Desde que el Tribunal de Justicia de la Unión Europea (TJUE) invalidara el EU-US Privacy Shield en su sentencia sobre el caso Schrems II hace dos semanas, son muchas las cuestiones que han surgido en torno la transferencia de datos a Estados Unidos.
Tras la anulación del EU-US Privacy Shield por parte del TJUE el pasado 16 de julio tal y como recogimos en el blog de Aphaia, las transferencias de datos a Estados Unidos requieren ahora de la aplicación de otro mecanismo válido que ofrezca un nivel similar de protección de datos personales a aquel garantizado por el RGPD.
Las directrices del Comité Europeo de Protección de Datos
A fin de clarificar algunas de las cuestiones principales derivadas de la anulación del EU-US Privacy Shield, el Comité Europeo de Protección de Datos (CEPD) ha publicado un documento donde ofrece respuestas a las preguntas más comunes en torno al caso Schrems II. Se espera que este contenido se desarrolle más en detalle conforme se vaya contando con un análisis más específico sobre la decisión del TJUE.
El CEPD recuerda que la anulación del EU-US Privacy Shield es inmediata sin período de gracia, de tal manera que ha dejado de ser un mecanismo válido para la transferencia de datos personales a los Estados Unidos, lo que implica que las empresas que lo estuviesen usando deberán implementar otra salvaguarda a este fin que les permita asegurar un nivel de protección de los datos personales equivalente a aquel garantizado por el RGPD.
¿Qué ocurre con las Cláusulas Contractuales Tipo (SCCs)?
El TJUE ha considerado que la validez de las SCCs depende de la habilidad del exportador y del importador de los datos de verificar, antes de transferirlos, y teniendo en cuenta las circunstancias específicas de cada caso, si el nivel de protección de los mismos requerido por el RGPD puede respetarse en Estados Unidos. Si bien esto resulta en principio difícil, pues el TJUE afirmó que la ley estadounidense (Section 702 FISA and EO 12333) no proporciona un nivel equivalente de protección.
El importador de los datos debería informar al exportador sobre cualquier incapacidad para cumplir con las SCCs y, cuando sea necesario, sobre la aplicación de medidas suplementarias. El exportador, por su parte, debería llevar a cabo una evaluación para asegurar que la ley de Estados Unidos no vulnera el nivel de protección adecuado requerido por la ley europea, tomando en consideración las circunstancias concretas de la transferencia y las medidas adicionales. El exportador puede contactar con el importador para verificar la legislación del país de destino y pedirle colaboración en la evaluación. Si el resultado no es favorable, la transferencia debería suspenderse. En caso contrario el exportador debería notificar la misma a la respectiva autoridad de control.
¿Qué ocurre con las normas corporativas vinculantes (BCRs)?
Dado que el motivo de la anulación del EU-US Privacy Shield por parte del TJUE fue el grado de interferencia generado por la ley estadounidense respecto de las garantías de protección de los datos, la decisión del TJUE se aplica del mismo modo a las BCRs, pues la ley estadounidense también primaría sobre esta herramienta al igual que lo hace sobre las SCCs. De igual manera que antes de emplear SCCs, previamente a utilizar BCRs como mecanismo de transferencia se habría de desarrollar una evaluación por parte del exportador y, y se tendría que notificar a la autoridad de control competente si el resultado de la evaluación es negativo y aun así se pretende continuar con la transferencia.
¿Qué ocurre con las excepciones del artículo 49 RGPD?
El artículo 49 del RGPD recoge una serie de condiciones bajo las cuales los datos personales pueden transferirse a un tercer país en ausencia de una decisión de adecuación o de mecanismos como las SCCs y las BCRs, entre ellas:
- Consentimiento. El TJUE señala que el consentimiento debería ser explícito, específico y concreto para la transferencia o conjunto de transferencias sobre las que se informa al interesado. Este element implica dificultades prácticas de cumplimiento por parte de empresas que tratan datos de sus clientes, pues significaría, por ejemplo, pedir consentimiento a todos sus clientes antes de utilizar herramientas como Sales Force.
- Contrato entre el interesado y el responsable de los datos. Es importante apuntar que esto sólo se aplica cuando la transferencia es ocasional y únicamente para aquellas que son objetivamente necesarias para el cumplimiento del contrato.
¿Qué ocurre con terceros países diferentes a EEUU?
El TJUE ha explicado que, como norma general, se puede continuar usando las SCCs para transferir datos a un tercer país, pero los umbrales exigidos para transferencias a Estados Unidos se aplicarán también a cualquier otro tercer país, y lo mismo ocurre con las BCRs.
¿Qué debería hacer si uso encargados del tratamiento que transfieren datos a EEUU?
Conforme al documento publicado por el CEPD, si no se aportan medidas adicionales que puedan asegurar que Estados Unidos no vulnera la aplicación de un nivel de protección similar al exigido por el RGPD y si las excepciones del artículo 49 RGPD no se aplican “la única solución es negociar cambios o una cláusula suplementaria al contrato para prohibir las transferencias a Estados Unidos. Los datos no sólo deberían ser almacenados, sino también administrados en otro lugar que no sea Estados Unidos”.
¿Qué es lo próximo que podemos esperar del TJUE?
El CEPD está analizando la sentencia del TJUE para determinar el tipo de medidas adicionales que podrían ofrecerse cuando se utilicen SCCs o BCRs, ya sean medidas legales, técnicas u organizativas.
El pronunciamiento de la ICO
La ICO está continuamente actualizando su declaración sobre la sentencia del TJUE en el caso Schrems II. La última version disponible hasta ahora es del 27 de julio y en ella la ICO confirma que las orientaciones ofrecidas por el CEPD se aplican a responsables y encargados de tratamiento de Reino Unido. Hasta que se ofrezcan directrices más detalladas por parte de las instituciones europeas, la ICO recomienda a las empresas realizar un balance de las transferencias internacionales que hacen por el momento y estar preparados para poder reaccionar con flexibilidad a cualquier cambio. Asimismo, afirman que continuarán aplicando su enfoque basado en el riesgo y en la proporcionalidad de acuerdo a su Política de Acción Regulatoria.
Los pronunciamientos de otras autoridades de control europeas.
Algunas autoridades de control europea han hecho ya pública su respuesta a la sentencia del Caso Schrems II. Mientras que la mayoría de países están aún sopesando las implicaciones de la misma, otros avisan del riesgo de no cumplimiento y unos poco, como Alemania (en concreto Berlín y Hamburgo) y los Países Bajos han dicho abiertamente que las transferencias a Estados Unidos son ilegales.
En términos generales, aquellos que están intentando concienciar sobre los riesgos establecen que:
- Las transferencias de datos a Estados Unidos son posibles, pero requieren de la implementación de medidas adicionales.
- La obligación de implementar los requisitos recogidos en la sentencia del TJUE conciernen tanto a las empresas como a las autoridades de control.
- Se requiere a las empresas controlar de manera continua el nivel de protección del país receptor de los datos.
- Las empresas deberían llevar a cabo una evaluación previa a la transferencia de datos personales a Estados Unidos.
La autoridad de control de Alemania (Rhineland-Palatinate) ha propuesto una evaluación de cinco pasos:
¿Puede EEUU garantizar el nivel de protección de datos requerido por el RGPD?
El TJUE ha considerado que los requisitos de la ley de Estados Unidos y, en particular, algunos programas que permiten a las autoridades públicas de Estados Unidos el acceso a datos personales transferidos desde Europa, resultan en limitaciones a la protección de datos personales que no satisfacen los requisitos del RGPD. Además, el TJUE ha establecido que la legislación estadounidense no garantiza a los interesados derechos ejecutables ante las autoridades estadounidenses.
En este contexto parece difícil que una compañía pudiese demostrar que puede ofrecer un nivel adecuado de protección de datos personales para los datos transferidos desde Europa, porque básicamente tendría que estar por encima de la legislación nacional estadounidense para ello.
Los últimos movimientos en el Senado de Estados Unidos tampoco arrojan mucha luz a este problema, porque la «Lawful Access to Encrypted Data Act» fue introducida el mes pasado, la cual ordena a los proveedores de servicios y a los fabricantes de dispositivos ayudar a las autoridades a acceder a los datos encriptados si esto ayudase a ejecutar una orden legalmente obtenida.
