nuevas Cláusulas Contractuales Tipo

Se adoptan nuevas Cláusulas Contractuales Tipo para las transferencias internacionales de datos

Las nuevas Cláusulas Contractuales Tipo adoptadas por la Comisión Europea la semana pasada introducen mayores garantías legales y de privacidad para las transferencias internacionales de datos. 

 

Desde que el TJUE emitió el pasado julio su decisión sobre la transferencia de datos fuera de la UE por medio de Cláusulas Contractuales Tipo en el caso Schrems II, estas han sido uno de los principales temas de conversación en este campo. Numerosas empresas emplean SCCs para la transferencia de datos con diversas finalidades, incluidas, entre otras, el almacenamiento de datos, las finanzas y el marketing. Fue el pasado miércoles cuando la Comisión Europea anunció que adoptaría nuevas Cláusulas Contractuales Tipo el viernes 4 de junio. El Comisario Europeo de Justicia Didier Reynders dijo que estas nuevas SCCs “incorporan algunos elementos de  transparencia y rendición de cuentas en absoluto cumplimiento con el RGPD”, y añade que el objetivo es evitar un “Schrems III”. 

 

La Comisión Europea ha adoptado dos conjuntos de Cláusulas Contractuales Tipo que reflejan los nuevos requisitos bajo el RGPD. 

 

Las nuevas SCCs adoptadas por la Comisión Europea para la transferencia de datos a terceros países incorporan detalles de la sentencia del TJUE en el caso Schrems II y ofrecen una mayor practicidad legal para los negocios europeos. Las nuevas SCCs pretenden ayudar a las pequeños y medianas empresas a realizar transferencias de datos en cumplimiento con los requisitos de seguridad. Ofrecen a las compañías una plantilla que es fácil de implementar y permite el libre movimiento de datos entre las fronteras, sin barreras legales. 

 

La Comisión Europea también ha adoptado otro conjunto de Cláusulas Contractuales Tipo para las relaciones entre responsables y encargados dentro de la Unión Europea, conforme al Artículo 28 RGPD.  

 

Las nuevas SCCs son más prácticas y flexibles para cubrir un amplio rango de posibles transferencias.

 

Las nuevas Cláusulas Contractuales Tipo incluyen una perspectiva de los diferentes pasos que las empresas tendrán que implementar conforme con la sentencia del caso Schrems II y lo complementan con ejemplos de posibles medidas complementarias que pueden ser necesarias para asegurar absoluto cumplimiento. Estas medidas complementarias pretenden reforzar la protección de datos en las transferencias de datos a terceros países que no se consideran con un nivel adecuado de protección, e incluyen cifrado y pseudonimización de los datos, que pueden evitar que los mismos se atribuyan a un sujeto específico sin emplear detalles adicionales. Las nuevas SCCs adoptadas por la Comisión Europea cubren un amplio rango de escenarios, todos en una única herramienta práctica.  

 

Se establece un período de transición de 18 meses para los responsables y encargados que estén utilizando las anteriores SCCs. 

Desde la sentencia del TJUE el pasado verano, muchas empresas han estado empleando Cláusulas Contractuales Tipo para facilitar sus transferencias de datos a terceros países. Tras la anulación del EU-US Privacy Shield el pasado julio, el tribunal confirmó la validez de las Cláusulas Contractuales Tipo para la transferencia de datos fuera de la UE. Sin embargo, se señaló también que en muchos casos las SCCs no ofrecían en sí mismas suficiente protección para los datos personales. Estas, ahora antiguas, SCCs se encuentran actualmente en uso por la mayoría de empresas que efectúan transferencias de datos a terceros países. La Comisión Europea ha confirmado que estas SCCs pueden seguir en uso durante los próximos 18 meses, período durante el cual las organizaciones tendrán que efectuar la transición a las nuevas SCCs adoptadas el pasado viernes. 

¿Realizas transferencias internacionales de datos a terceros países?  Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPAInfórmate aquí.

