El Comisionado Estatal de Protección de Datos y Libertad de Información (TLfDI) de Turingia ha emitido un dictamen con instrucciones para la aplicación de la decisión de adecuación del Marco de privacidad de datos UE - EE.UU. que permite la transferencia de datos personales a empresas certificadas en dicho país.

El dictamen recae sobre dos puntos fundamentales que la TLfDI considera complementarios a la posición previa adoptada en la Conferencia de Protección de Datos de las autoridades alemanas (DSK): (i) las obligaciones del responsable del tratamiento; y (ii) las críticas del Consejo Europeo de Protección de Datos y de Max Schrems. Sobre la primera cuestión señala que los proveedores estadounidenses (que brindan servicios en la nube) no son responsables en el sentido del RGPD, sino que se consideran contratistas, por lo que el cliente, responsable del tratamiento, debe, en caso de duda, poder cumplir las obligaciones que le impone el RGPD sin la ayuda del exportador de datos, o cumplirlas mediante un importador con arreglo al artículo 28 del RGPD. Sobre el segundo punto, señala que tanto el CEPD como Scherms han criticado el procedimiento de revisión judicial de validez de la certificación en caso de denuncia. Por ejemplo, las excepciones al derecho de acceso de los interesados; la falta de claridad sobre cuando un tratamiento se considera “proporcionado”; la ausencia total de normas sobre la elaboración de perfiles y la toma de decisiones automatizada, entre otros.

El dictamen del TLfDI hace referencia a las opciones de reclamación con que cuentan los responsables del tratamiento y los interesados consideradas previamente en la DSK. Estas acciones podrán dirigirse contra (i) empresas certificadas, (ii) en caso de sospecha de tratamiento ilícito de datos en el marco de una acción penal, y (iii) en caso de sospecha de tratamiento ilícito de datos cuando se alegue la salvaguarda de la seguridad nacional.