En el marco de la Conferencia Internacional CPDP 2021 (Computers, Privacy & Data Protection) y a escasos días antes de la celebración del Safer Internet Day que se suceden internacionalmente, la Cátedra Google sobre Privacidad, Sociedad e Innovación de la Universidad CEU San Pablo organizó una mesa redonda bajo el título “Privacidad, globalización y transferencias internacionales de datos: hacia un nuevo paradigma tras Schrems II?”

CPDP 2021, los retos de las transferencias internacionales de datos tras Schrems II

Noticia

En la jornada diversos expertos internacionales en privacidad y protección de datos analizaron el escenario tras la reciente sentencia del Tribunal de Justicia de la Unión Europea y sus implicaciones para entender cómo funcionará el intercambio de datos entre ambos lados del Atlántico.

Toque de queda

En el panel -organizado y coordinado, por José Luis Piñar Mañas, Titular de la Cátedra Google- también se hizo hincapié tanto en los impactos que tendrá la Sentencia en nuestra economía -marcada por la pandemia del COVID-19- como en la relación entre actores públicos y privados en torno a las herramientas proporcionadas por el Reglamento General de Protección de Datos.

Durante el debate, Alisa Vekeman, Miembro de la Unidad de Protección y Flujos Internacionales de Datos de la Dirección General de Justicia de la Comisión Europea, reflexionó sobre la importancia de las transferencias internacionales de datos y lo esencial que resulta - tras la sentencia Schrems II- contar con herramientas para facilitarlas. Además, subrayó el relieve que adquiere en la actualidad la noción de nivel de protección esencialmente equivalente, tanto para transferencias basadas en la adecuación como para aquellas que se apoyan en la adopción de garantías apropiadas.

Hizo igualmente mención al trabajo que la Comisión Europea está realizando tras la Sentencia, poniendo el acento en las conversaciones con los Estados Unidos, los procedimientos de adecuación con terceros países y los trabajos que se están realizando en materia de cláusulas contractuales tipo.

Para Luigi Montuori, Director del servicio de asuntos Europeos e Internacionales del Garante per la protezione dei dati personali, Autoridad italiana de Protección de Datos, en principio no correspondería a las autoridades de protección de datos elegir o asesorar sobre qué medidas han de ser adoptadas en el marco de las transferencias internacionales de datos personales. En este sentido y en el contexto actual, puntualizó que los actores principales serían los exportadores, como responsables de la transferencia, y los importadores, al conocer la legislación y las prácticas en su país en lo relativo a la protección de datos personales.

Yann Padova, ex Secretario General de la Autoridad francesa de Protección de Datos (CNIL) y Socio Responsable del Área de Protección de Datos Personales del despacho de abogados Baker & McKenzie París, puso de relieve el fenómeno que se observa en la actualidad de “privatización de la evaluación de la adecuación” en el contexto de las transferencias internacionales de datos. Esta circunstancia implica que son las empresas aquellas que deben valorar de manera individualizada si el país destinatario de los datos personales tiene un nivel adecuado de protección.

Señaló Padova en este sentido, que el trabajo que antes se realizaba exclusivamente por la Comisión Europea ahora recae en cierto modo sobre las empresas, con todo lo que esto conlleva para estos actores .
Noah Joshua Phillips, Comisario de la Federal Trade Commission de EE. UU., matizó durante su intervención que, tras la sentencia Schrems II, las leyes nacionales toman cada vez más relevancia en lo relativo al análisis del nivel de protección de datos personales. Por otra parte, subrayó la necesidad de cooperación entre las democracias liberales para hacer frente a este nuevo escenario.

Por su parte, Isabelle Vereecken, Directora de la Secretaría del Comité Europeo de Protección de Datos (EDPB), presentó las Recomendaciones y Documentos orientativos elaboradas por el EDPB para interpretar y delimitar el contenido de la sentencia Schrems II. Entre estos documentos, se incluye igualmente la Opinión elaborada junto con el Supervisor Europeo de Protección de Datos (EDPS) sobre las cláusulas contractuales tipo para las transferencias de datos a terceros países, recién adoptada en enero.

Vereecken expuso la metodología para la aplicación del principio de responsabilidad proactiva en materia de protección de datos en el contexto de las transferencias internacionales de datos, que resulta fundamental para asegurar la conformidad con el nivel de protección requerido en la legislación de la UE en lo relativo a los flujos de datos a terceros países.