El Supervisor Europeo de Protección de Datos (EDPS) ha denegado una solicitud del Banco Europeo de Inversiones (BEI) para transferir datos personales, específicamente información de contacto, a India y otros países no pertenecientes a la UE. Esta decisión se basa en la evaluación de que India aún no garantiza un nivel de protección de datos esencialmente equivalente al exigido por el Reglamento General de Protección de Datos (RGPD) de la UE.
Aunque India promulgó la Ley de Protección de Datos Personales Digitales (DPDP) en agosto de 2023, el EDPS concluyó que la legislación india aún no ofrece garantías suficientes para la protección de datos personales, especialmente en lo que respecta al acceso gubernamental a dichos datos.
Esta decisión subraya la importancia de que las organizaciones que operan dentro de la UE evalúen cuidadosamente las leyes de protección de datos de los países receptores antes de transferir información personal. El EDPS enfatiza que, en ausencia de una decisión de adecuación por parte de la Comisión Europea, las transferencias de datos a terceros países deben contar con garantías adecuadas, como cláusulas contractuales tipo o normas corporativas vinculantes.
El caso del BEI destaca los desafíos que enfrentan las instituciones europeas al colaborar con entidades en países donde las leyes de protección de datos no están alineadas con los estándares de la UE. Se espera que esta decisión influya en futuras evaluaciones de transferencias de datos y refuerce la necesidad de establecer marcos legales sólidos que protejan la privacidad de los ciudadanos europeos.
Para más información sobre las transferencias internacionales de datos y las evaluaciones de adecuación, puede consultar las directrices del Comité Europeo de Protección de Datos (EDPB).