Facebook pierde la partida

Facebook pierde la partida y el tribunal falla a favor de la autoridad de control de Irlanda

Facebook pierde la partida y el tribunal falla a favor de la decisión de la autoridad de control de Irlanda para investigar y suspender las transferencias de datos de Facebook a Estados Unidos. 

 

Tras la sentencia del caso Schrems II del pasado julio, la autoridad de control de Irlanda (Data Protection Commission, “DPC”) inició una investigación sobre Facebook Ireland Ltd y suspendió sus flujos de datos entre Europa y Estados Unidos. Facebook se opuso a la decisión y en consecuencia la recurrió, afirmando que tanto la misma como los procedimientos después adoptados eran susceptibles de revisión judicial. Parece que esta larga batalla legal sobre el derecho de Facebook Ireland para continuar realizando transferencias a Estados Unidos está llegando a su fin. Se espera que esta resolución que reafirma la suspensión de los flujos de datos de Facebook Ireland entre Europa y Estados Unidos tenga importantes efectos en las operaciones de Facebook.  

 

Esta decisión es la culminación de una batalla legal que ha durado ocho años desde que se inició en 2013 mediante una queja presentada por Max Schrems.

 

Facebook Ireland es la filial de la empresa estadounidense que proporciona las redes sociales de Facebook e Instagram en Europa. La administración y la sede central se encuentran en Dublín. En junio de 2013, Mr Maximilian Schrems presentó una queja frente a la autoridad de control de Irlanda en relación a la transferencia de datos personales a Estados Unidos efectuada por Facebook Ireland, alegando que infringía el derecho nacional y el derecho comunitario, y en octubre de 2013 el DPC informó de que se investigaría la materia “rápidamente con toda la debida diligencia y velocidad”. En mayo de 2016 la DPC remitió a Facebook Ireland y a Mr Schrems su borrador de decisión donde establecía que las Cláusulas Contractuales Tipo no podían aplicarse en relación a la transferencia de datos personales de ciudadanos europeos a Estados Unidos. En julio de 2020, el TJUE emitió su fallo por el cual se indicaba que, conforme al RGPD, los residentes europeos cuyos datos personales se transfieran a un tercer país mediante Cláusulas Contractuales Tipo deben recibir el mismo nivel de protección garantizado por la Unión Europea y el RGPD. Dado que las autoridades estadounidenses no quedan obligadas por las Cláusulas Contractuales Tipo, los datos que allí se transfieran podrían no protegerse de manera suficiente y adecuada. Como resultado, la autoridad de control de Irlanda lanzó una investigación y tomó la medida preliminar de suspender las transferencias de datos de Facebook a Estados Unidos, la cual después Facebook impugnó.  

 

Facebook recurrió la decisión de la autoridad de control de Irlanda y alegó que deberían haber esperado a las recomendaciones del CEPD. 

 

Facebook recurrió la decisión preliminar, al igual que la investigación, y alegó que la autoridad de control de Irlanda debería haber esperado a las recomendaciones del Comité Europeo de Protección de Datos antes de iniciar la investigación y ordenar la suspensión de las transferencias de datos. La compañía afirmó que, como miembro del CEPD, la autoridad de control de Irlanda habría recibido orientaciones inminentes por parte del CEPD y en consecuencia no debería haber actuado antes de ello. Esta guía fue publicada en noviembre de 2020 y el 14 de mayo de 2021, el Alto Tribunal recogió en su fallo que Facebook Ireland “no ha establecido ninguna base para impugnar la decisión o los procedimientos de investigación de la DPC.” El juez rechazó las argumentaciones de Facebook sobre la actuación de la autoridad de control de Irlanda fuera del marco de sus funciones en relación a la manera en que se estaba llevando el caso. Sin embargo, el juez David Barnaville apuntó que la autoridad de control de Irlanda debería haber respondido a ciertas cuestiones planteadas por Facebook en octubre de 2020 por medio de correspondencia. 

Facebook no gana la batalla, pues la decisión del tribunal otorga a la autoridad de control de Irlanda el derecho a abrir una segunda investigación contra Facebook bajo voluntad propia.  

