Transferencias Internacionales de datos tras Schrems II, retos y conclusiones preliminares
1. Schrems II: Una sentencia transcendental en materia de protección de datos (i)
La sentencia del Tribunal de Justicia de la Unión Europea (en adelante, TJUE), de 16 de julio de 2020, en el caso Facebook Ireland y Schrems (asunto C-311/18) (ii), es la noticia más importante en materia de transferencias internacionales de datos desde el 25 de mayo de 2018, fecha de aplicación efectiva del Reglamento General de Protección de Datos (RGPD) (iii), y una de las Sentencias más relevantes para el Derecho europeo a la protección de datos personales.
La invalidación del Escudo de Privacidad (en inglés, “Privacy Shield”) (iv) se ha producido apenas cuatro años después de la del Acuerdo de Puerto Seguro (“Safe Harbour Agreement”)(v), que tuvo lugar en virtud de otra sentencia del TJUE, de 6 de octubre de 2015, en el caso Schrems (asunto C-362/14).
La sentencia en el caso Schrems II ha dado lugar a una situación en la que todavía se esperan directrices emitidas por las autoridades de protección de datos, debiendo tener en cuenta que toda transferencia a Estados Unidos que se basara en el Escudo de Privacidad requiere de otras garantías adecuadas desde el mismo día de la publicación de aquella. Es decir, el Escudo de Privacidad dejó de ser un mecanismo aplicable, de manera inmediata desde la publicación de la sentencia, para ofrecer garantías adecuadas en el caso de transferencias internacionales a empresas estadounidenses adheridas a aquél. Y esto a pesar de que el Departamento de Comercio de los Estados Unidos (U.S. Department of Commerce), sigue manteniendo la lista de empresas adheridas al Escudo de Privacidad a la espera de un nuevo acuerdo (vi).
2. Otras implicaciones derivadas de la sentencia Schrems II y un “efecto dominó”
La sentencia del TJUE en el caso Schrems II tiene otras implicaciones relevantes en materia de protección de datos.
Con carácter introductorio hay que advertir que, toda decisión de adecuación de terceros países está sujeta al mismo escrutinio que el aplicado en el caso del Escudo de Privacidad. Y el mismo escrutinio será aplicable a las relaciones entre la UE y el Reino Unido desde el 1 de enero de 2021.
Las normas del ordenamiento jurídico comunitario en materia de protección de datos, incluidas las decisiones de adecuación, deben ser interpretadas “a la luz de las disposiciones del RGPD y de la Carta” (apartado 140 de la sentencia), siendo esta última la referencia a la Carta de los Derechos Fundamentales de la Unión Europea (CDFUE) y lo que supondría, entre otras cuestiones, que un tratamiento de datos personales sin garantías, como podría ser un acceso masivo e injustificado a los datos personales, vulnera el derecho fundamental a la protección de datos.
En ausencia del Escudo de Privacidad y de una decisión de adecuación válida, los mecanismos disponibles para las transferencias internacionales de datos son las cláusulas contractuales tipo (en inglés, “Standard Contractual Clauses”, SCCs) y las normas corporativas vinculantes (en inglés, “Binding Corporate Rules”, BCRs). No obstante, con arreglo a la Sentencia tanto unas como otras, requieren de análisis para asegurar que se están proporcionando garantías adecuadas para la transferencia internacional de datos a terceros países que no cuentan con una decisión de adecuación de la Comisión Europea (entre ellos, Estados Unidos).
La mera existencia de cláusulas contractuales tipo no es suficiente, pues lo esencial es realizar una evaluación de las garantías existentes en la práctica.
Cuando el destinatario de la transferencia no cumple, o ya no puede cumplir, las garantías adecuadas que deben exigirse en el cumplimiento de cláusulas contractuales tipo de protección de datos (o de normas corporativas vinculantes), el TJUE señala que “la suspensión de la transferencia de los datos o la rescisión del contrato es obligatoria para el responsable del tratamiento” (apartado 140 de la sentencia).
