1. INTRODUCCIÓN
Los datos son la nueva moneda de cambio del siglo XXI, el valor con capacidad económica que puede revolucionar la sociedad en todos sus aspectos y vertientes. La capacidad de generación de datos de la sociedad actual es exponencial al número de usuarios, dispositivos, servicios web, y servicios de IOT e IORT ofrecidos a los ciudadanos de todo el mundo. El número total de documentos que se generan cada segundo entre toda la red asciende a un total de 6.826.667 de documentos, unos 5.184.000.000.000 documentos diarios, solo en documentos sin contar otro tipo de archivos. Por ello si de media cada archivo o documento, entre datos y metadatos contiene una media de treinta datos absolutos, sólo nos queda multiplicarlo para obtener una cantidad inabarcable de datos (World Internet Users Statistics and 2019 World Population Stats, 2019).
Por todo ello la importancia de que son los datos y como deben ser protegidos frente a todos los problemas y situaciones es una necesidad legal que debe ser abordada de inmediato en todos sus flancos posibles. La Unión Europea respecto a los datos ha establecido una serie de regulaciones que aunque en algunos casos como hemos podido apreciar es parca y falta de perspectiva de cara a la actual evolución tecnológica en otros sin embargo ha sido sagaz y atrevida legalmente. La realidad frente al intercambio de datos entre empresas desde la Unión Europea a terceros países ha tenido regulaciones más o menos exhaustivas desde hace años. La Standard Contractual Clauses o SCC, el BCR y el Privacy Shield son los mejores ejemplos de ello.
La Unión Europea ha blindado el uso y tratamiento de datos en lo que respecta a su transferencia internacional con diferentes herramientas. A pesar de ello es necesario que se afronten los nuevos retos tecnológicos a través de la legislación y se debe afrontar con reformas o nuevas regulaciones. Las normas corporativas vinculantes o BCR (Binding Corporate Rules) es una de las herramientas previas. Las BCR son normas empresariales de carácter interno a cada compañía u organizacón. Las BCR como las denominaremos en adelante definen la política internacional en lo que respecta a gestión y tratamiento de datos entre otros aspectos dentro de un grupo multinacional de empresas y organizaciones internacionales. El objetivo de las BCR dentro de un contexto empresarial no es otro que la "regulación" interna en lo que respecta a las transferencias transfronterizas de datos personales intraorganizacionales. La principal cuestión radica en cómo estas transferencias de datos intra-organizacionales se deben de gestionar desde un punto de vista jurídico teniendo en cuenta el RGPD o Reglamento General de Protección de Datos de la Unión Europea ("Personal data trans-fers: binding corporate rules (BCRs) under the GDPR", 2021). Por ello, las BCR se devienen importantes en lo que a la protección de los ciudadanos respecto a sus datos y como se tratan los mis-mos se refiere.
Por todo ello tenemos que tener en cuenta que la creación de productos o servicios cuyo germen tiene como base a la innovación tecnológica no es algo que se arraigue de forma espontánea en la sociedad como ha sucedido en la actualidad. La realidad pasa por entender que la innovación tecnológica no es algo que suceda sin la existencia previa de una serie de motivaciones externas que generen una inercia social inherente a dicha innovación. La innovación tecnológica necesita para arraigar que haya sido capaz de movilizar a la sociedad para demandar colectivamente la permanencia de dicha innovación para solucionar un eventual problema más o menos "vital" para los ciudadanos. Todo ello a través de un proceso interno dentro de cada individuo interpretado a la luz de las necesidades colectivas (Maksabedian, 1980).
Las innovaciones tecnológicas según se han ido sucediendo a lo largo de la historia han requerido cada vez más datos de los ciudadanos y usuarios que las usan para poder ofrecer correctamente sus servicios. El incremento de la complejidad de servicios y productos supone un incremento en la recaptación y posterior gestión de datos. La mejora de servicios y creación de nuevos servicios en la sociedad de la información supone tecnificar cada vez más nuestro entorno vital más cercano e incluso biológico.
Las empresas son las que gestionan el mayor volumen de datos en el planeta y por ende debe establecerse un sistema de control no sólo en la gestión de datos brutos recaptados y posteriormente tratados. Las transferencias de datos entre grupos empresariales y multinacionales con multitud de divisiones empresariales internas es un entorno que debe controlarse desde un punto de vista legal. Las BCR por si solas no pueden suponer una salvaguarda suficiente como para dar por protegidos a los datos de los ciudadanos que usan esos servicios o productos.
Pero cuales son las herramientas a disposición de los legisladores europeos para poder controlar el movimiento o tráfico de datos internos de una empresa o grupo de empresas. Además de las BCR como una de las herramientas existentes, la Unión Europea ha establecido como otra herramienta disponible a las SCC o Standard Contractul Clauses como un corpus iuris vinculante para empresas con sedes en países ajenos a la Unión Europea. Las SCC permiten controlar el cumplimiento legal a la hora de captar, explotar y tratar datos recaptados en territorio de la Unión Europea fuera de ella.
Posteriormente al SCC surgió el Privacy Shield, como herramienta jurídica global con pretensiones de simplificación administrativa, aires innovadores y con mayores recursos normativos para controlar y cerciorar que no se transgreden derechos de los ciudadanos europeos en el tratamiento, captación y explotación de sus datos circunscritos al ámbito de Estados Unidos. El Privacy Shield ha sido una apuesta arriesgada desde un punto de vista socio-jurídico y que por primera vez ha estado jurí-dicamente a la altura de regulación jurídico-tecnológica que la sociedad requería. Pero a pesar de ello partía con un error de base que veremos más adelante.
La evaluación de la eficiencia del Privacy Shield ha venido en forma de sentencia judicial con la sentencia caso Schrems II (C-3111/18) del Tribunal de Justicia de la Unión Europea, el cual "anula" en principio la Privacy Shield por considerarla no válida legalmente. La jurisprudencia como pasó con el caso del derecho al olvido respecto a Google ha expuesto en su sentencia una rotunda confu-sión de conceptos. La confusión de conceptos en este caso es la misma, que en el Derecho al Olvido; derivada de déficits formativos. La falta de formación en materia tecnológica aplicada al ámbito jurídico y su interpretación regulatoria extensiva; como luego podremos observar, es el principal problema.
Teniendo en cuenta todo lo indicado y partiendo de los diferentes antecedentes mencionados, los objetivos del presente capítulo tienen como intención en su objetivo primero ofrecer los argumentos jurídicos competentes para construir una concepción teórica acerca de como se trata jurídicamente por parte del ordenamiento europeo la protección de datos privados respecto a su tratamiento empresarial en materia de transferencia internacional de datos. Asimismo la intención es ofrecer un mejor enfoque jurídico que permita una mejora doctrinal y jurídica del actual panorama de la gestión internacional de datos privados y el tratamiento que a estos se le realizan en territorio ajeno a la Unión Europea. Por ello se resaltará el hecho del lugar donde son recaptados y transmitidos a través de redes, IOT, IORT o cualquier otro dispositivo, todo ello siempre bajo la perspectiva del actual ordenamiento jurídico internacional y su vertebración que debe tener en torno al ordenamiento europeo.
Por otro lado en segundo lugar se va a analizar la situación actual desglosada en el objetivo primero con el fin de ofrecer una exégesis sucinta de la situación actual jurisprudencial para posteriormente ponerlo todo en perspectiva al análisis a realizar en el objetivo segundo desde el punto de vista jurídico obtenido en el objetivo primero respecto a la protección de datos privados y la transferencia internacional de los mismos en corporaciones multinacionales.
La finalidad del objetivo segundo pasa por analizar la situación jurisprudencial del objetivo primero. La situación jurídica de facto nos arroja un análisis de un caso jurisprudencial concreto que supone un antes y un después respecto a la materia analizada. El caso Schrems II (C-3111/18) pone en jaque el actual marco normativo sobre la gestión del tratamiento y el propio tratamiento en materia de protección de datos privados o personales respecto a la gestión del BCC en multinacionales. Todo ello dependiendo del marco teórico de referencia el cual cambia con esta sentencia y el cual debe ser examinado a la luz de la misma para entender cómo se encuentra ahora representado respecto a las inquietudes y necesidades en la sociedad actual y el eje protector que tiene el derecho respecto a la misma. Asimismo como hemos visto anteriormente en otros capítulos se analizará de qué modo afecta a la protección jurídica de dichos datos todo lo expuesto y cuál es la repercusión que tienen estos respecto a su tratamiento versus a la privacidad de los mismos en concurrencia con el derecho natural así como los derechos de usuarios y ciudadanos.
Por ello, en tercer lugar se quiere realizar una vez expuestos los dos objetivos anteriores un análisis de la situación respecto al marco teórico resultante. La necesidad de conocer cuál es el mejor y más correcto marco jurídico teniendo en cuenta la fusión que puede generar dicha sentencia y el papel que debe desempeñar el ordenamiento jurídico de la Unión Europea. La función no es otra que en-caminar al legislador hacia la creación inequívoca de elaboración bajo el modo de eje vertebrador de aquellas normas cuyo objetivo no es otro que el de subsanar los déficits que existan tanto técnicos como jurídicos respecto al marco antiguo de SCC y el actual parcial o completamente derogado con el Privacy Shield. Todo ello en concordancia con los posibles defectos jurídicos de los que adolezca el SCC razón por la cual fue sustituido como marco jurídico de referencia en la materia abordada en el análisis. El problema a explicar radica en la gestión que arrastran las normativas actuales, normativas tras normativa y más ahora que se deba usar un marco teórico obsoleto y bajo un para-digma obsoleto también en su fundamentación de base y por ende el actual riesgo jurídico que corren los ciudadanos respecto a la custodia, tratamiento y finalidad de sus datos en concurrencia con los diferentes derechos que les amparan a los indicados ciudadanos.
Asimismo para finalizar como cuarto objetivo, se va a realizar una labor de análisis global a modo de conclusiones a fin de localizar las posibles incongruencias entre el marco teórico actual, el nuevo marco teórico propuesto y el factor de riesgo existente respecto a la génesis principal que es el ámbito de aplicación de la protección de datos privados de los ciudadanos. Todo el análisis se realizará bajo una perspectiva jurídico-proyectista y con una pretensión básica de que todo marco teórico debe brindar una univocidad doctrinal que permita a través del principio de refutación consolidar el paradigma científico elaborado con el fin de conseguir generar una normativa lo más acorde a la realidad en materia de tratamiento de datos privados. Tras realizar dicho análisis, se terminará concluyendo cual es la realidad jurídica de todo ello y la situación actual teniendo en cuenta el auge en materia de tratamiento de datos privados de las nuevas tecnologías, el data mining y como todo ello convirtiéndose en piezas claves del nuevo futuro social mundial se enmarcan dentro del nuevo marco teórico que debe dar respuesta a todos los restos actuales y vertebrar el futuro de la explotación de datos privados.