 

Esta larga batalla llega a su fin, con el resultado inevitable de la suspensión de las transferencias de datos a Estados Unidos realizadas por Facebook. Una segunda investigación bajo voluntad propia se ha iniciado y está en proceso de manera simultánea a la queja original presentada en 2013 y que condujo a la decisión del TJUE sobre el caso Schrems II. En relación al recurso de Facebook sobre la decisión de la autoridad de control de Irlanda, el Alto Tribunal, en su documento de 127 páginas donde efectúa la revisión judicial del caso, rechaza los argumentos de Facebook. Así, ocho años después de la queja inicial, es ahora firme que la autoridad de control de Irlanda tendrá que actuar para parar las transferencias de datos de Facebook entre Europa y Estados Unidos. Esta decisión tendrá probablemente un fuerte impacto en las operaciones y actividades de Facebook. A pesar de ello, la empresa insiste en que defenderán su cumplimiento frente a la autoridad de control de Irlanda. 

 

¿Realizas transferencias internacionales de datos a terceros países? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de transferencias de datos y subcontratación del Delegado de Protección de DatosInfórmate aquí.

Novedades sobre las SCCs

Novedades sobre las SCCs y el Privacy Shield, ¿qué podemos esperar?

Las novedades sobre las SCCs y el Privacy Shield son en ambos casos de suma importancia para los flujos de datos transatlánticos, aunque por ahora el foco se sitúa únicamente en las SCCs. 

 

Casi un año después de la sentencia del TJUE sobre el caso “Schrems II”, un nuevo EU-US Privacy Shield podría aun estar lejos. Sin embargo, con las Cláusulas Contractuales Tipo (SCCs) ratificadas como instrumento válido para las transferencias internacionales de datos y su amplio uso a tales efectos, parece que podríamos esperar pronto un nuevo conjunto de SCCs. Conforme a este artículo de la IAPP, unas nuevas SCCs podrían aprobarse en cuestión de semanas.. Bruno Gencarelli, Responsable de Flujos de Datos Internacionales y Protección, afirmó que “Es una cuestión de semanas que adoptemos unas nuevas SCCs modernizadas que estén alineadas con el RGPD y mejor adaptadas a la realidad de la economía digital de hoy en día”.  

 

Se espera que las nuevas Cláusulas Contractuales Tipo estén disponibles pronto, y hasta entonces la Comisión Europea valora el feedback recibido sobre el borrador de las mismas. 

 

A raíz de la sentencia sobre el caso Schrems II, las SCCs fueron ratificadas pero con algunas advertencias. Desde entonces, se han estado empleando para facilitar y cubrir los flujos de datos entre Europa y Estados Unidos, sin embargo no sin algunos incidentes. Mientras que los profesionales de privacidad siguen esperando información más concluyente sobre los flujos de datos a terceros países, se han dado ahora algunos desarrollos de relevancia. Durante el Evento sobre Privacidad Global de la IAPP que tuvo lugar online, Bruno Gencarelli informó de que las Cláusulas Contractuales Tipo se actualizarán pronto. Basándose en el feedback recibido por la Comisión Europea, Gencarelli, ha indicado que el borrador sobre las SCCs ha sido un “enorme éxito” y ha añadido que la Comisión está valorando dicho feedback con mucha seriedad. El proceso que se encuentra en marcha pretende modernizar las SCCs para que se adapten mejor al tamaño y complejidad del contexto actual. 

 

Cristina Contero Almagro, socia de Aphaia, indica que “se trata de una actualización muy esperada que ayudará a unificar el criterio dispar que las autoridades de control europea han estado aplicando tras la sentencia en el caso Schrems II, como hemos visto recientemente con el ejemplo de la autoridad de control de Baviera y la de Francia”.

Se intensifica la negociación sobre el reemplazo del Privacy Shield, pero los avances en este sentido aún están lejos de materializarse.

