD. Esto implica que debe existir una base legal para el tratamiento de los datos, conforme al artículo 6 del RGPD, y que se deben cumplir los requisitos para las transferencias de datos personales a países terceros o a organizaciones internacionales, según el capítulo V del RGPD.
El CEPD subraya que una solicitud de una autoridad extranjera por sí sola no constituye una base legal para el tratamiento ni una razón para la transferencia. Las organizaciones deben realizar una evaluación exhaustiva para determinar si existe una base legal válida para la transferencia, como el consentimiento del interesado, la necesidad de cumplir con una obligación legal o la existencia de un interés legítimo.
En este sentido, las directrices señalan que el artículo 6(1)(c) del RGPD, que permite el tratamiento de datos cuando es necesario para cumplir con una obligación legal, puede ser una base legal apropiada si existe un acuerdo internacional aplicable que obligue a la organización a responder a la solicitud de la autoridad del país tercero. Sin embargo, si no existe tal acuerdo, las organizaciones deben explorar otras bases legales y asegurarse de que se cumplan todos los requisitos del capítulo V del RGPD.
Es necesario que tanto el responsable como el encargado del tratamiento comprendan sus roles y responsabilidades bajo el RGPD cuando se enfrenten a estas solicitudes. El responsable determina los fines y medios del tratamiento de los datos personales, mientras que el encargado del tratamiento procesa los datos en nombre del responsable. Ambos deben colaborar para garantizar el cumplimiento del RGPD.
Herramientas para la transferencia internacional de datos
El capítulo V del RGPD establece varias herramientas que pueden utilizarse para transferir datos personales a países terceros de manera legal. Estas herramientas incluyen:
- Decisiones de adecuación: la Comisión Europea puede determinar que un país tercero garantiza un nivel de protección de datos esencialmente equivalente al garantizado en la UE. En estos casos, la transferencia de datos a ese país tercero no requiere ninguna autorización adicional.
- En ausencia de una decisión de adecuación, las organizaciones pueden recurrir a salvaguardias apropiadas, como cláusulas contractuales estándar aprobadas por la Comisión Europea, reglas corporativas vinculantes o códigos de conducta aprobados.
- En situaciones excepcionales, cuando no sea posible recurrir a una decisión de adecuación o a salvaguardias apropiadas, el artículo 49 del RGPD establece una serie de excepciones que permiten la transferencia de datos en circunstancias específicas, como cuando sea necesario para proteger los intereses vitales del interesado o para el ejercicio de acciones legales.
En resumen, las nuevas directrices del CEPD sobre el artículo 48 del RGPD son una herramienta esencial para cualquier organización que opere en Europa y maneje datos que puedan ser solicitados por autoridades fuera de la UE. No se trata solo de cumplir con una regulación, sino de proteger los derechos fundamentales de los individuos y mantener la confianza en un entorno digital cada vez más globalizado.
En Letslaw somos abogados expertos en derecho digital, por lo que podemos asesorarte en todo lo que necesites.
María Manrique es abogada especializada en derecho digital, protección de datos y derecho de las telecomunicaciones.
Graduada en Derecho por la Universidad Complutense de Madrid, actualmente cursa un máster en derecho de las telecomunicaciones, audiovisual y sociedad de la información en la Universidad Carlos III. Asesora en comercio electrónico, publicidad digital, inteligencia artificial, NFTs y blockchain, con un perfil adaptable y proactivo en entornos tecnológicos.
Artículos Relacionados
Uber se opone a la tercera y más cuantiosa multa de la DPA holandesa por transferencia de datos a EEUU
Transferencias internacionales de datos: Nuevas cláusulas contractuales tipo adoptadas por la UE
Transferencias internacionales de datos
La Comisión aprueba el Acuerdo Privacy Shield que permite realizar transferencias de datos a Estados Unidos
El CEPD aclara las normas para el intercambio de datos con las autoridades de terceros países y aprueba la certificación del sello de protección de datos de la UE
Multa a Uber por no garantizar la protección de datos de sus conductores