Por ello, la metodología empleada para el presente capítulo es una metodología basada en la investigación analítica. Por ello, el desarrollo que se va a presentar a continuación se basa en una investi-gación jurídico-proyectista con naturaleza propositiva y bajo un sistema que emplea fundamental-mente un método inductivo-comprensivo con diferentes momentos en los que se usará una metodología hipotético-deductiva para la exposición del nuevo marco teórico acorde a la propuesta teniendo en cuenta la respuesta al paradigma actual. La pretensión metodológica jurídico-proyectista propositiva tiene su principal finalidad conseguir averiguar la evolución del marco jurídico en materia de gestión de datos protegidos tanto personales como privados en el entorno empresarial multinacional que trasciende al ámbito territorial de la Unión Europea. Asimismo el análisis metodológico pretende ejecutar un análisis de los datos respecto a la génesis teorética en perspectiva al objetivo a proteger que no es otro que poder observar el nivel real de protección jurídica de los datos de las personas y la posible causa de los déficits protectores actuales teniendo en cuenta los marcos teóricos debatidos.
Por ello cabe realizar un análisis profundo de la situación actual que permita alcanzar a ver la misma y nos invite a ser partícipes de cómo debe ser el cambio de paradigma jurídico que revolucione la gestión de datos en el ámbito multinacional con el fin de impulsar una completa elabora-ción de futuras normas que supongan el principio de una era normalizada en el tratamiento de datos de transferencia internacional.
2. CONCEPTOS
Para poder realizar una conceptualización correcta de la problemática presentada necesitamos definir de forma previa una serie de conceptos clave. La definición de los próximos conceptos nos permitirá interpretar y entender de forma más correcta la cuestión introducida de forma previa. Posteriormente se analizarán dichos conceptos estrechamente entrelazados entre sí para analizarlos respecto la jurisprudencia reciente de la Unión Europea y sus posibles consecuencias. Asimismo se va a realizar una labor de análisis que permita ejecutar unas conclusiones acerca del estado de la cuestión planteada.
Por ello vamos a definir los siguientes conceptos:
- Sujeto activo y sujeto pasivo según el RGPD
- BCC o Binding Corporate Rules
- SCC o Standard Contractual Clausules
- Privacy Shield
En primer lugar necesitamos definir cuáles son los sujetos activos y pasivos según el RGPD en el ámbito del tratamiento de datos. La demarcación de los intervinientes en las diferentes operaciones jurídicas es necesaria. La identificación de dichos sujetos en materia de tratamiento de datos en el ámbito internacional y de la transferencia de los mismos nos permitirá identificar el proceso sin duda alguna.
El RGPD en su artículo 1 apartado 2 indica que Reglamento tiene como objeto protector a los dere-chos y libertades fundamentales de las personas físicas, defendiendo en concreto el derecho a la protección de los datos personales o datos privados de dichas personas físicas. Asimismo en su apartado 1 el mismo artículo deja claro que el espíritu de la norma para el caso del RGPD no es otro que definir cuáles son las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas vinculadas relativas a la libre circulación de dichos datos (Unión Europea, 2016).
Por otro lado y para dejar resuelto en su globalidad quien es el sujeto activo el artículo 4 del RGPD en su definición primera indica que se consideran datos personales a toda aquella información que esté relacionada sobre una persona física identificada o identificable que será considerado como el interesado. El hecho de la identificabilidad se resuelve determinándose la misma de forma directa o indirecta mediante identificadores distintos bien como datos visibles o como metadatos asociados bajo la forma de número de identificación, datos de localización, diferentes identificadores suminis-trados para servicios o productos en línea o una combinación de los mismos. Por ello queda bastante modelado quien es el sujeto activo en el derecho sobre protección de datos personales o privados, los cuales son el eje vehicular principal para el caso a analizar.
Por lo que respecta al sujeto pasivo en el ámbito que estamos analizando del RGPD este no se en-cuentra definido de forma explícita sino por exclusión negativa. El RGPD en su artículo 3 apartado 2 sobre el ámbito territorial indica que se aplica la regulación legal prevista para el tratamiento de datos personales de aquellos interesados definidos anteriormente que residan en la Unión Europea. El tratamiento será ejecutado por parte del responsable del mismo o del encargado que puede no encontrarse establecido en la Unión Europea siempre que las actividades vinculadas al tratamiento de los datos sean las definidas en el RGPD. El RGPD indica que el tratamiento de datos se encon-trará en su esfera protectora cuando los datos se encuentre relacionados con una oferta de bienes o servicios en los que se recapten datos de los considerados interesados en la Unión Europea con in-dependencia de si a estos (los interesados) se les requiere su pago. La definición del sujeto pasivo queda claramente delimitada a cualquier sujeto físico o jurídico que trate datos con las finalidades indicadas.
Teniendo en cuenta todo lo anterior podemos obtener una idea de cuales son las piezas que van a entablar las relaciones jurídicas en el ámbito del tratamiento de datos, para posteriormente así poder estructurar correctamente la problemática del BCR respecto al SCC y la Privacy Shield en el con-texto de la transferencia internacional de datos (Unión Europea, 2016).
Por otro lado tenemos a las BCR o Binding Corporate Rules, las cuales son definidas por el RGPD dentro del epígrafe referente a las Normas Corporativas Vinculantes. Las BCR se definen como las políticas de protección de datos personales o privados que son asumidas por parte de un responsable del tratamiento de datos o del encargado del tratamiento establecido en el territorio de un Estado miembro para las transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta (Unión Europea, 2016).
Las BCR no son otra cosa que códigos de conducta que hacen referencia a las normas y reglas sobre las transferencias de datos personales a a terceros países. Todo ello teniendo en cuenta que las BCR operan bajo el marco de las transferencias de datos transfronterizas por parte de entidades de tipo internacional o multinacional que opera fuera del ámbito de la Unión Europea. Las BCR deben ser aprobadas en su sentido más estricto, teniendo en cuenta que es una de las herramientas con las que cuenta el RGPD para controlar legalmente y ofrecer un marco jurídico seguro a las transferencias de datos. Las BCR son aprobadas y se tratan en el artículo 47 del RGPD que forma parte a su vez del capítulo 5 sobre transferencias de datos a terceros países u organizaciones internacionales fuera de la Unión Europea.
El concepto clave dentro de las BCR para entender su importancia en el marco jurídico actual en materia de protección de datos personales o privados radica en el concepto de necesidad de evaluación de adecuación de terceros países existente en el RGPD. La Unión Europea para considerar válidas esas transferencias de datos a terceros países, esos terceros países tienen que cumplir las condiciones en su ordenamiento jurídico interno o a través de acuerdos internacionales en referencia al contenido del RGPD. Para ello se usa la "herramienta" de necesidad de evaluación de adecuación, a través la cual la Comisión Europea analiza esencialmente si un tercer país, un territorio, o un sector concreto económico del mismo ofrecen las garantías suficientes. Si ese tercer país, o sector o territorio se le otorga favorablemente le evaluación de adecuación no existiría mayor recorrido. El hecho principal deviene cuando no existe una decisión de adecuación o es desfavorable.
Para el caso que sea desfavorable las entidades que desean realizar las transferencias internacionales de datos pueden realizar dichas transferencias si existen o se garantizan los ejercicios de los diferen-tes derechos que puedan surgir a razón de dicha transferencia de datos. Por todo ello, esas garantías se recogen a través de las BCR o Normas Corporativas Vinculantes, si existen las BCR se puede realizar la transferencia de datos.
A razón de todo lo anterior por ello resultan importantes las BCR, porque el RGPD las menciona como una forma esencial de garantía para el ejercicio de los posibles derechos que se deban ejercer por terceros interesados a raíz de una transferencia internacional de datos. La existencia de las BCR por si mismas permite la transferencia de datos sin necesidad de ninguna otra aprobación de ninguna entidad supervisora nacional o internacional (Thomson Reuters, 2020).
Las BCR o Normas Corporativas Vinculantes necesitan la aprobación de la autoridad de protección de datos competente en la Unión Europea. La autoridad correspondiente aprobará las BCR de la entidad que las presente de acuerdo con el mecanismo de coherencia establecido en el artículo 63 del RGPD. El procedimiento del artículo 63 puede llegar a involucrar a diferentes autoridades de supervisión de la Unión Europea o de sus estados miembros. El marco regulatorio de las BCR im-plica que la autoridad competente comunicará la propuesta de resolución de aprobación de las BCR que le hayan presentado al Consejo Europeo de Protección de Datos el cual emitirá un dictamen sobre dichas BCR (European Commission, 2021).
Por último las BCR tienen una serie de beneficios para las entidades que las ostentan como pueden ser entre otros; menos molestias administrativas para la transferencia internacional de datos, marcos globales de protección de datos o una demostración más simple del cumplimiento del RGPD entre otros.
Pero la mera existencia de las BCR no es suficiente, las BCR pueden ir acompañadas en paralelo y de forma síncrona o del SCC o del Privacy Shield. El uso de las SCC o Cláusulas Contractuales Estándar permite aseverar que se usan modelos de transferencia de datos adecuados y aprobados según el marco normativo de la Unión Europea y puede otorgar una mayor garantía en conjunto con las BCR que de forma independiente entre ellas.
Las SCC o Standard Contractual Clausules son contratos legales que permiten a las organizaciones que los conciertan ofrecer frente a la Unión Europea y la Comisión Europea garantías suficientes a la hora de transferir datos internacionalmente. Las SCC, o conocidas de forma anterior al RGPD como Claúsulas Contractuales Modelo, son un mecanismo de protección adecuado a las condiciones del RGPD permitiendo el tráfico de datos siempre que no se modifiquen los términos comerciales (Whitney, 2020).
Las SCC solo se usan para la transferencia internacional de datos que supongan a la misma vez que se transfieren datos fuera de la Unión Europea y permitir la posibilidad de generar una segunda transferencia de datos internacional a diferentes organizaciones terceras ajenas al primer transferente de datos (Department Justice and Consumers, 2020).
La trasferencia internacional de datos entre organizaciones diferentes sobre datos que salgan de la Unión Europea a terceros países se ejecuta bajo la SCC no la BCR. La BCR se usa para trasferencia internacional de datos dentro de una misma organización o multinacional desde la Unión Europea hacia terceros países. Por ello podemos ver como realmente son dos instrumentos parcialmente dife-rentes pero que van en sincronía. La realidad es que aunque pudiera operar por si sólo el SCC, las BCR son las que permiten de forma directa sin autorización la transferencia de datos independien-temente del aspecto comercial; limitación que tienen las SCC. Pero las SCC permiten la transferencia entre diferentes organizaciones de forma bilateral, lo cual permite una simbiosis entre ambas herramientas; que como veremos se va a fomentar por parte de la Unión Europea para cubrir todos los aspectos legales en lo que a marco de protección jurídica se refiere.
La intención no es otra que evitar la celebración de convenios o acuerdos internacionales entre la Unión Europea y terceros países, de forma que la carga de la responsabilidad se invierte directa-mente sobre la organización o multinacional interesada en la transferencia de datos. La posibilidad de uso de estas herramientas exonera de responsabilidades la Unión Europea y los sitúa en una po-sición donde se convierte más en un supervisor internacional que vela por los intereses de los ciu-dadanos europeos y la correcta protección y uso de sus datos personales y privados.
Asimismo tenemos al Privacy Shield que según la Unión Europea era el sustituto del SCC tras la entrada en vigor del RGPD para el ámbito de los Estados Unidos. El Privacy Shield o Escudo de Privacidad es un sistema basado en la autocertificación mediante el cual aquellos organismos o en-tidades empresariales estadounidenses se comprometen a la hora de tratar datos procedentes de la Unión Europea a cumplir una serie de principios sobre protección de datos de la vida privada. Estos principios de protección quedan establecidos por el Departamento de Comercio de Estados Unidos. El Privacy Shield se aplica tanto a los responsables como a los encargados del tratamiento con una única peculiaridad, que es que los encargados del tratamiento deben estar obligados contractual-mente a actuar bajo el mando del responsable del tratamiento de la UE (Click Datos, 2018).
La puesta en funcionamiento del Privacy Shield tenía como finalidad la autorización de las transfe-rencias entre un responsable o encargado de tratamiento de la Unión Europea y una organización en los Estados Unidos. La condición era que se hubiera auto certificado adhiriéndose a los principios que estableció el Departamento de Comercio como esenciales para el tratamiento de datos proce-dentes de la Unión Europea. El Privacy Shield se aplica únicamente al tratamiento de datos persona-les de datos cuyo tratamiento real se va a realizar en territorio de los Estados Unidos. Por otro lado cabe resaltar de forma bastante importante que el Escudo de la privacidad no afecta bajo ningún modo a la aplicación de la legislación de la Unión Europea para el tratamiento de los datos persona-les de las empresas que tratan datos en los Estados miembros o la propia Unión Europea como enti-dad supraterritorial (Decisión de ejecución (UE) 2016/1250 de la Comisión de 12 de julio de 2016 con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU., 2016).
A priori, podríamos entender que el Privacy Shield sustituía a las BCR y la SCC en el contexto es-tadounidense, pero nada más lejos de la realidad. En el apartado 10 sección b del Acuerdo del Privacy Shield se indicaba expresamente que para las transferencias de datos dentro de un grupo de empresas o entidades internacionales, independientemente de que estén enmarcadas dentro del Pri-vacy Shield se debían aprobar las correspondientes BCR. La transferencia de datos entre dos res-ponsables de una misma empresa, pero siendo uno de ellos de un territorio ajeno a la Unión Europea, con independencia de que este sea Estados Unidos, debía de tener su correspondiente sistema interno de cumplimiento, siendo el preferente y más sencillo y con mayor protección jurídica el BCR.
Pero ahí no acaba, en el caso de que una entidad abandonara el Privacy Shield o fuese amonestada por no cumplir la normativa, si usaba los SCC y los renovaba de forma anualmente podía seguir tratando los datos como si estuviera dentro del Privacy Shield.
El Privacy Shield realmente simplificaba los trámites administrativos a empresas Estadounidenses para poder operar con datos procedentes de la Unión Europea. La autocertificación frente a los prin-cipios declarados por el Departamento de Comercio de los Estados Unidos convertía en un trámite administrativo el uso de los datos de la Unión Europea. La simplificación de los trámites permitía una mayor transparencia, pero su flexibilidad era evidentemente superior con el riesgo que ello conlleva. No obstante también permitía un doble sistema de protección, el propio de los Estados Unidos y el de la Unión Europea. A su vez el Privacy Shield obligaba a una serie de reuniones anuales para revisar el estado del Acuerdo del Privacy Shield (European Union, 2016).
El Privacy Shield no era más que un instrumento de simplificación respecto al SCC y las BCR, una fusión intermedia entre ambas. El SCC permitía el intercambio de datos entre terceros países o em-presas ajenas a las recaptadoras de los datos originarios procedentes de la Unión Europea y por ende el intercambio bilateral de datos. El Privacy Shield simplificaba mucho todo el trámite burocrático y limitaba la responsabilidad empresarial, todo ello en el marco de empresas estadounidenses que ope-raran con datos europeos. Por ello el Privacy Shield era en realidad un tipo de contrato al estilo SCC pero focalizado para el mercado estadounidense. La supresión de ciertas prevendas protectoras y la sublimitación de responsabilidades es uno de los principales escollos y errores del Privacy Shield. La implantación de este sistema a priori no es mala idea desde un punto de vista jurídico, pero como veremos más adelante, pretender simplificar dos marcos normativos tan diferentes como el Common Law y el Civil Law no es tarea fácil.
3. EL CASO SCHREMS II VS LAS BCR EN EL MARCO DE LA SCC Y DEL PRIVACY SHIELD
El Caso C-311/18 Data Protection Commissioner vs Facebook Ireland Ltd and Maximillian Schrems, ha sentado precedentes en lo que a interpretación legislativa se refiere respecto a legislación comunitaria. La nulidad de la Decisión de ejecución (UE) 2016/1250 de la Comisión de 12 de julio de 2016 con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE.UU. es un antes y un después en lo que ha decisiones judiciales en el ámbito legislativo del ámbito de protección de datos.
El Tribunal de Justicia de la Unión Europea examinó en primer lugar en el contexto del caso Schrems II la posible validez o nulidad de la Decisión 2010/87/CE de la Comisión Europea sobre SCC o Standard Contractual Clausules. El Tribunal tras analizarlas consideró que las SCC son válidas y por ende no sufre dicha Decisión de ningún problema de base interpretado a la luz del RGPD. La validez de las SCC viene derivada de que las SCC desde un punto de vista contractual no vinculan por su naturaleza a las autoridades de un tercer país sino entre dos partes privadas bien definidas. El Tribunal no obstante matizó que se impone la obligación legal tanto al exportador como al importador de datos la verificación de que existe la adecuada protección administrativa y procesal en el tercer país donde se van a tratar los datos exportados respecto al contenido legal acordado en el SCC correspondiente (Cookiebot, 2020).
El Tribunal también examinó la validez de la Decisión del Escudo de la privacidad (Decisión (UE) 2016/1250 de la Comisión de 12 de julio de 2016 con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE.UU). El examen se realizó debido a que las transferencias de datos examinadas eran entre los Estados Unidos y la Unión Europea.
Tras realizar el análisis el Tribunal indicó que la "legislación nacional de los Estados Unidos" así como otras ciertas legislaciones satélites, permitía el acceso de las autoridades públicas estadounidenses a datos personales transferidos desde la Unión Europea por razones de seguridad nacional y limitaban los derechos de los ciudadanos europeos. El principal problema es que el sistema jurídico estadounidense no concede a los interesados los suficientes derechos procesables ante los tribunales del país contra las propias autoridades estadounidenses. Por ello el Tribunal de Justicia de la Unión Europea declaró inválida la Decisión de adecuación del Escudo de Privacidad.
La legislación de Estados Unidos en la que basó su decisión es la Sección 702 del FISA (Foreign Intelligence Surveillance Act) y la Executive Order 12333 "United States Intelligences Activities" sobre vigilancia electrónica que permite la "interceptación de una comunicación no pública por medios electrónicos sin el consentimiento de las partes que conforman dicha comunicación electrónica o, en el caso de una comunicación no electrónica, sin el consentimiento de las personas que se encuentre visiblemente presentes en el lugar de la comunicación" (European Data Protection Board, 2020).
La sentencia emitida por el Tribunal de Justicia de la Unión Europea aclara que tras la anulación del Privacy Shield es obligatorio que las herramientas que se usen para proteger la transferencia de datos cumplan el concepto de "equivalencia esencial" o equivalente a una decisión de adecuación favorable. El artículo 46 del RGPD cita los requisitos a los que se refiere la sentencia y las herramientas que se pueden usar para el caso de ausencia de decisión de adecuación de conformidad según el artículo 45 del RGPD.
Asimismo el Tribunal indica que esas herramientas o medidas a tomar para cumplir el artículo 46 del RGPD y así considerar válidas las transferencias de datos internacionales pueden ser el BCR o el SCC. Por otro lado indica que si el BCR o el SCC de forma independiente no son suficientes, se tendrán que tomar otras medidas complementarias legales y si fuera necesario técnicas también. Las medidas a las que se refiere con medidas de carácter contractual o organizacional deben tener un vínculo legal dentro de marco legislativo de la Unión Europea. Por ello si el BCR no es suficiente medida protectora se debe complementar con un SCC y viceversa; ambas dos como mínimo (European Data Protection Board, 2020, (2)).
Por todo lo anterior las medidas técnicas que se entienden se deben adoptar y así lo ha indicado el European Data Protection Board a modo de ejemplo y consejo sin vinculación legal; son medidas de ofuscación de datos, anonimización o mejoras técnicas para evitar interceptación entre otras.
Así podemos observar como realmente se han mezclado conceptos básicos y se está intentando poner parches al RGPD a causa de una falta de visión legislativa en el ámbito técnico. El principal problema es el auge de las nuevas tecnologías de data mining, inteligencia artificial y machine learning. Por otro lado al considerar el Tribunal al FISA y a la Executive Order 12333 como única regulación de referencia nacional en Estados Unidos frente a protección de datos está cometiendo un error. El Common Law y el Civil Law no son iguales y por ende no se pueden equiparar legislativamente de forma tan directa. La consideración de una legislación en Estados Unidos es la única reguladora en una materia o predominante hasta el mismo punto que puede ser en Europa; es un error como hemos visto en capítulos anteriores.
Asimismo realmente no es grave la nulidad del Privacy Shield desde un punto de vista jurídico, al igual que no fue tan grave jurídicamente la derogación de "Safe Harbour" o puerto seguro. La razón es porque en el análisis tanto de la Unión Europea como del Tribunal se mezcla un acuerdo internacional entre dos grandes potencias, Estados Unidos y la Unión Europea, con acuerdos transaccionales privados que son el BCR y los SCC.
4. CONCLUSIONES
Las Binding Corporate Rules, las Standard Contractual Clausules y el Privacy Shield son diferentes herramientas dentro del ámbito de la protección de datos, con funciones similares aunque de diferente naturaleza jurídica y con caracteres complementarios. El origen jurídico de la existencia de la protección de datos, independientemente de debates etimológicos entre si son datos privados o personales, surge de una necesidad social vital.
El incremento del uso de nuevas tecnologías en el ámbito diario de cualquier ciudadano y la tecnificación de la vida ha generado una necesidad entorno al ámbito privado. El uso de datos y metadatos, automáticos, voluntarios y de cualquier otro tipo es una nueva frontera que está comenzándose a explorar. Los datos tal y como hemos podido ver a lo largo de los capítulos anteriores están cada vez más presentes en todos los ámbitos y se cuentan por miles de millones. La posibilidad de recrear la vida de cualquier ciudadano observando y analizando sus datos gracias a sistemas de Data Mining aplicado a sistemas de inteligencia artificial y machine learning; es una realidad que ya no es ciencia ficción.
Para ello surge la obligación de elaborar una legislación que proteja de forma efectiva a los ciudadanos frente a las posibles injerencias en nuestra vida privada por un uso inadecuado de nuestros datos. La elaboración de una legislación necesita de un ámbito jurídico teórico previo que refleje de forma correcta el paradigma social que el legislador debe proteger. El actual sistema de la Teoría del Mosaico frente a las actuales tecnologías emergentes, está desfasado y debe ser sustituido por otros marcos teóricos como la Theory Modular Data Privacy. La elaboración o modificación de una norma debe ser ejecutada a la luz de una correcta teorización para dar reflejo jurídico al paradigma correcto. El hecho de partir de una premisa teórica errónea nos lleva al problema que se aborda en el Caso Schrems II.
El principal problema que tiene la sentencia del Caso Schrems II es el hecho de que parte de una premisa teórica jurídica aplicada a una legislación en la que no existe una simbiosis entre ella. La actual RGPD se encuentra desfasada desde un punto de vista jurídico. El problema del RGPD es la falta de visión jurídica tecnológica al carecer de regulación técnica que blinde el uso de los datos desde el punto de vista tecnológico y ofrezca un marco de desarrollo legal coherente y común a todos los ámbitos de cobertura legal en dicho aspecto.
A todo ello se le suma la confusión que ha generado una sentencia, donde el Tribunal de Justicia de la Unión Europea, pretende ordenar en lo máximo que su jurisdicción le permite, el campo de la protección de datos respecto al peligro de la transferencia internacional de datos. El principal escollo viene cuando sólo se centra en la transferencia internacional, lo cual evidentemente no es culpa del TJUE sino de legislador. El TJUE ha pretendido desde su competencia llamar la atención del legis-lador europeo y hacer ver las deficiencias legislativas del RGPD al aludir a la obligatoriedad de creación de salvaguardas técnicas y legales ante la ausencia de las mismas en el RGPD. Los conceptos jurídicos indeterminados del RGPD en la materia han llevado al presente problema.
Por ello el Caso Schrems II desde un punto de vista teórico es un intento de ordenación del marco jurídico actual, puesto que el RGPD presenta deficiencias al carecer de marco técnico de regulación jurídica en el ámbito tecnológico. Asimismo con sus artículos 45 y 46 incita a través de un lenguaje basado en conceptos jurídicos indeterminados, la creación de herramientas de carácter contractual a través de un sistema de responsabilidad individual posterior sin fiscalización previa. Asimismo el TJUE establece la necesidad de un marco procesal claro que permita a los ciudadanos reclamar sus derechos cuando estos sean transgredidos y por ello invalida el Privacy Shield.
Pero a pesar de las buenas intenciones del TJUE está mezclando una herramienta con una naturaleza jurídica de "Convenio" internacional que normalizaba el intercambio de datos entre empresas de dos ámbitos territoriales con herramientas contractuales y corporativas que son de ámbito privado como el BCR y las SCC. La invalidación del Privacy Shield realmente no era necesaria si posteriormente obliga el mismo tribunal al establecimiento de medidas más profundas en lo que respecta al ámbito contractual empresarial privado. La mezcla de ámbitos jurídicos diferentes es muestra de un desconocimiento de la realidad profunda de la protección de datos. La invalidación de un marco normativo bilateral entre dos territorios por falta de protección al ciudadano y proponer sustituirlo por herramientas ya existentes que ya eran obligatorias independientemente de la existencia del Privacy Shield, es mezclar conceptos jurídicos y eliminar un marco que aunque deficiente ofrece protección.
El marco regulatorio ya establecía la necesidad de BCR y SCCs si existían déficits o creían las empresas que carecían de los mismos. La responsabilidad empresarial sobre la cual recae la obligatoriedad de protección de los datos y el cumplimiento del marco normativo europeo, ya existía con el Privacy Shield en vigor, eran los BCR y los SCCs. El Privacy Shield simplificaba el marco administrativo siempre y cuando las empresas consideraran que era suficiente. El análisis del Privacy Shield mostraba carencias jurídicas por el desconocimiento del ordenamiento jurídico estadouni-dense. El sistema de organización legal del Common Law es muy diferente que en la Unión Europea basado en Civil Law. El hecho de la codificación y unificación en cuerpos legales homogéneos para todo el territorio como sucede en la Unión Europea es algo que no sucede en Estados Unidos. El Privacy Shield estaba elaborado desde la perspectiva de cumplimiento en base a una estructura jurídica prevalente en Europa, sin contar con la realidad jurídica de Estados Unidos. La diversidad de regulación en los Estados Unidos, y la peculiaridad jurídica de su funcionamiento en el ámbito de la protección de datos, que no es nuevo teniendo en cuenta el sistema histórico jurídico que usan para regular sus leyes, era un punto de vista a tener en cuenta a la hora de abordar un acuerdo bilateral entre dos ordenamientos jurídicos tan distintos. La búsqueda de la armonización debería haber sido el principal objetivo del Privacy Shield, y no lo fue. La simplificación entre dos ordenamientos con regulaciones de base tan diferentes era un problema, que a detectado el TJUE en el caso Schremss II. La solución no era la invalidez del Privacy Shield, y la presunta sustitución por BCR y SCCs simultáneos en empresas con la implementación de medidas técnicas ya existentes y de forma previa. La solución pasaba por invalidar parte del Privacy Shield para obligar al legislador a replantear el contenido de la Decisión y mejorarla.
La obligación de implementación indivualizada de medidas técnicas por parte de cada empresa que vaya a realizar transferencias internacionales de datos; que es la propuesta del TJUE y la alternativa a la invalidez del Privacy Shield, es un error. La implementación de medidas técnicas por parte de cada empresa, va a generar una multitud de medidas sin marco homogéneo de aplicación ni revisión. La falta de regulación jurídica en el RGPD de esas medidas técnicas que el TJUE obliga ahora a las empresas a implementar, no es responsabilidad de las empresas sino del legislador europeo.
La solución pasa por mejorar el RGPD reelaborándolo implementando una regulación jurídica con apartados técnicos que establezcan marcos técnico-normativos de desarrollo de sistemas técnicos de intercambio de datos que ser revisen periódicamente. Solo de esa forma se podrá establecer unas pautas y criterios homogéneos que permitan una protección real de la explotación y tráfico internacional de datos. Por ello de esa forma los BCR y los SCCs podrán recoger correctamente si se reali-za dicha modificación del RGPD las pautas técnicas definidas por una norma, y ofrecer ese marco procesal protector que demanda el TJUE.
La solución del TJUE es tajante y caótica legalmente, no ofrece una univocidad normativa sino una dinamitación legal con multitud de soluciones debido a la indeterminación jurídica de la sentencia al aludir a conceptos igual de indeterminados que los artículo 45 y 46 del RGPD. La modificación del Privacy Shield junto con la mejora del RGPD hubiera sido una solución más adecuada. No podemos olvidar que realmente las figuras conceptuales jurídicas importantes son el BCR y las SCCs que son lo que realmente ofrecen un marco protector a los ciudadanos. La Privacy Shield es un acuerdo bilateral no un marco protector, ésta se debería haber apoyado más claramente en las BCR y las SCCs para no haber llegado a este momento. La obligatoriedad de adopción de estas medidas adicionales a las responsables de tratamiento o empresas sólo puede aportar un caos regulatorio en base a conceptos no definidos de forma clara ni por el RGPD ni por el TJUE.
BIBLIOGRAFÍA
Click Datos. (2018). En qué consiste el Privacy Shield | ClickDatos. Retrieved 10 February 2021, from https://clickdatos.es/en-que-consiste-el-privacy-shield/
Cookiebot. (2020). Schrems II and the Privacy Shield | EDPB recommendations for data transfers outside of the EU. Retrieved 11 February 2021, from https://www.cookiebot.com/en/schrems-ii-privacy-shield/?gclid=CjwKCAjwps75BRAcEiwAEiACMXRxo9UkubAIH5r4-cRQXMGTOUmo24UGlAsLA3sduV1la9EdcIcKEhoCP58QAvD_BwE
Diario Oficial de la Unión Europea. Decisión de ejecución(UE) 2016/1250 de la Comisión de 12 de julio de 2016 con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU. (2016).
Department Justice and Consumers. (2020). Standard Contractual Clauses (SCC). Retrieved 10 February 2021, from https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_es
European Commission. (2021). Binding Corporate Rules (BCR). Retrieved 9 February 2021, from https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/binding-corporate-rules-bcr_en
European Data Protection Board. (2020). Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 - Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems. European Data Protection Board.
European Data Protection Board. (2020) (2). Adopted version for public consultations Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data. European Data Protection Board.
European Union. (2016). Factsheet EU-U.S. Privacy Shield.
Maksabedian, J. (1980). El proceso social en la innovación y la transferencia tecnológica. Revista latinoamericana de psicología, 12(1), 109-117.
Personal data transfers: binding corporate rules (BCRs) under the GDPR. (2021). Retrieved 26 January 2021, from https://www.i-scoop.eu/gdpr/binding-corporate-rules-bcrs-gdpr/
Thomson Reuters. (2020). Retrieved 9 February 2021, from https://uk.practicallaw.thomsonreuters.com/w-014-9062?transitionType=Default&contextData=(sc.Default)&firstPage=true
Unión Europea. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos-personales y a la libre circulación de estos datos y por el que se deroga la directiva 95/46/ce(reglamento general de protección de datos) (2016)
Whitney, N. (2020). GDPR: Standard contractual clauses vs binding corporate rules - GRCI Law. Retrieved 10 February 2021, from https://www.grcilaw.com/blog/international-data-transfers-model-contract-clauses-vs-binding-corporate-rules
World Internet Users Statistics and 2019 World Population Stats. (2019). Retrieved 18 February 2020, from https://www.internetworldstats.com/stats.htm
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación