anulación del EU-US Privacy Shield

Actualización sobre las implicaciones prácticas de la anulación del EU-US Privacy Shield

Desde que el Tribunal de Justicia de la Unión Europea (TJUE) invalidara el EU-US Privacy Shield en su sentencia sobre el caso Schrems II hace dos semanas, son muchas las cuestiones que han surgido en torno la transferencia de datos a Estados Unidos.

Tras la anulación del EU-US Privacy Shield por parte del TJUE el pasado 16 de julio tal y como recogimos en el blog de Aphaia, las transferencias de datos a Estados Unidos requieren ahora de la aplicación de otro mecanismo válido que ofrezca un nivel similar de protección de datos personales a aquel garantizado por el RGPD. 

Las directrices del Comité Europeo de Protección de Datos

A fin de clarificar algunas de las cuestiones principales derivadas de la anulación del EU-US Privacy Shield, el Comité Europeo de Protección de Datos (CEPD) ha publicado un documento donde ofrece respuestas a las preguntas más comunes en torno al caso Schrems II. Se espera que este contenido se desarrolle más en detalle conforme se vaya contando con un análisis más específico sobre la decisión del TJUE. 

El CEPD recuerda que la anulación del EU-US Privacy Shield es inmediata sin período de gracia, de tal manera que ha dejado de ser un mecanismo válido para la transferencia de datos personales a los Estados Unidos, lo que implica que las empresas que lo estuviesen usando deberán implementar otra salvaguarda a este fin que les permita asegurar un nivel de protección de los datos personales equivalente a aquel garantizado por el RGPD.  

¿Qué ocurre con las Cláusulas Contractuales Tipo (SCCs)?

El TJUE ha considerado que la validez de las SCCs depende de la habilidad del exportador y del importador de los datos de verificar, antes de transferirlos, y teniendo en cuenta las circunstancias específicas de cada caso, si el nivel de protección de los mismos requerido por el RGPD puede respetarse en Estados Unidos. Si bien esto resulta en principio difícil, pues el TJUE afirmó que la ley estadounidense (Section 702 FISA and EO 12333) no proporciona un nivel equivalente de protección. 

El importador de los datos debería informar al exportador sobre cualquier incapacidad para cumplir con las SCCs y, cuando sea necesario, sobre la aplicación de medidas suplementarias. El exportador, por su parte, debería llevar a cabo una evaluación para asegurar que la ley de Estados Unidos no vulnera el nivel de protección adecuado requerido por la ley europea, tomando en consideración las circunstancias concretas de la transferencia y las medidas adicionales. El exportador puede contactar con el importador para verificar la legislación del país de destino y pedirle colaboración en la evaluación. Si el resultado no es favorable, la transferencia debería suspenderse. En caso contrario el exportador debería notificar la misma a la respectiva autoridad de control. 

¿Qué ocurre con las normas corporativas vinculantes (BCRs)?

Dado que el motivo de la anulación del EU-US Privacy Shield por parte del TJUE fue el grado de interferencia generado por la ley estadounidense respecto de las garantías de protección de los datos, la decisión del TJUE se aplica del mismo modo a las BCRs, pues la ley estadounidense también primaría sobre esta herramienta al igual que lo hace sobre las SCCs. De igual manera que antes de emplear SCCs, previamente a utilizar BCRs como mecanismo de transferencia se habría de desarrollar una evaluación por parte del exportador y, y se tendría que notificar a la autoridad de control competente si el resultado de la evaluación es negativo y aun así se pretende continuar con la transferencia. 

¿Qué ocurre con las excepciones del artículo 49 RGPD?

El artículo 49 del RGPD recoge una serie de condiciones bajo las cuales los datos personales pueden transferirse a un tercer país en ausencia de una decisión de adecuación o de mecanismos como las SCCs y las BCRs, entre ellas:

  • Consentimiento. El TJUE señala que el consentimiento debería ser explícito, específico y concreto para la transferencia o conjunto de transferencias sobre las que se informa al interesado. Este element implica dificultades prácticas de cumplimiento por parte de empresas que tratan datos de sus clientes, pues significaría, por ejemplo, pedir consentimiento a todos sus clientes antes de utilizar herramientas como Sales Force. 
  • Contrato entre el interesado y el responsable de los datos. Es importante apuntar que esto sólo se aplica cuando la transferencia es ocasional y únicamente para aquellas que son objetivamente necesarias para el cumplimiento del contrato.  

¿Qué ocurre con terceros países diferentes a EEUU?

El TJUE ha explicado que, como norma general, se puede continuar usando las SCCs para transferir datos a un tercer país, pero los umbrales exigidos para transferencias a Estados Unidos se aplicarán también a cualquier otro tercer país, y lo mismo ocurre con las BCRs. 

¿Qué debería hacer si uso encargados del tratamiento que transfieren datos a EEUU?

Conforme al documento publicado por el CEPD, si no se aportan medidas adicionales que puedan asegurar que Estados Unidos no vulnera la aplicación de un nivel de protección similar al exigido por el RGPD y si las excepciones del artículo 49 RGPD no se aplican “la única solución es negociar cambios o una cláusula suplementaria al contrato para prohibir las transferencias a Estados Unidos. Los datos no sólo deberían ser almacenados, sino también administrados en otro lugar que no sea Estados Unidos”. 

¿Qué es lo próximo que podemos esperar del TJUE?

El CEPD está analizando la sentencia del TJUE para determinar el tipo de medidas adicionales que podrían ofrecerse cuando se utilicen SCCs o BCRs, ya sean medidas legales, técnicas u organizativas. 

El pronunciamiento de la ICO

La ICO está continuamente actualizando su declaración sobre la sentencia del TJUE en el caso Schrems II. La última version disponible hasta ahora es del 27 de julio y en ella la ICO confirma que las orientaciones ofrecidas por el CEPD se aplican a responsables y encargados de tratamiento de Reino Unido. Hasta que se ofrezcan directrices más detalladas por parte de las instituciones europeas, la ICO recomienda  a las empresas realizar un balance de las transferencias internacionales que hacen por el momento y estar preparados para poder reaccionar con flexibilidad a cualquier cambio. Asimismo, afirman que continuarán aplicando su enfoque basado en el riesgo y en la proporcionalidad de acuerdo a su Política de Acción Regulatoria.  

Los pronunciamientos de otras autoridades de control europeas.

Algunas autoridades de control europea han hecho ya pública su respuesta a la sentencia del Caso Schrems II. Mientras que la mayoría de países están aún sopesando las implicaciones de la misma, otros avisan del riesgo de no cumplimiento y unos poco, como Alemania (en concreto Berlín y Hamburgo) y los Países Bajos han dicho abiertamente que las transferencias a Estados Unidos son ilegales.

En términos generales, aquellos que están intentando concienciar sobre los riesgos establecen que:

  • Las transferencias de datos a Estados Unidos son posibles, pero requieren de la implementación de medidas adicionales.
  • La obligación de implementar los requisitos recogidos en la sentencia del TJUE conciernen tanto a las empresas como a las autoridades de control. 
  • Se requiere a las empresas controlar de manera continua el nivel de protección del país receptor de los datos. 
  • Las empresas deberían llevar a cabo una evaluación previa a la transferencia de datos personales a Estados Unidos.

La autoridad de control de Alemania (Rhineland-Palatinate) ha propuesto una evaluación de cinco pasos:

¿Puede EEUU garantizar el nivel de protección de datos requerido por el RGPD?

El TJUE ha considerado que los requisitos de la ley de Estados Unidos y, en particular, algunos programas que permiten a las autoridades públicas de Estados Unidos el acceso a datos personales transferidos desde Europa, resultan en limitaciones a la protección de datos personales que no satisfacen los requisitos del RGPD. Además, el TJUE ha establecido que la legislación estadounidense no garantiza a los interesados derechos ejecutables ante las autoridades estadounidenses. 

En este contexto parece difícil que una compañía pudiese demostrar que puede ofrecer un nivel adecuado de protección de datos personales para los datos transferidos desde Europa, porque básicamente tendría que estar por encima de la legislación nacional estadounidense para ello. 

Los últimos movimientos en el Senado de Estados Unidos tampoco arrojan mucha luz a este problema, porque la «Lawful Access to Encrypted Data Act» fue introducida el mes pasado, la cual ordena a los proveedores de servicios y a los fabricantes de dispositivos ayudar a las autoridades a acceder a los datos encriptados si esto ayudase a ejecutar una orden legalmente obtenida. 

¿Realizas transferencias internacionales de datos a terceros países? ¿Te afecta la Sentencia del caso “Schrems II”? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPAInfórmate aquí.

Inteligencia Artificial Fiable

Lista de Evaluación para una Inteligencia Artificial Fiable

A principios de este mes, el Alto Grupo de Expertos de Inteligencia Artificial (AI HLEG) presentó la versión definitiva de la Lista de Evaluación para una Inteligencia Artificial Fiable. 

Como informamos en nuestro blog, el proceso piloto de las Directrices Éticas para una Inteligencia Artificial Fiable se hizo público en la primera asamblea de la Alianza Europea de IA, la cual tuvo lugar el 26 de junio de 2019. Ahora se han publicado los resultados del mismo, cuyo objetivo es apoyar a desarrolladores y partes implicadas en la implementación de IA Fiable.  

Contexto

Tras la publicación del primer borrador en diciembre, el 8 de abril de 2019 el AI HLEG presentó sus Directrices para una IA Fiable, donde se definía cómo ésta habría de ser, a saber: ‘legítima’, ‘ética’ y ‘robusta’, además de los requisitos que debería cumplir: supervisión y agencia humanas, solidez técnica y seguridad, privacidad y gobierno del dato, transparencia, diversidad, no-discriminación y justicia, bienestar, impacto social y medioambiental y rendición de cuentas.  

Mientras que estos requisitos técnicos y principios sentaron las bases para alcanzar una IA Fiable, aún se precisaba orientación para implementar de manera efectiva y práctica tales directrices, y esta es la meta que persigue la Lista de Evaluación para una IA Fiable, que es considerada la herramienta operativa de las Directrices. 

El proceso piloto

El proceso piloto, en el cual Aphaia participó, contó con las aportaciones de más de 350 personas, empresas e instituciones.

Se recogieron opiniones y respuestas por medio de tres vías diferentes:

  • Una entrevista online completada por los participantes registrados en el proceso; 
  • El intercambio de mejores prácticas sobre cómo lograr una IA Fiable por medio de la Alianza y
  • Una serie de entrevistas detalladas y en profundidad.

¿Cómo se debería usar la Lista de Evaluación para una IA Fiable (ALTAI)?

Si estás desarrollando, implementando o usando IA, deberías asegurarte de que los sistemas cumplen con los requisitos y principios para una IA fiable antes de proceder de manera efectiva con ello. 

Meta: identificar el riesgo que para los derechos fundamentales se deriva del uso de los sistemas de IA y aplicar las medidas de mitigación necesarias para minimizar el impacto y optimizar los beneficios de utilizar IA.  

Pasos: La auto-evaluación mediante la ALTAI es el primer paso para comprobar las carencias actuales y diseñar un plan de acción. La ALTAI está pensada para un uso flexible, mediante el cual las organizaciones pueden adaptar elementos predeterminados al sistema de IA específico que estén utilizando o bien añadir elementos nuevos como consideren que encajan mejor, en función del sector en el que operan. Conforme al AI HLEG, a este fin se debería: 

  • Desarrollar una Evaluación de Impacto de Derechos Fundamentales (FRIA) antes de la auto-evaluación de cualquier sistema de IA; 
  • Comprometerse de forma activa con las preguntas que plantea la lista; 
  • Involucrar a todas las partes relevantes implicadas, tanto dentro como fuera de la organización; 
  • Buscar consejo o asesoramiento externo cuando sea necesario y 
  • Elaborar políticas y procesos de gobierno adecuados.

Los siete requisitos

1.Supervisión y acción humanas

“Los sistemas de IA deberían apoyar la agencia y toma de decisiones humanas, como dicta el principio de respeto por la autonomía humana”. En esta sección, las organizaciones deberían reflexionar sobre los efectos que los sistemas de IA pueden tener en: 

  • El comportamiento humano, en sentido amplio.
  • Percepción y expectativas humanas al confrontar sistemas de Ia que actúan como seres humanos.
  • Afección, confianza e (in)dependencia humanas. 

Las cuestiones que se derivan de esos temas ayudarán a las empresas a decidir las medidas y mecanismos de control y gobierno más propicias, así como los diferentes enfoques, tales como:

  • Human-in-the-loop (HITL) o la capacidad de intervención humana en cada ciclo de decisión del sistema. 
  • Human-on-the-loop (HOTL) o la capacidad de intervención humana durante el ciclo de diseño del Sistema y para el control de las operaciones del sistema.  
  • Human-in-command (HIC) o la capacidad de vigilar el conjunto de la actividad del Sistema de IA y decidir sobre cuándo y cómo usar el sistema de IA en cada situación particular.  

Las preguntas en esta parte se desarrollan principalmente en torno a la interacción de los sistemas de IA con los usuarios finales y su proceso de aprendizaje y entrenamiento. 

2. Solidez técnica y seguridad

“La solidez técnica require que se desarrollen los sistemas de IA con un enfoque de riesgos preventivo y que se comporten de manera segura y como se espera, de modo que se reduzca el daño no intencional e imprevisto así como que se evite cuando sea posible”. En esta sección, las organizaciones deberían reflexionar sobre los siguientes elementos: 

  • Resiliencia al ataque.
  • Seguridad.
  • Precisión.
  • Confiabilidad, planes alternativos de apoyo y reproductibilidad. 

Hay dos aspectos que son clave para obtener resultados positivos en las áreas arriba mencionadas:

  • Dependencia, que abarca la habilidad de los sistemas de IA para ofrecer servicios que puedan ser de confianza. 
  • Resiliencia, que significa la solidez de los sistemas de IA para hacer frente a los cambios, tanto en su entorno o externos cuando se da presencia de otros agentes, humanos o artificiales, que puedan interactuar de manera adversa con la IA. 

Las preguntas en esta parte se desarrollan principalmente en torno a los comportamientos indeseables e inesperados de los sistemas de IA, los mecanismos de certificación, previsión de amenazas, procedimientos de documentación y métrica de riesgos. 

3.Privacidad y gobierno del dato

“Estrechamente relacionado con el principio de prevención del daño está la privacidad, un derecho fundamental que se ve muy afectado por los sistemas de IA”. En términos de protección de datos, el principio de prevención del daño involucra lo siguiente: 

  • Gobierno del dato adecuado que cubra la calidad e integridad de los datos usados.
  • Relevancia de los datos a la luz del contexto en el que se van a desarrollar los sistemas de IA.
  • Protocolos de acceso a los datos. 
  • La capacidad de los sistemas de IA para tartar los datos de una manera que proteja la privacidad.

Las preguntas en esta parte se desarrollan principalmente en torno al tipo de datos personales empleados para entrenamiento y desarrollo, la implementación de las medidas y requisitos del RGPD y la alineación de los sistemas de IA con estándares importantes como las normas ISO. 

4.Transparencia

“Un componente crucial para alcanzar una IA de confianza es la transparencia, que abarca tres elementos: 1) trazabilidad; 2) explicabilidad; y 3) comunicación abierta sobre las limitaciones del sistema de IA”.  

  • Trazabilidad: el proceso de desarrollo de los sistemas de IA debería estar debidamente documentado. 
  • Explicabilidad: la explicabilidad se refiere a la habilidad de explicar tanto los procesos técnicos de los sistemas de IA como el razonamiento detrás de las decisiones y predicciones tomadas por el mismo, lo cual a su vez tendría que ser fácilmente comprensible por todos aquellos que se viesen afectados tanto directa como indirectamente. 
  • Comunicación: las capacidades y limitaciones del sistema de IA deberían ser comunicados a los usuarios de una manera apropiada al caso de uso y podría incluir información sobre el nivel de precisión del sistema de IA y sus limitaciones. 

Las preguntas en esta parte se desarrollan principalmente en torno a las medidas de trazabilidad, prácticas de registro, entrevistas a los usuarios, mecanismos de información y la provisión de material de entrenamiento. 

5.Diversidad, no-discriminación y justicia.

“A fin de lograr una IA fiable, se debe abogar por la inclusión y la diversidad en todo el ciclo de vida del sistema de IA”. En lo que se refiere a sistemas de IA, la discriminación puede derivarse de los siguientes aspectos, tanto en fase de entrenamiento como de implementación:

  • Inclusión de sesgos inadvertidos.
  • Imperfecciones.
  • Malos modelos de gobierno.
  • Explotación intencional de sesgos de los consumidores.
  • Competencia desleal.

Las preguntas en esta parte se desarrollan principalmente en torno a los procedimientos para evitar los sesgos, iniciativas de educación y conciencia, accesibilidad, interfaces de usuario, principios de Diseño Universal y participación de las partes implicadas.  

6.Bienestar social y medioambiental

 “Conforme a los principios de justicia y prevención del daño, la sociedad en general, otros seres vivos y el medioambiente deberían ser tomados en cuenta como partes implicadas a lo largo de todo el ciclo de vida del sistema de IA”. 

Los siguientes factores deberían regir las decisiones en este sentido:

  • Bienestar medioambiental.
  • Impacto en el trabajo y habilidades.
  • Impacto en la Sociedad en su conjunto y democracia.

Las preguntas en esta parte se desarrollan principalmente en torno a los mecanismos para evaluar el impacto social y medioambiental, las medidas para gestionar este impacto, el riesgo de descualificación de la fuerza de trabajo y la promoción de nuevas habilidades digitales. 

7.Rendición de cuentas

“El principio de rendición de cuentas precisa que se instauren mecanismos para asegurar la distribución de responsabilidades en el desarrollo, implementación y uso de los sistemas de IA”. Muy ligado a la gestión de riesgos, hay tres elementos clave a estos efectos: 

  • Medidas para identificar y mitigar riesgos.
  • Mecanismos para gestionar estos riesgos.
  • Auditorías regulares.

Las preguntas en esta parte se desarrollan principalmente en torno a los mecanismos de auditoria, los procesos de auditoria de terceros, comités de la ética de la IA y protección para for whistle-blowers, NGOs y asociaciones.

¿Necesitas asesoramiento con la Lista de Evaluación para una IA Fiable? Podemos ayudarte. Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto a la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de Datos

Comisión Europea sobre la transición:

La Comisión Europea lanza un comunicado sobre la transición entre Reino Unido y la Unión Europea

La Comisión Europea ha lanzado un comunicado donde detalla las implicaciones de la transición entre Reino Unido y la Unión Europea.  

Con motivo del final del período de transición entre Reino Unido y la Unión Europea en la salida del primero, prevista para finales de este año, la Comisión Europea ha lanzado un comunicado donde evalúa la situación actual de Reino Unido para su separación. El acuerdo de salida se firmó el 1 de febrero de 2020 y en él se estableció que las leyes de la UE se continuarían aplicando a Reino Unido hasta el 31 de diciembre de 2020. De esta forma, por ahora Reino Unido sigue siendo parte de los programas de la UE y el Mercado Único Europeo y continúa respetando las políticas de la UE y cualquier acuerdo internacional que incluya a la misma.  Esta situación tomará un giro a partir del 1 de enero de 2021, cuando el período de transición llegue a su fin y el acuerdo de salida se haga efectivo. Así por tanto, el período de transición funciona como un período de continuidad para asegurar que Reino Unido está preparada para implementar todas las medidas y acuerdos que sean necesarios a fin de facilitar la negociación de la nueva relación entre Reino Unido y la UE a partir del 1 de enero de 2021. 

Las negociaciones cobran impulso este verano porque la UE y Reino Unido pretenden alcanzar un acuerdo sobre la futura relación entre ambos antes de que llegue la fecha de implementación, prevista para el 1 de enero de 2021. 

Mientras que las negociaciones han evolucionado lento durante la primera parte de este año, desde junio han tomado impulso, pues el Gobierno de Reino Unido ha tomado la decisión de no alargar el período de transición. El objetivo es alcanzar un ambicioso acuerdo en la relación entre ambas partes que cubra todas las áreas acordadas por Reino Unido en la Declaración Política para finales de 2020. El acuerdo resultante daría lugar a una situación muy diferente a la actual participación de Reino Unido en el Mercado Único Europeo y en el área de IVA e impuestos especiales.  Se espera también que se pongan barreras al comercio de bienes y servicios y a la movilidad e intercambios transfronterizos. Todo esto, en el contexto de presión bajo el que se encuentran todos los negocios debido a la pandemia del COVID-19, probablemente causará algunas disrupciones en enero de 2021.   

Se aconseja a los negocios que revisen sus planes de reacción previstos para el escenario de Brexit sin acuerdo. Mientras que las negociaciones todavía están en curso, dichos planes podrían ser todavía muy importantes para los cambios al final del período de transición. 

La Comisión Europea ha publicado información sobre los efectos que dichos cambios podrían tener en varias industrias, e implora a las empresas la implementación de las acciones que aseguren su preparación para el nuevo escenario. 

La Comisión Europea ha comunicado un resumen de los cambios que se esperan  tanto si hay como si no hay un acuerdo de colaboración futura entre Reino Unido y la UE. El 1 de enero de 2021 finalizará el período de transición que actualmente permite la participación de Reino Unido en el Mercado Único Europeo y la Unión Aduanera, lo que implicará el fin del libre movimiento de personas, bienes y servicios entre ambos territorios. Como resultado habrá muchos cambios automáticos. 

Desde marzo de 2020 la Unión Europea ha estado publicando artículos sobre la preparación específica para varias industrias. Hasta la fecha hay 59 artículos que cubren un amplio rango de industrias, y esta lista será actualizada de manera regular conforme otros nuevos se vayan lanzando. La Comisión Europea hace un llamamiento a todos los consumidores nacional y europeos, empresas y asociaciones para asegurar que todos los miembros son plenamente conscientes de los cambios que se esperan. Los cambios que tendrán lugar a partir del 1 de enero de 2021 serán automáticos, de gran alcance e inevitables, de carácter tanto logístico como legal, con lo que los efectos no deberían infravalorarse. En última instancia, las empresas necesitan realizar su propia evaluación de riesgos e implementar las acciones necesarias para confirmar su propia preparación.  

¿Cuáles son las implicaciones para la protección de datos?

Como informamos en nuestro blog en enero, la ICO lanzó un comunicado sobre las implicaciones del Brexit en protección de datos, donde se ofrecía una serie de orientaciones en la materia, a saber: 

Durante el período de transición:

  • El RGPD se continúa aplicando en Reino Unido.
  • No se necesita un representante europeo.
  • Las orientaciones sobre el RGPD de la ICO siguen siendo válidas.
  • Las transferencias de datos entre Reino Unido y Europa no están restringidas. 

Después del período de transición: 

  • El RGPD será llevado a la legislación nacional británica como el ‘RGPD de Reino Unido’ y Reino Unido tendrá independencia para mantener el marco bajo revisión.
  • Podría ser necesario nombrar un representante europeo.
  • La ICO no será institución reguladora ni autoridad de protección de datos para ninguna actividad específicamente europea que recaiga bajo la versión comunitaria del RGPD.
  • La DPA 2018 continuará siendo de aplicación.
  • La ICO seguirá siendo el cuerpo independiente de supervisión de la normativa de protección de datos británica.
  • Las transferencias de datos entre Reino Unido y Europa podrían estar limitadas y se podría precisar de la implementación de medidas y salvaguardas adecuadas.

¿Tratas datos personales en Reino Unido o transfieres datos personales entre Reino Unido y Europa? Si es así, el Brexit podría afectarte. Las evaluaciones de impacto de Aphaia y los servicios de subcontratación del Delegado de Protección de Datos y de adaptación al RGPD y a la Data Protection Act 2018 pueden ayudarte. Infórmate aquí.

anulación del EU-US Privacy Shield

Implicaciones prácticas de la anulación del EU-US Privacy Shield

El pasado 16 de julio, el Tribunal de Justicia de la UE publicó su sentencia en el conocido caso “Schrems II”, relativa a la anulación del EU-US Privacy Shield y confirmación de la validez de las Cláusulas Contractuales Tipo, aunque con algunas consideraciones. 

Después de que el abogado general del TJUE Henrik Saugmandsgaardøe publicase en enero su opinión sobre el caso Schrems II, ahora el TJUE ha emitido el fallo definitivo al respecto, procediendo a la anulación del Privacy Shield, y declara que las Cláusulas Contractuales Tipo continúan siendo válidas, si bien su uso se supedita al cumplimiento de una serie de condiciones.

¿Qué ha dicho el Tribunal?

Son dos las conclusiones principales que se derivan de la decisión del TJUE: 

1.El EU-US Privacy Shield ya no es un mecanismo válido para la transferencia de datos personales entre Europa y Estados Unidos. 

El EU-US Privacy Shield ha sido anulado con efectos inmediatos, y la principal razón en la que se ha basado el TJUE para ello es la existencia de los programas de vigilancia en Estados Unidos. Conforme al TJUE, los programas de vigilancia de Estados Unidos no se limitan a lo que es estrictamente necesario ni se llevan a cabo conforme al principio de proporcionalidad, como exige la ley europea, y además no hay medios efectivos en los Estados Unidos para asegurar cumplimiento con las provisiones de la ley europea cuando los datos de ciudadanos europeos se emplean con fines de vigilancia nacional. 

2. Las Cláusulas Contractuales Tipo continúan siendo válidas, pero con algunas importantes advertencias.

Ya no es suficiente con que el exportador y el importador de los datos lleguen a un acuerdo firmado, pues ahora la parte que exporta debe realizar una evaluación de hecho para comprobar si en la práctica se puede, efectivamente, cumplir con dicho contrato. Las empresas deberán, caso por caso, verificar si la ley del país receptor asegura una debida protección de los datos personales que sean transferidos bajo las Cláusulas Contractuales Tipo. Cuando no sea así, como ocurre con Estados Unidos, se deberán aplicar medidas y garantías adicionales a fin de alcanzar dicho nivel de protección.  En caso contrario, la transferencia deberá cesar. 

Las autoridades de control nacionales podrán suspender o prohibir las transferencias de datos a terceros países si no se puede garantizar la debida protección. Según las conclusiones del TJUE en relación con el Privacy Shield, parece difícil que las autoridades puedan evitar proceder en dicho sentido en lo que a las transferencias a Estados Unidos se refiere. La respuesta de las autoridades de control nacionales a esta decision del TJUE están todavía por ver.  

¿Qué dice el EDPS?

El  17 de julio, tras la sentencia del TJUE, el Supervisor Europeo de Protección de Datos (EDPS) que, junto al Comité Europeo de Protección de Datos (EDPB) había ya transmitido sus críticas sobre el Privacy Shield, lanzó un comunicado para apoyar la decision del Tribunal acerca de la importancia de mantener un alto nivel de protección de los datos personales que se transfieren a terceros países desde Europa. Sin embargo, también manifestó que confía en que “los Estados Unidos desplegarán todos sus esfuerzos y medios para avanzar hacia un marco integral de protección de datos y privacidad que cumpla con los requisitos de salvaguardas adecuadas exigidos por el Tribunal”. 

¿Qué dicen los gobiernos de los Países Miembro?

No todos se han pronunciado al respecto aún. Algunas autoridades de control, como la Irish Data Protection Commissioner y tres de Alemania (Federal DPA, DPA of Hamburg and DPA of Rheinland-Pfalz) han hecho ya públicas sus declaraciones. Se espera que las autoridades de control de otros Países Miembro procedan de forma similar pronto. 

En algunos casos las autoridades de control no han intervenido todavía pero sí lo ha hecho el Gobierno. Por ejemplo, el Gobierno de Reino Unido se ha mostrado a favor de la validez de las Cláusulas Contractuales Tipo. En su respuesta, señalan su compromiso “para asegurar altos estándares de protección de datos y apoyar a las organizaciones británicas en todo lo relacionado con las transferencias internacionales de datos”. Asimismo han anunciado que están trabajando junto a la ICO y otros equivalentes internacionales con la finalidad de abordar el impacto de la sentencia y ofrecer pronto unas guías actualizadas sobre la transferencia internacional de datos personales. 

¿Qué debería hacer ahora en relación con las transferencias de datos personales entre Europa y Estados Unidos?

Si estabas usando como base el Privacy Shield:

  • No firmes ningún nuevo acuerdo que se base en el Privacy Shield.
  • Revisa todos tus contratos actuales, especialmente aquellos más antiguos, tanto con tus proveedores como con tus clientes y cualquier tercera parte o encargado del tratamiento, a fin de identificar aquellos que se rigen por el Privacy Shield. Modifícalos para añadir Cláusulas Contractuales Tipo o cualquiera de las otras salvaguardas recogidas en el RGPD para las transferencias internacionales de datos. 

Si usas como base las Cláusulas Contractuales Tipo: 

Aunque se espera que la AEPD y otras autoridades de control europeas elaboren unas orientaciones detalladas pronto, conforme al TJUE se debería hacer lo siguiente cuando se transfieran datos personales a terceros países usando las Cláusulas Contractuales Tipo como mecanismo: 

  • Asegúrate de que se implementan de manera efectiva las medidas de seguridad y técnicas que garantizan un nivel adecuado de protección de los datos personales. Puede que necesites revisar las medidas que se aplican por el importador de los datos, o al menos recibir información detallada al respecto, y evaluar si son necesarias otras medidas adicionales para reforzar la seguridad, como tokenización o encriptado.  
  • Refuerza tus procesos de accountability o rendición de cuentas. No te limites a firmar un anexo en tus contratos donde añadas las Cláusulas Contractuales Tipo, sino analiza en detalle las medidas de seguridad reales y otros mecanismos empleados por el importador, además de la situación actual en el país de destino, especialmente en lo que concierne a la vigilancia. 

¿Qué podemos esperar en el futuro próximo?

Se espera que tanto la Comisión Europea como el Comité Europeo de Protección de Datos elaboren una serie de orientaciones en las próximas semanas. Aparte, la UE podría decidir renegociar una nueva versión del Privacy Shield que proporcione a los interesados unos derechos de privacidad reforzados bajo las leyes de vigilancia de Estados Unidos. Del mismo modo que el Privacy Shield fue aprobado diez meses después de que se anulase el Safe Harbor, ahora se podría dar lugar a un nuevo mecanismo que aborde las preocupaciones destacadas por el TJUE. Por otro lado, las Cláusulas Contractuales Tipo podrían ser pronto adaptadas a los requisitos del RGPD.  

¿Realizas transferencias internacionales de datos a terceros países? ¿Te afecta la Sentencia del caso “Schrems II”? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPAInfórmate aquí.