 

Mientras que existe voluntad por ambas partes para alcanzar un acuerdo sobre un reemplazo del Privacy Shield, se trata de alcanzar un equilibrio entre la privacidad y la seguridad nacional, lo que lo convierte en una situación delicada y compleja. Desde Schrems II, las SCCs están resultando útiles pero no siempre son suficientes. Si bien ambas partes pretenden crear un reemplazo duradero para el Privacy Shield que pueda hacer frente a los desafíos legales y el escrutinio político, se está negociando para encontrar una solución que satisfaga las necesidades de las dos partes en relación a la privacidad y la seguridad nacional. 

 

¿Realizas transferencias internacionales de datos a terceros países? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de transferencias de datos y subcontratación del Delegado de Protección de DatosInfórmate aquí.

La autoridad de control de Portugal ordena al Instituto de Estadística suspender todas las transferencias internacionales de datos en un plazo de 12 horas

A principios de esta semana, la autoridad de control de Portugal ordenó al Instituto de Estadística suspender todas las transferencias de datos a terceros países en un plazo de 12 horas.

La autoridad de control de Portugal (CNPD) ha ordenado al Instituto de Estadística (INE) suspender todas las transferencias internacionales de datos relacionadas con el censo en un plazo de 12 horas por no ofrecer un nivel adecuado de protección para las mismas, conforme informa la IAPP. Tras recibir varias quejas sobre las condiciones de recogida de datos mediante internet, la autoridad de control llevó a cabo una breve investigación, lo que reveló que el INE usaba Cloudfare Inc, una empresa de seguridad estadounidense, para gestionar las encuestas del censo. Dada la naturaleza de los servicios ofrecidos por Cloudfare, la empresa está directamente sujeta a la legislación sobre vigilancia con fines de seguridad nacional.

Aunque las transferencias internacionales se basaban en SCC, se concluyó que los datos no se encontraban debidamente protegidos.

Incluso en los casos en que las transferencias se encontraban cubiertas por Cláusulas Contractuales Tipo, las autoridades de control se ven obligadas a suspender o prohibir las transferencias de datos cuando no existan garantías de que los datos personales quedarán en el país de destino sujetos a un nivel de protección similar al de la Unión Europea. Las autoridades de vigilancia de Estados Unidos imponen a ciertas empresas una obligación legal de conceder a las autoridades estadounidenses acceso ilimitado a los datos que traten sin poder informar a los sujetos afectados al respecto. Dado que CloudfareInc. se encuentra sujeta a dicha normativa y trata grandes cantidades de datos personales de ciudadanos portugueses, la transferencia presentaba un alto riesgo.

La CNPD ordenó al Instituto de Estadística el cese de todas las transferencias internacionales de datos en un plazo de 12 horas debido a la naturaleza sensible de la información recogida.

La recogida de datos por parte del INE con el fin de elaborar el censo comenzó el 19 de abril y se esperaba que estuviese completada para el 3 de mayo. Sin embargo, debido a las quejas recibidas por la CNPD en la primera semana, se ordenó el cese de las transferencias en un plazo de 12 horas. La principal razón para la orden de cese fue, además de la gran cantidad de datos tratados, la naturaleza sensible de los mismos, pues incluía información como creencias religiosas y salud.

En los últimos meses, varias autoridades de control de Europa han lidiado con casos similares.

En los últimos meses otras autoridades de control europeas como España y Alemania han tomado acciones similares en relación a la transferencia de datos sobre la base de Cláusulas Contractuales Tipo. Las transferencias a Estados Unidos o a cualquier otro tercer país que no ha sido reconocido con un nivel adecuado de protección de datos pueden presentar problemas, y el riesgo es especialmente alto cuando se trata de categorías especiales de datos, como en este caso. Cuando se realicen transferencias internacionales de datos es extremadamente importante que se garantice, mediante medidas adicionales, un nivel de protección de datos equivalente al que ofrece la normativa europea.

¿Realizas transferencias internacionales de datos a terceros países? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de transferencias de datos y subcontratación del Delegado de Protección de DatosInfórmate aquí.