¿Cuáles son las implicaciones del nuevo caso Schrems II para las empresas?

El abogado general del TJUE, Saugmandsgaard Øe, ha publicado su opinión en el caso ‘Schrems II’.

Nuevo año, ¿nuevas preocupaciones sobre regulación? Dos semanas antes del final del 2019, el abogado general del Tribunal de Justicia de la Unión Europea (TJUE) emitió su opinión en el caso conocido ‘Schrems II’, en relación a la validez de las cláusulas contractuales tipo (SCCs).

El artículo 46 del RGPD menciona las SCCs como una garantía adecuada que las empresas pueden incorporar en los contratos a fin de realizar transferencias de datos personales a terceros países. Las SCCs contienen obligaciones contractuales que se imponen tanto al exportador como al importador, y los derechos de los interesados cuyos datos se transfieren, los cuales pueden ejercerse frente a ambos.

Recapitulemos primero.

¿Sobre qué trata el caso ‘Schrems II’?

El caso ‘Schrems II’ es la segunda parte de un caso que se originó en 2013 a raíz de una queja de Max Schrems, en relación con Facebook y las transferencias de datos personales a Estados Unidos. La queja se interpuso frente a la autoridad de control de Irlanda y llegó al TJUE, que invalidó el Safe Harbour.

Como consecuencia, las empresas ya no podían utilizar el Safe Harbour para transferencias internacionales, y lo reemplazaron por las SCCs. En 2016, la Comisión Europea aprobó el ‘Privacy Shield’ a la luz del caso ‘Schrems I’.

En el caso ‘Schrems II’, Max Schrems presentó una nueva queja en la autoridad de control de Irlanda, pero esta vez contra las SCCs, en un sentido similar en el que lo hizo contra el Safe Harbour. El abogado general ha publicado ahora su opinión al respecto.

¿Cuál es la opinión del abogado general en el caso Schrems II ?

El abogado general del TJUE ha reafirmado la validez de las SCCs. Sin embargo, ha sugerido que tanto empresas como autoridades de control deberían evaluar la suficiencia de las protecciones que otorga la seguridad nacional de los países extranjeros caso por caso.

La opinión afirma que: “una autoridad de control debe examinar con absoluta diligencia la queja presentada por una persona cuyos datos se están transfiriendo a un tercer país sin respetar las cláusulas contractuales tipo aplicables a dicha transferencia” y “cuando proceda, se deberá suspender la transferencia si se concluye que no se están respetando las cláusulas contractuales tipo y que no se puede asegurar por otros medios una protección adecuada de la información transferida”.

¿Por qué no es una sorpresa la opinión del abogado general en el caso Schrems II?

Lo anterior sugiere que transferir datos personales a terceros países va a requerir más esfuerzos que simplemente añadir las SCCs al contrato con el importador. Las empresas tendrán que asegurar que están cumpliendo con las SCCs en la práctica. Sin embargo, en mi opinión esta responsabilidad que cae sobre los responsables de los datos no es nada nuevo, pues también se deriva ya de su responsabilidad general de demostrar cumplimiento con los principios del RGPD, a saber: legitimidad, justicia, transparencia, minimización de los datos, limitación a la finalidad, precisión, limitación de almacenamiento, integridad y confidencialidad.

Estos principios se aplican a todas las transferencias internacionales de datos, independientemente de las garantías que se empleen. Mientras que la autoridad de control de Irlanda destaca que este hecho podría resultar en una fragmentación entre las autoridades de control europeas, la verdad es que esto ya es inevitable cuando se trata de la aplicación práctica del RGPD si no hay recomendaciones del Comité Europeo de Protección de Datos (CEPD) o jurisprudencia previa.

Aunque el TJUE no está obligado a seguir esta opinión, la realidad es que el Tribunal suele pronunciarse en términos muy similares al abogado general en la mayoría de los casos. Se espera que el TJUE publique su decision final en los próximos meses.

¿Realizas transferencias internacionales de datos a terceros países? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto y subcontratación del Delegado de Protección de Datos. Infórmate aquí

 

Leave a Comment

(0 Comentarios)

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *