El Comité Europeo de protección de datos apoya la decisión de adecuación de Corea del Sur

2021-10-01T17:49:00
España Unión Europea

La Comisión Europea inicia proceso de regulación de transferencias internacionales de datos personales a Corea del Sur

El Comité Europeo de protección de datos apoya la decisión de adecuación de Corea del Sur
1 de octubre de 2021

El pasado 16 de junio de 2021, la Comisión Europea inició formalmente el proceso de adopción del borrador de la decisión de adecuación en materia de transferencias internacionales de datos personales a la República de Corea (en adelante, “Corea del Sur”). En la misma fecha, la Comisión Europea solicitó el dictamen preceptivo del Comité Europeo de Protección de Datos (“CEPD”) sobre la adecuación del nivel de protección de datos ofrecido en Corea del Sur, siendo finalmente publicado el pasado 24 de septiembre.

En este sentido, cabe recordar que el Reglamento General de Protección de Datos (“RGPD”) supedita las transferencias de datos personales a terceros países, -es decir, Estados que no pertenezcan al Espacio Económico Europeo (“EEE”)- al cumplimiento de alguna de las condiciones establecidas en su capítulo V, con el fin de obtener unas garantías de protección de los datos personales transferidos equivalentes a las garantías ofrecidas en la regulación europea.

Conforme al artículo 45 del RGPD, la Comisión Europea tiene la autoridad para determinar si un país fuera del EEE ofrece un nivel adecuado de protección de datos personales mediante la adopción de una decisión de adecuación. El efecto de dicha decisión de adecuación consiste en que puedan realizarse transferencias de datos personales al tercer país sin necesidad de adoptar ninguna garantía adicional.

Por ello, el procedimiento de adopción de la decisión de adecuación consiste en una evaluación por parte de la Comisión Europea de la legislación y de las prácticas en materia de protección de datos y del acceso a datos personales por parte de las autoridades públicas de Corea del Sur.

En este contexto, el procedimiento formal de adopción exige adicionalmente la emisión de un dictamen por parte del CEPD, y que fue publicado el pasado 24 de septiembre en sentido favorable a la adopción de la decisión de adecuación de la transferencia de datos personales a Corea del Sur.

En su dictamen, el CEPD concluye que el marco regulatorio surcoreano de protección de datos presenta numerosas similitudes con el RGPD, ya que cuenta con una amplia legislación que abarca tanto el sector público como el privado, y que se completa además con normativas sectoriales.

Además de lo anterior, el CEPD destaca en su dictamen los esfuerzos realizados por la Comisión Europea y las autoridades surcoreanas para garantizar que Corea del Sur ofrezca un nivel de protección equivalente al del RGPD mediante la adopción de resoluciones vinculantes por parte de la autoridad de protección de datos surcoreana, con el objetivo de colmar algunas lagunas existentes entre ambos marcos normativos.

No obstante, el dictamen del CEPD también concluye que existen algunos aspectos del marco regulatorio surcoreano que requieren ciertos matices o aclaraciones para asegurar un nivel de protección equivalente.

Entre los aspectos matizables, el CEPD destaca en su informe que, con arreglo a la legislación surcoreana, el derecho a revocar el consentimiento solo existe en circunstancias específicas, por lo que invita a la Comisión Europea a que evalúe en detalle las repercusiones de la falta de un derecho general a revocar el consentimiento en el marco regulatorio surcoreano.

Por otra parte, el CEPD solicita a la Comisión Europea que aclare si las reclamaciones ante la autoridad surcoreana de protección de datos o las acciones judiciales ante los tribunales de dicho país en materia de protección de datos están sujetas a requisitos sustantivos y/o procedimentales (el CEPD cita como ejemplo la carga de la prueba), y si los ciudadanos del EEE podrían cumplir dichos prerrequisitos. En este sentido, el CEPD considera necesario determinar si la legislación surcoreana otorga una protección equivalente al art. 47 de la Carta de los Derechos Fundamentales de la UE. Dicho artículo, aplicado en el ámbito de la protección de datos, exige que los interesados puedan dirigirse a un organismo competente que pueda determinar si se está llevando a cabo un tratamiento de datos, si dicho tratamiento se ajusta a la legalidad, y que disponga de facultades correctoras ejecutables en caso de que dicho tratamiento de datos no se ajuste a derecho.

No obstante, con independencia de los matices y aclaraciones solicitados, la publicación del dictamen favorable del CEPD supone un avance relevante en el procedimiento de adopción de la decisión de adecuación con Corea del Sur. En el supuesto de resultar finalmente aprobada por la Comisión Europea, la decisión de adecuación tendrá un periodo de duración de cuatro años, y contribuirá a reforzar las relaciones comerciales existentes entre los estados miembros y Corea del Sur.


1 de octubre de 2021