Y también recuerda el TJUE que “en virtud de la cláusula 4, letra g), del referido anexo [de las cláusulas contractuales tipo], el responsable del tratamiento establecido en la Unión está obligado, cuando el destinatario de la transferencia de datos personales le notifica, con arreglo a la cláusula 5, letra b), del anexo, que la legislación que le es de aplicación ha sido objeto de una modificación que puede tener un importante efecto negativo sobre las garantías ofrecidas y las obligaciones impuestas por las cláusulas tipo de protección de datos, a enviar esa notificación a la autoridad de control competente en caso de que, a pesar de dicha notificación, decida proseguir la transferencia o levantar la suspensión” (apartado 145 de la sentencia).
Por último, cabe destacar también el “efecto dominó” o colateral que la sentencia ha tenido en el caso del Escudo de Privacidad entre Suiza y los Estados Unidos (vii). Al respecto, la Autoridad Federal Suiza de Protección de Datos (Federal Data Protection and Information Commissioner, FDPIC), publicó el 8 de septiembre de 2020 un documento en el que concluyó que dicho acuerdo no proporcionaba garantías suficientes para las transferencias internacionales de datos entre Suiza y los Estados Unidos (viii).
3. Webinar de CMS España sobre las transferencias internacionales de datos
Dada la importancia de esta cuestión y el marco de las acciones formativas que constantemente se llevan a cabo en CMS Albiñana & Suárez de Lezo (CMS), la Firma organizó el pasado 23 de septiembre un webinar titulado “Transferencias Internacionales de Datos tras Schrems II: retos y soluciones”. El webinar fue moderado por Javier Torre de Silva, Socio Director del Departamento de TMC de CMS en España y Director del Grupo de Telecomunicaciones de CMS a nivel global y contó con la participación de los siguientes ponentes: Leonardo Cervera Navas, Director del Supervisor Europeo de Protección de Datos (SEPD); Bojana Bellamy, President del Centre for Information Policy Leadership (CIPL); José Luis Piñar, exdirector de la Agencia Española de Protección de Datos, Catedrático de Derecho Administrativo y Of Counsel del departamento de CMS en España, así como quien firma el presente artículo, como Profesor Asociado de la Universidad CEU San Pablo y Asociado del departamento de TMC en CMS.
En el webinar se prestó atención específicamente a que la Sentencia Schrems II, dictada por el TJUE el pasado 16 de julio, supone un cambio radical en el régimen de las transferencias internacionales de datos personales. Las Autoridades de Protección de Datos, los responsables y los encargados de tratamiento de datos deberán adaptarse a una nueva situación que requiere nuevas soluciones para no colapsar el constante flujo internacional de datos personales, esencial en el actual modelo económico, pero que ha de respetar el derecho a la protección de datos.
En su introducción, Javier Torre de Silva, destacó el hecho de que en el nacimiento de Internet la Sociedad de la Información parecía no tener fronteras, si bien las diferentes regulaciones sobre protección de datos están suponiendo cada vez más una barrera derivada de la existencia de marcos de influencia divergentes, de forma que parecen crearse tres (o más bien cuatro) bloques en Internet asociados a otras tantas regulaciones internacionales de protección de datos: Europa, Estados Unidos, China (y, quizás, el área Asia-Pacífico).
A continuación. los participantes realizaron su exposición, destacando cuestiones clave que permiten comprender la situación actual y considerar algunos aspectos relevantes para el futuro.
En primer lugar, como puso de manifiesto Leonardo Cervera, necesitamos una aproximación constructiva para poder afrontar la situación actual y también que muchas personas en la Unión Europea y la comunidad de protección de datos respetan el ordenamiento jurídico de los Estados Unidos. Y esto significa que este deba ser el punto de partida de cualquier discusión sobre esta materia, al mismo tiempo que se trata de encontrar puntos de encuentro, de manera que la protección de datos saldría reforzada como consecuencia de que Estados Unidos adoptase legislación comprehensiva en materia de protección de datos, considerando altos estándares en la materia.
En segundo lugar, Bojana Bellamy subrayó que no es fácil encontrar soluciones, pero ofreció recomendaciones prácticas muy relevantes. En concreto, Bellamy destacó la importancia de que los responsables y encargados del tratamiento lleven a cabo análisis de riesgos de las transferencias internacionales de datos así como de preguntar a los encargados del tratamiento, ya sean iniciales o a los que a su vez recurran estos, sobre cuáles son sus prácticas en materia de oponerse a solicitudes de acceso gubernamental a los datos. Es decir, cómo actúan en caso de que reciban solicitudes de acceso gubernamental. Puso de manifiesto además la difícil situación del Reino Unido en materia de protección de datos a partir del 1 de enero de 2021, tras la Sentencia Schrems II.
En el caso de José Luis Piñar, expuso varias cuestiones esenciales para comprender las consecuencias de la sentencia del TJUE. Desde una perspectiva práctica, Piñar ofreció algunas claves de la sentencia y explicó que el recurso contra las cláusulas contractuales tipo dio lugar a que se analizase el Escudo de Privacidad, concluyendo con su invalidación. También destacó que es una sentencia relevante por lo que se refiere a la configuración europea del derecho fundamental a la protección de datos. A continuación puso de relieve la importancia que tiene el principio de responsabilidad proactiva (“accountability”) tras la sentencia del TJUE, junto con las previsiones del RGPD para el encargado del tratamiento (art. 28) y el régimen general aplicable a las transferencias internacionales de datos (art. 44). Además, incidió en el importante papel que tienen las autoridades de protección de datos a la luz de esta sentencia, por lo que se refiere a poder suspender transferencias internacionales de datos cuando no se dan las garantías adecuadas.
Y, por último, la idea a destacar por mi parte fue que cabría plantear también la relevancia de considerar quién es y dónde esta el encargado del tratamiento cuando se lleva a cabo una transferencia internacional de datos, así como la necesidad de considerar las transferencias ulteriores (en inglés, “onward transfers”), sin olvidar la importancia que tienen las transferencias internacionales de datos, entre otras, para las startups y la posibilidad de hacer uso de servicios electrónicos que son fundamentales para la innovación tecnológica.
Además, el webinar se suma a otras acciones divulgativas llevadas a cabo por CMS en España, debiendo destacar la publicación de una guía con recomendaciones prácticas para responsables y encargados del tratamiento (ix).
4. Algunas orientaciones o recomendaciones prácticas
Como se expone en la guía de CMS ya mencionadas, algunas recomendaciones prácticas relevantes podrían ser, de manera resumida, que el responsable del tratamiento:
• Deberá comprobar caso por caso, considerando las circunstancias específicas, así como la legislación aplicable en el tercer país, las transferencias internacionales de datos que se lleven a cabo.
• Deberá atender a si se transfieren categorías especiales de datos y, si fuera así, informar de dicha transferencia.
• Tendrá que notificar a la autoridad de protección de datos una modificación en la legislación que es aplicable al importador en el tercer país que tenga un “importante efecto negativo sobre las garantías ofrecidas y las garantías impuestas por las cláusulas tipo de protección de datos”.
• Si fuera necesario, tendrá que adoptar garantías adicionales a las ofrecidas por las cláusulas tipo de protección de datos.
• Tendrá que analizar o evaluar la efectividad de las garantías adicionales, ya que será necesario demostrar que, en la práctica, queda garantizada la protección adecuada de los datos.
• Deberá tener presente su facultad de suspensión o finalización de la transferencia internacional.
• Tendrá que considerar que la negativa o falta de asistencia por el importador de los datos puede dar lugar a que el encargado del tratamiento no ofrece “garantías suficientes”, debiendo adoptar medidas al respecto.
• Y tendrá que considerar las implicaciones anteriores en el caso de otros mecanismos para la transferencia internacional de datos.
Además, si ya se estuvieran llevando a cabo transferencias internacionales de datos, deberán revisarse considerando, en particular: (a) Verificar si existe una alternativa al Escudo de Privacidad, (b) Si no existe una alternativa, detener la transferencia por falta de garantías adecuadas y (c) Buscar una alternativa al Escudo de Privacidad.
