Boletín Informativo
Estimado
cliente:
El
pasado día 16 de julio del presente casi cinco años después de la anulación del
Acuerdo de Puerto Seguro (“Safe Harbor Agreement”) entre la Unión Europea y los
Estados Unidos, la sentencia del Tribunal de Justicia de la Unión Europea
(TJUE) dictada en el asunto C-311/18 (caso Schrems
II) ha invalidado también el Escudo de Privacidad(“Privacy Shield”)
entre aquéllos, adoptado para reemplazar al anterior.
La sentencia, una de las más importantes sobre
protección de datos que ha dictado el TJUE en los últimos años, plantea
cuestiones relevantes tanto para quienes transfieren datos personales fuera del
Espacio Económico Europeo (EEE) como para la economía digital, que requieren de
un marco robusto que dé respuesta a las dudas e incertidumbres que se suscitan.
1. ¿Por qué invalida el
TJUE la Decisión de Ejecución (UE) 2016/1250 de la Comisión?
La Decisión de Ejecución (UE) 2016/1250 de la
Comisión, ha sido invalidada por el TJUE por ser incompatible con el Reglamento
General de Protección de Datos (RGPD)9,
interpretado a la luz de la Carta de los Derechos Fundamentales de la Unión
Europea (CDFUE).
En concreto, el TJUE indica que la Comisión “no
tuvo en cuenta las exigencias resultantes del artículo 45, apartado 1, del
RGPD, interpretado a la luz de los artículos 7, 8 y 47 de la Carta” (apartado
198 de la sentencia en el asunto C-311/18), por lo que es incompatible
(apartado 199, C-311/18).
Según el TJUE, el requisito que la Comisión no
habría considerado en la Decisión de Ejecución (UE) 2016/1250 de la Comisión es
que el tercer país, en este caso Estados Unidos, garantizase un nivel de
protección adecuado.
El nivel de protección adecuado tiene que
interpretarse conforme a los siguientes derechos fundamentales:
— Respeto de la vida privada y familiar (art. 7
de la CDFUE);
----Protección de datos de carácter personal
(art. 8 de la CDFUE), y
— Derecho a la tutela judicial efectiva y a un
juez imparcial (art. 47 de la CDFUE).
2. ¿Qué supone la
sentencia del TJUE para las transferencias a Estados Unidos?
Desde el 16 de julio de 2020 ya no pueden
llevarse a cabo transferencias internacionales de datos personales a Estados
Unidos sobre la base del Escudo de Privacidad al haber sido invalidado por el
TJUE.
Al ser Estados Unidos un tercer país que carece
de nivel adecuado de protección, de manera que el responsable del tratamiento o
el encargado del tratamiento establecidos en la Unión Europea deberán recurrir
a alguno de los demás mecanismos previstos en el RGPD para proporcionar
garantías adecuadas.
Es decir, el Escudo de Privacidad deja de ser
una opción a efectos de poder transferir datos personales desde la Unión
Europea a una empresa que esté adherida a
aquél. Las transferencias de datos a Estados Unidos tendrán que basarse en otra
garantía adecuada, tal como las cláusulas contractuales tipo, cláusulas tipo
adoptadas por una autoridad de protección de datos y aprobadas por la Comisión
o normas corporativas vinculantes (BCRs).
Si en el futuro se alcanzase otro acuerdo entre
la Unión Europea y los Estados Unidos, podrán volver a llevarse a cabo
transferencias de datos a empresas adheridas al programa que sustituya al
Escudo de Privacidad, lo cual no es descartable dado el interés mostrado a
ambos lados del Atlántico.
Desde un punto de vista económico, el
Departamento de Comercio ha manifestado que la invalidación del Escudo de
Privacidad podría tener un impacto negativo para una relación comercial
transatlántica de más de siete trillones de euros, así como que las empresas
europeas tendrán que recurrir a otros mecanismos para transferencias
internacionales de datos si quieren acceder a los servicios prestados por las
más de 5.300 empresas adheridas al Escudo de Privacidad
3. ¿Qué implica la
sentencia del TJUE para responsables y encargados del tratamiento en el caso de
la Decisión 2010/87/UE sobre cláusulas contractuales tipo?
A pesar de que el TJUE declara válida la
Decisión 2010/87/UE, recuerda y resalta que tanto los responsables y encargados
del tratamiento como las autoridades de protección de datos tienen obligaciones
en virtud del RGPD por lo que se refiere a garantizar el derecho fundamental a
la protección de datos cuando se lleva a cabo una transferencia internacional
de datos. En concreto, la sentencia del TJUE subraya que “a falta de una
decisión de adecuación, el responsable o el encargado del tratamiento solo
podrá transmitir datos personales a un tercer país si hubiera ofrecido
garantías adecuadas y a condición de que los interesados cuenten con derechos
exigibles y acciones legales efectivas” (apartado 128, C-311/18), lo que podría
hacerse a través de las cláusulas tipo. Y esto, a diferencia de lo que ocurría
hasta la aplicación del RGPD, implica que “pueda ser necesario completar las
garantías recogidas en esas cláusulas tipo de protección de datos” (apartado
133, asunto C-311/18).
A modo de primeros pasos, es recomendable que
el responsable del tratamiento que va a transferir datos personales desde el
EEE sobre la base de las cláusulas contractuales tipo aprobadas en virtud de
las cláusulas contractuales tipo, proceda a:
I. Comprobar
caso por caso, considerando las circunstancias específicas, así como la
legislación
aplicable
en el tercer país, y, si fuera necesario en colaboración con el
destinatario de la transferencia; si dicho país (fuera del EEE) garantiza una
protección adecuada, en particular por lo que se refiere al acceso
gubernamental a los datos personales, ya sea en tránsito o cuando son tratados
en el tercer país;
II. Como parte del análisis
anterior, el responsable del tratamiento deberá atender a
si se transfieren categorías especiales de datos y, si fuera
así, informar:
— “al interesado antes de que se
efectúe la transferencia o en cuanto sea posible” (apartado 144, asunto
C-311/18) y
— de manera que el interesado pueda
“ejercer el derecho de recurso contra el responsable del tratamiento” (apartado
144, asunto C-311/18).
III. A
notificar a la autoridad de protección de datos una modificación en la
legislación que es aplicable al importador en el tercer país que tenga un
“importante efecto negativo sobre las garantías ofrecidas y las garantías
impuestas por las cláusulas tipo de protección de datos” (apartado
145, asunto C-311/18), cuando el importador o destinatario de la
transferencia se lo notifique;
IV. Si fuera necesario, adoptar
garantías adicionales a las ofrecidas por las cláusulas tipo de protección de
datos como, por ejemplo, la obligación del encargado del tratamiento de
informar y adoptar medidas cuando reciba solicitudes
gubernamentales de acceso a los datos personales en el tercer país;
V. Analizar
o evaluar la efectividad de las garantías adicionales, ya que será
necesario demostrar que, en la práctica, queda garantizada la protección
adecuada de los datos;
VI. Tener
presente su facultad de suspensión o finalización de la transferencia
internacional, lo que
podría implicar la rescisión del
contrato, al país de destino cuando no exista una protección adecuada y, en su
caso, considerar que la autoridad de protección de datos puede ordenar dicha
suspensión o terminación;
VII. También debería tenerse en
consideración que la negativa o falta de asistencia por el
importador de los datos puede dar lugar a que no sea un encargado del tratamiento
que ofrece “garantías suficientes”,
debiendo adoptar medidas al respecto en virtud de la obligación de
responsabilidad proactiva, y
VIII. Considerar
las implicaciones anteriores en el caso de otros mecanismos para la
transferencia internacional de datos, incluidas las normas corporativas
vinculantes.
Cabe también esperar que las
autoridades de protección de datos ofrezcan orientación en la materia.
Y si ya se
estuvieran llevando a cabo transferencias internacionales de datos:
I. Revisar
cada transferencia internacional de datos de manera
que se compruebe si estaba basada en el Escudo de Privacidad:
— Si fuera así:
• Verificar
si existe una alternativa a dicho mecanismo, ya que en
ocasiones los encargados del tratamiento adheridos al Escudo de Privacidad
ofrecían al mismo tiempo otras alternativas o puede que el importador la
ofrezca para dar solución a la situación creada por la invalidación del Escudo
de Privacidad;
• Si no se da el supuesto anterior,
detener dicha
transferencia por falta de garantías adecuadas para la
transferencia internacional de datos, y
• Vinculado con el punto anterior, buscar una alternativa al Escudo de
Privacidad, es decir, otro mecanismo que permita ofrecer
garantías adecuadas para la transferencia internacional de datos en ausencia de
una decisión de adecuación.
