Tras una consulta pública que se ha llevado a cabo durante los últimos meses, el organismo europeo ha publicado la versión definitiva de su Guía 2/2024 sobre la realización de transferencias internacionales con base en el artículo 48 del RGPD.
Como ya expuso el EDPB, en el entorno tecnológico actual, existe la posibilidad de que responsables o encargados del tratamiento reciban un requerimiento por parte de autoridades de países no pertenecientes a la Unión Europea, en los que se solicite el acceso a determinados datos personales. En este sentido, dichas solicitudes pueden tener como finalidad la obtención de pruebas en procesos penales, la resolución de procedimientos civiles, etc.
Debido a que estas decisiones no tienen un reconocimiento automático (ni pueden ejecutarse) dentro del territorio europeo, en la presente Guía, el organismo europeo ofrece diversas orientaciones prácticas y aclara cómo deben actuar los responsables para determinar si pueden o no realizar legalmente las transferencias de datos a dichas autoridades solicitantes, analizando las circunstancias específicas que les permitan responder correctamente a dichos requerimientos.
En este contexto, en relación con lo dispuesto en el artículo 48 del RGPD (según el cual una sentencia o decisión solo será reconocida o ejecutable si se fundamenta en un acuerdo internacional vigente), dicho acuerdo puede establecer tanto la base jurídica como otro fundamento legal para llevar a cabo la transferencia de datos. Sin embargo, si no existiera este acuerdo internacional o si no previese una base jurídica, ni ofreciese garantías adecuadas, cabría evaluar la posibilidad de recurrir a otras bases legitimadoras, siempre que se trate de situaciones excepcionales, analizándose caso por caso.
Esta versión final contiene una redacción actualizada a los efectos de responder a las consultas y comentarios recibidos durante el periodo de consulta pública.
Puede acceder a la Guía publicada por el EDPB aquí.