5. Conclusiones preliminares
Tras escuchar las exposiciones de cada ponente, como principales conclusiones preliminares cabría destacar las que se exponen a continuación.
Cervera apuntó que la solución no es fácil y requiere cooperación. Esta cooperación pasa, como expresó durante su intervención, por un diálogo constructivo, debiendo prestar atención a los avances que puedan producirse, en particular, al otro lado del Atlántico.
Bellamy señaló la necesidad de evitar los requisitos de localización, que impiden el libre flujo internacional de los datos y que no soluciona algunos casos en los que se hace patente la aplicación extraterritorial de las leyes. Y también la importancia, a partir de la aproximación basada en el riesgo (“risk-based approach”) y la responsabilidad proactiva (“accountability”), de llevar a cabo evaluaciones de riesgos de las transferencias internacionales (“transfers risks assessments”).
Como mencionó Piñar, la sentencia del TJUE es técnico-política ya que se trata de una sentencia muy técnica con contenido político, puesto que el TJUE ha mencionado ya que el RGPD es una “norma global, universal, para garantizar el derecho a la protección de datos”. Unido a esta idea, resaltó que “el derecho fundamental a la protección de datos no queda limitado ni siquiera por motivos de seguridad pública, defensa o seguridad del Estado del país al que se transfieren los datos”. Tras la sentencia del TJUE adquiere especial relevancia el principio de responsabilidad proactiva, debiendo ponerlo en relación con las previsiones sobre el encargado del tratamiento y el régimen aplicable a las transferencias internacionales de datos. Y también destacó que las Autoridades de Protección de Datos y el Comité Europeo de Protección de Datos refuerzan su papel central en el marco del RGPD tras esta sentencia.
Finalmente, por mi parte, cabría considerar también la importancia para toda organización en este momento de identificar qué transferencias internacionales de datos lleva a cabo y revisar, si fuera necesario, el contenido de las cláusulas contractuales tipo o, en su caso, de los acuerdos intragrupo utilizados, para añadir garantías adicionales. Y, vinculado con lo anterior, cabe recordar una vez más que el responsable del tratamiento tiene obligación de elegir “únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme” con el RGPD y “garantice la protección de los derechos del interesado”.
**************************************************************
(i) Agradezco a Javier Torre de Silva y a José Luis Piñar la invitación a participar en el webinar así como sus comentarios y observaciones en la elaboración de este artículo con las conclusiones de dicho evento.
(ii) Consultada en http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=ES&mode=lst&dir=&occ=first&part=1&cid=4640833
(iii) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Consultado en https://eur-lex.europa.eu/legal-content/ES/TXT/?qid=1601307674385&uri=CELEX:32016R0679
(iv) Que había sido aprobado en virtud de la Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU. Consultada en https://eur-lex.europa.eu/legal-content/ES/TXT/?qid=1601310419583&uri=CELEX:32016D1250
(v) Decisión de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América. Consultada en https://eur-lex.europa.eu/legal-content/ES/TXT/?qid=1601308457953&uri=CELEX:32000D0520
(vi) Véase el Joint Press Statement from U.S. Secretary of Commerce Wilbur Ross and European Commissioner for Justice Didier Reynders. Consultado, en inglés, en https://www.commerce.gov/news/press-releases/2020/08/joint-press-statement-us-secretary-commerce-wilbur-ross-and-european
(vii) Swiss-U.S. Privacy Shield.
(viii) Véase, en inglés, el dictamen publicado en https://www.edoeb.admin.ch/edoeb/en/home/latest-news/media/medienmitteilungen.msg-id-80318.html
(ix) Torre de Silva, Javier; Piñar, José Luis y Recio, Miguel. Guía sobre transferencias internacionales de datos – A partir del caso ‘Schrems II’, CMS España, Julio 2020. Consultada en https://cms.law/es/media/local/cms-asl/files/publications/guides/guia-sobre-transferencias-internacionales-de-datos-a-partir-del-caso-schrems-ii También disponible en inglés en https://cms.law/en/media/local/cms-asl/files/publications/guides/guide-on-international-data-transfers-drawing-on-the-schrems-ii-case
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación