El European Data Protection Board (EDPB) ha adoptado, durante su última sesión, las “Guidelines 01/2023 on Article 37 Law Enforcement Directive”. El objetivo de estas directrices es proporcionar claridad sobre el estándar legal para las salvaguardias adecuadas que deben aplicar las autoridades competentes de los Estados miembros de la UE a la hora de realizar transferencias de datos personales para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, a autoridades de terceros países o a organizaciones internacionales.

Entre las acciones más relevantes encontramos (i) la asunción de mayores obligaciones a la hora de rendir cuentas cuando tenga lugar una transferencia internacional de datos a un país que carezca de una decisión de adecuación, (ii) la inclusión de categorías de transferencias en el registro de actividades de procesamiento, (iii) conservar las valoraciones sobre transferencias, revisarlas y actualizarlas y (iv) cooperar con las autoridades supervisoras.

Las Directrices reiteran que cualquier transferencia de datos personales requiere un nivel de protección esencialmente equivalente al de la UE en el tercer país u organización internacional que actúe como receptor, y hacen hincapié en que solo se debe confiar en este último cuando esta evaluación se basa en un análisis cuidadoso del marco legal y las prácticas pertinentes que establezca que la transferencia en cuestión está sujeta a las salvaguardias apropiadas. Las Directrices se encuentran en periodo de consulta pública hasta el 8 de noviembre de 2023.