jueves, 8 de octubre de 2020

INVALIDEZ DECISION 2016/1250 TJEU (TRANSFERENCIAS INTERNACIONALES DE DATOS A EE.UU.)


Boletín Informativo

Estimado cliente:

El pasado día 16 de julio del presente casi cinco años después de la anulación del Acuerdo de Puerto Seguro (“Safe Harbor Agreement”) entre la Unión Europea y los Estados Unidos, la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) dictada en el asunto C-311/18 (caso Schrems II) ha invalidado también el Escudo de Privacidad(“Privacy Shield”) entre aquéllos, adoptado para reemplazar al anterior.

La sentencia, una de las más importantes sobre protección de datos que ha dictado el TJUE en los últimos años, plantea cuestiones relevantes tanto para quienes transfieren datos personales fuera del Espacio Económico Europeo (EEE) como para la economía digital, que requieren de un marco robusto que dé respuesta a las dudas e incertidumbres que se suscitan.

1. ¿Por qué invalida el TJUE la Decisión de Ejecución (UE) 2016/1250 de la Comisión?

La Decisión de Ejecución (UE) 2016/1250 de la Comisión, ha sido invalidada por el TJUE por ser incompatible con el Reglamento General de Protección de Datos (RGPD)9, interpretado a la luz de la Carta de los Derechos Fundamentales de la Unión Europea (CDFUE).

En concreto, el TJUE indica que la Comisión “no tuvo en cuenta las exigencias resultantes del artículo 45, apartado 1, del RGPD, interpretado a la luz de los artículos 7, 8 y 47 de la Carta” (apartado 198 de la sentencia en el asunto C-311/18), por lo que es incompatible (apartado 199, C-311/18).

Según el TJUE, el requisito que la Comisión no habría considerado en la Decisión de Ejecución (UE) 2016/1250 de la Comisión es que el tercer país, en este caso Estados Unidos, garantizase un nivel de protección adecuado.

El nivel de protección adecuado tiene que interpretarse conforme a los siguientes derechos fundamentales:

— Respeto de la vida privada y familiar (art. 7 de la CDFUE);

----Protección de datos de carácter personal (art. 8 de la CDFUE), y

— Derecho a la tutela judicial efectiva y a un juez imparcial (art. 47 de la CDFUE).

2. ¿Qué supone la sentencia del TJUE para las transferencias a Estados Unidos?

Desde el 16 de julio de 2020 ya no pueden llevarse a cabo transferencias internacionales de datos personales a Estados Unidos sobre la base del Escudo de Privacidad al haber sido invalidado por el TJUE.

Al ser Estados Unidos un tercer país que carece de nivel adecuado de protección, de manera que el responsable del tratamiento o el encargado del tratamiento establecidos en la Unión Europea deberán recurrir a alguno de los demás mecanismos previstos en el RGPD para proporcionar garantías adecuadas.

Es decir, el Escudo de Privacidad deja de ser una opción a efectos de poder transferir datos personales desde la Unión

Europea a una empresa que esté adherida a aquél. Las transferencias de datos a Estados Unidos tendrán que basarse en otra garantía adecuada, tal como las cláusulas contractuales tipo, cláusulas tipo adoptadas por una autoridad de protección de datos y aprobadas por la Comisión o normas corporativas vinculantes (BCRs).

Si en el futuro se alcanzase otro acuerdo entre la Unión Europea y los Estados Unidos, podrán volver a llevarse a cabo transferencias de datos a empresas adheridas al programa que sustituya al Escudo de Privacidad, lo cual no es descartable dado el interés mostrado a ambos lados del Atlántico.

Desde un punto de vista económico, el Departamento de Comercio ha manifestado que la invalidación del Escudo de Privacidad podría tener un impacto negativo para una relación comercial transatlántica de más de siete trillones de euros, así como que las empresas europeas tendrán que recurrir a otros mecanismos para transferencias internacionales de datos si quieren acceder a los servicios prestados por las más de 5.300 empresas adheridas al Escudo de Privacidad

3. ¿Qué implica la sentencia del TJUE para responsables y encargados del tratamiento en el caso de la Decisión 2010/87/UE sobre cláusulas contractuales tipo?

A pesar de que el TJUE declara válida la Decisión 2010/87/UE, recuerda y resalta que tanto los responsables y encargados del tratamiento como las autoridades de protección de datos tienen obligaciones en virtud del RGPD por lo que se refiere a garantizar el derecho fundamental a la protección de datos cuando se lleva a cabo una transferencia internacional de datos. En concreto, la sentencia del TJUE subraya que “a falta de una decisión de adecuación, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas” (apartado 128, C-311/18), lo que podría hacerse a través de las cláusulas tipo. Y esto, a diferencia de lo que ocurría hasta la aplicación del RGPD, implica que “pueda ser necesario completar las garantías recogidas en esas cláusulas tipo de protección de datos” (apartado 133, asunto C-311/18).

A modo de primeros pasos, es recomendable que el responsable del tratamiento que va a transferir datos personales desde el EEE sobre la base de las cláusulas contractuales tipo aprobadas en virtud de las cláusulas contractuales tipo, proceda a:

I. Comprobar caso por caso, considerando las circunstancias específicas, así como la legislación

aplicable en el tercer país, y, si fuera necesario en colaboración con el destinatario de la transferencia; si dicho país (fuera del EEE) garantiza una protección adecuada, en particular por lo que se refiere al acceso gubernamental a los datos personales, ya sea en tránsito o cuando son tratados en el tercer país;

II. Como parte del análisis anterior, el responsable del tratamiento deberá atender a si se transfieren categorías especiales de datos y, si fuera así, informar:

— “al interesado antes de que se efectúe la transferencia o en cuanto sea posible” (apartado 144, asunto C-311/18) y

— de manera que el interesado pueda “ejercer el derecho de recurso contra el responsable del tratamiento” (apartado 144, asunto C-311/18).

III. A notificar a la autoridad de protección de datos una modificación en la legislación que es aplicable al importador en el tercer país que tenga un “importante efecto negativo sobre las garantías ofrecidas y las garantías impuestas por las cláusulas tipo de protección de datos” (apartado 145, asunto C-311/18), cuando el importador o destinatario de la transferencia se lo notifique;

IV. Si fuera necesario, adoptar garantías adicionales a las ofrecidas por las cláusulas tipo de protección de datos como, por ejemplo, la obligación del encargado del tratamiento de informar y adoptar medidas cuando reciba solicitudes gubernamentales de acceso a los datos personales en el tercer país;

V. Analizar o evaluar la efectividad de las garantías adicionales, ya que será necesario demostrar que, en la práctica, queda garantizada la protección adecuada de los datos;

VI. Tener presente su facultad de suspensión o finalización de la transferencia internacional, lo que

podría implicar la rescisión del contrato, al país de destino cuando no exista una protección adecuada y, en su caso, considerar que la autoridad de protección de datos puede ordenar dicha suspensión o terminación;

VII. También debería tenerse en consideración que la negativa o falta de asistencia por el importador de los datos puede dar lugar a que no sea un encargado del tratamiento que ofrece “garantías suficientes”, debiendo adoptar medidas al respecto en virtud de la obligación de responsabilidad proactiva, y

VIII. Considerar las implicaciones anteriores en el caso de otros mecanismos para la transferencia internacional de datos, incluidas las normas corporativas vinculantes.

Cabe también esperar que las autoridades de protección de datos ofrezcan orientación en la materia.

Y si ya se estuvieran llevando a cabo transferencias internacionales de datos:

I. Revisar cada transferencia internacional de datos de manera que se compruebe si estaba basada en el Escudo de Privacidad:

— Si fuera así:

• Verificar si existe una alternativa a dicho mecanismo, ya que en ocasiones los encargados del tratamiento adheridos al Escudo de Privacidad ofrecían al mismo tiempo otras alternativas o puede que el importador la ofrezca para dar solución a la situación creada por la invalidación del Escudo de Privacidad;

• Si no se da el supuesto anterior, detener dicha transferencia por falta de garantías adecuadas para la transferencia internacional de datos, y

• Vinculado con el punto anterior, buscar una alternativa al Escudo de Privacidad, es decir, otro mecanismo que permita ofrecer garantías adecuadas para la transferencia internacional de datos en ausencia de una decisión de adecuación.