En cualquier caso, el Escudo de
Privacidad, al ser invalidado, deja de ser aplicable por lo que se refiere a la
posibilidad de recurrir al mismo para aportar garantías adecuadas para la
transferencia internacional de datos a empresas adheridas al mismo en Estados
Unidos.
— Considerar, en particular, que, si la
transferencia internacional no ofrece un nivel de protección adecuado, el
responsable del tratamiento tendrá que suspender o finalizar dicha
transferencia, pudiendo hacerlo también la autoridad de protección de datos.
En cualquier caso, la evaluación o análisis
(“assessment”) de la existencia de un nivel adecuado de protección de datos
recae también en el responsable del tratamiento que va a actuar como exportador
de datos, lo que obviamente tiene un impacto relevante por lo que se refiere a
las medidas a adoptar en materia de protección de datos. Y esta evaluación es
fundamental para, si fuera necesario, adoptar garantías adicionales que se
añadirán a las cláusulas contractuales tipo.
Una de las principales
conclusiones es que los responsables o encargados del tratamiento que exporten
datos personales fuera del EEE, con independencia de cuál sea el mecanismo al
que recurran, tendrán que
llevar a cabo una evaluación (“assessment”) de las garantías en
materia de protección de datos que
requiere de asesoramiento especializado.
4. ¿Cómo puedo saber si
estoy realizando transferencias internacionales de datos a los EE.UU?
- Si su empresa,
debido a su estructura, dimensión, actividad profesional u otros motivos,
trata datos personales de interesados y estos datos son comunicados
y/o transferidos a sucursales, delegaciones, colaboradores, etc. ubicados
fuera del Espacio Económico Europeo (UE, Islandia, Liechtenstein y Noruega)
- Cualquier servicio que tenga contratado con proveedores
cuyas sedes se ubiquen en países de los EE.UU podría ser un aclaro
indicativo de que su empresa está realizando Transferencias
internacionales de datos. Algunos de los servicios que podrían
conllevar transferencias internacionales son:
Dropbox
y
otras herramientas de gestión documental
Herramientas de Google (Google Suite, Google Analytics,
cuenta de correo ___@gmail.com, y otros
servicios de Google). Google Analytics es una herramienta de análisis instalada
en una gran mayoría de páginas web y, en muchas ocasiones, los Responsables ni
siquiera son conscientes de ello).
Servicio de hosting (alojamientos de datos
en servidores externos). Cuentas de correo “gmail.com, hotmail.com, yahoo.es……)
Redes Sociales tales como Facebook,
Twitter, Instragram, YouTube, etc
Si detecta que está utilizando alguno de los
servicios descritos es su caso o si tienes dudas, es importante que contacte
con su consultor o Delegado de Protección de datos PRODASUR.
Le recordamos que en PRODASUR trabajamos día
adía para mantenerle debidamente informando de cualquier modificación
legislativa que pueda afectar a su obligaciones como Responsable o Encargado en
el cumplimiento de la Normativa General sobre protección de datos. Asimismo,
nuestros Consultores están a su disposición para asesorarle y brindarle el
apoyo que necesite.
Puede
contactar con nosotros a través de e-mail, teléfono o solicitar una reunión
virtual con su Consultor.
Como siempre, estamos
a sus entera disposición y también les atenderemos a través de
nuestros los correos electrónicos habituales.
Atentamente,
Antonio I. Aguilera
Carrillo
Administrador
PRODASUR, SLL
Móvil: 639-542936
Rebeca Chablani
López y Teresa Aguilera Carrillo
Consultoras y
Auditoras RGPD-LOPD.
Delegadas de
Protección de Datos
(Certificadas por
IVAC nº0065/2018 y APCPD nº 2018108)
Correos:
tere@prodasur.es
Teléfono: 902 15 22
25 / 95 260 37 70
PRODASUR
es miembro del Instituto
Nacional de Ciberseguridad de España, de la Asociación Profesional de Consultores
en Protecciónde Datos y de la Asociación Profesional Española de Privacidad
(siendo asociado su Administrador, Antonio Isidoro Aguilera Carrillo).
PRODASUR le garantiza el servicio de consultoría contratado
mediante una póliza de Responsabilidad Civil que cubre las posibles
sanciones que le pudieran ser impuestas debido a deficiencias en el servicio
prestado