La Autoridad de Protección de Datos francesa (CNIL) ha publicado unborrador de “Guía sobre Evaluaciones de Impacto de las Transferencias Internacionales” (Transfer Impact Assessment, por sus siglas en inglés “TIA”). En línea con las recomendaciones del EDPB sobre medidas adicionales que complementan los instrumentos de transferencia, esta Guía recoge una metodología cuyo objetivo es que las organizaciones adopten las medidas de protección necesarias a la hora de realizar una transferencia de datos fuera del Espacio Económico Europeo (EEE).

El exportador de datos es quien, con la colaboración del importador, debe realizar una TIA sobre la transferencia fuera del EEE, siempre que el país de destino de los datos no esté cubierto por una Decisión de Adecuación de la Comisión Europea. El borrador de Guía de la CNIL está organizado en seis puntos a seguir en la realización de TIAs. En primer lugar, es imprescindible (i) conocer toda la información relativa a la transferencia. Para ello, la guía facilita un cuadro a rellenar con información interna preexistente, tales como el registro de actividades de tratamiento o el contrato que regula la transferencia. En segundo lugar, se recomienda (ii) documentar la herramienta de transferencia utilizada con el fin de confirmar la necesidad o no de realizar un TIA. Para ello, el exportador tiene que basarse en una decisión de adecuación de la Comisión o en alguna de las herramientas o excepciones recogidas en el RGPD. Posteriormente, habría que (iii) evaluar la legislación del país de destino con el fin de conocer el cumplimiento de la legislación de dicho país y comprobar que no impidan el cumplimiento de las obligaciones que se le atribuyen al exportador de datos. El paso siguiente es (iv) identificar y adoptar las medidas complementarias que fueran necesarias para garantizar el cumplimiento del nivel establecido por el RGPD. Con el objetivo de contribuir en este paso, la CNIL ha creado un anexo con una lista de medidas técnicas, contractuales y organizativas. Para (v) implementar las medidas complementarias y tomar las medidas procesales necesarias, se facilita una tabla con las acciones a tener en consideración. Por último, la CNIL recuerda la necesidad de (vi) reevaluar el nivel de protección de datos cada cierto tiempo. 

El borrador de guía estará en periodo de consulta pública hasta febrero de 2024. Durante este plazo, todos los actores que transfieran datos fuera del EEE pueden realizar aportaciones que serán tenidas en cuenta por la CNIL de cara a realizar la futura guía sobre TIA.

Más información: https://www.cnil.fr/en/transfer-impact-assessment-tia-cnil-consults-you-draft-guide-0