En cualquier caso, el Escudo de Privacidad, al ser invalidado, deja de ser aplicable por lo que se refiere a la posibilidad de recurrir al mismo para aportar garantías adecuadas para la transferencia internacional de datos a empresas adheridas al mismo en Estados Unidos.

— Considerar, en particular, que, si la transferencia internacional no ofrece un nivel de protección adecuado, el responsable del tratamiento tendrá que suspender o finalizar dicha transferencia, pudiendo hacerlo también la autoridad de protección de datos.

En cualquier caso, la evaluación o análisis (“assessment”) de la existencia de un nivel adecuado de protección de datos recae también en el responsable del tratamiento que va a actuar como exportador de datos, lo que obviamente tiene un impacto relevante por lo que se refiere a las medidas a adoptar en materia de protección de datos. Y esta evaluación es fundamental para, si fuera necesario, adoptar garantías adicionales que se añadirán a las cláusulas contractuales tipo.

Una de las principales conclusiones es que los responsables o encargados del tratamiento que exporten datos personales fuera del EEE, con independencia de cuál sea el mecanismo al que recurran, tendrán que llevar a cabo una evaluación (“assessment”) de las garantías en materia de protección de datos que requiere de asesoramiento especializado.

4. ¿Cómo puedo saber si estoy realizando transferencias internacionales de datos a los EE.UU?

  • Si su empresa, debido a su estructura, dimensión, actividad profesional u otros motivos, trata datos personales de interesados y estos datos  son comunicados y/o transferidos a sucursales, delegaciones, colaboradores, etc. ubicados fuera del Espacio Económico Europeo  (UE, Islandia, Liechtenstein y Noruega)
  • Cualquier  servicio que tenga contratado con proveedores cuyas sedes se ubiquen en países de los EE.UU podría ser un aclaro indicativo de que su empresa está realizando Transferencias internacionales de datos.  Algunos de los servicios que podrían conllevar transferencias internacionales son:

Dropbox y otras herramientas de gestión documental

Herramientas de Google (Google Suite, Google Analytics, cuenta de correo ___@gmail.com, y otros servicios de Google). Google Analytics es una herramienta de análisis instalada en una gran mayoría de páginas web y, en muchas ocasiones, los Responsables ni siquiera son conscientes de ello).

Servicio de hosting (alojamientos de datos en servidores externos). Cuentas de correo “gmail.com, hotmail.com, yahoo.es……)

Redes Sociales tales como Facebook, Twitter, Instragram, YouTube, etc

Si detecta que está utilizando alguno de los servicios descritos es su caso o si tienes dudas, es importante que contacte con su consultor o Delegado de Protección de datos PRODASUR.

Le recordamos que en PRODASUR trabajamos día adía para mantenerle debidamente informando de cualquier modificación legislativa que pueda afectar a su obligaciones como Responsable o Encargado en el cumplimiento de la Normativa General sobre protección de datos. Asimismo, nuestros Consultores están a su disposición para asesorarle y brindarle el apoyo que necesite.

Puede contactar con nosotros a través de e-mail, teléfono o solicitar una reunión virtual con su Consultor

Como siempre, estamos a sus entera disposición y también les atenderemos a través de nuestros los correos electrónicos habituales.

Atentamente,


Antonio I. Aguilera Carrillo

Administrador PRODASUR, SLL

Móvil: 639-542936

Rebeca Chablani López y Teresa Aguilera Carrillo

Consultoras y Auditoras RGPD-LOPD.

Delegadas de Protección de Datos

(Certificadas por IVAC nº0065/2018 y APCPD nº 2018108) 

Correos:
tere@prodasur.es

rebeca@prodasur.es

Teléfono: 902 15 22 25 / 95 260 37 70

PRODASUR es miembro del Instituto Nacional de Ciberseguridad de España, de la Asociación Profesional de Consultores en Protecciónde Datos y de la Asociación Profesional Española de Privacidad (siendo asociado su Administrador, Antonio Isidoro Aguilera Carrillo).

PRODASUR le garantiza el servicio de consultoría contratado mediante una póliza de Responsabilidad Civil que cubre las posibles
sanciones que le pudieran ser impuestas debido a deficiencias en el servicio prestado