La autoridad de control de Portugal ordena al Instituto de Estadística suspender todas las transferencias internacionales de datos en un plazo de 12 horas

A principios de esta semana, la autoridad de control de Portugal ordenó al Instituto de Estadística suspender todas las transferencias de datos a terceros países en un plazo de 12 horas.

La autoridad de control de Portugal (CNPD) ha ordenado al Instituto de Estadística (INE) suspender todas las transferencias internacionales de datos relacionadas con el censo en un plazo de 12 horas por no ofrecer un nivel adecuado de protección para las mismas, conforme informa la IAPP. Tras recibir varias quejas sobre las condiciones de recogida de datos mediante internet, la autoridad de control llevó a cabo una breve investigación, lo que reveló que el INE usaba Cloudfare Inc, una empresa de seguridad estadounidense, para gestionar las encuestas del censo. Dada la naturaleza de los servicios ofrecidos por Cloudfare, la empresa está directamente sujeta a la legislación sobre vigilancia con fines de seguridad nacional.

Aunque las transferencias internacionales se basaban en SCC, se concluyó que los datos no se encontraban debidamente protegidos.

Incluso en los casos en que las transferencias se encontraban cubiertas por Cláusulas Contractuales Tipo, las autoridades de control se ven obligadas a suspender o prohibir las transferencias de datos cuando no existan garantías de que los datos personales quedarán en el país de destino sujetos a un nivel de protección similar al de la Unión Europea. Las autoridades de vigilancia de Estados Unidos imponen a ciertas empresas una obligación legal de conceder a las autoridades estadounidenses acceso ilimitado a los datos que traten sin poder informar a los sujetos afectados al respecto. Dado que CloudfareInc. se encuentra sujeta a dicha normativa y trata grandes cantidades de datos personales de ciudadanos portugueses, la transferencia presentaba un alto riesgo.

La CNPD ordenó al Instituto de Estadística el cese de todas las transferencias internacionales de datos en un plazo de 12 horas debido a la naturaleza sensible de la información recogida.

La recogida de datos por parte del INE con el fin de elaborar el censo comenzó el 19 de abril y se esperaba que estuviese completada para el 3 de mayo. Sin embargo, debido a las quejas recibidas por la CNPD en la primera semana, se ordenó el cese de las transferencias en un plazo de 12 horas. La principal razón para la orden de cese fue, además de la gran cantidad de datos tratados, la naturaleza sensible de los mismos, pues incluía información como creencias religiosas y salud.

En los últimos meses, varias autoridades de control de Europa han lidiado con casos similares.

En los últimos meses otras autoridades de control europeas como España y Alemania han tomado acciones similares en relación a la transferencia de datos sobre la base de Cláusulas Contractuales Tipo. Las transferencias a Estados Unidos o a cualquier otro tercer país que no ha sido reconocido con un nivel adecuado de protección de datos pueden presentar problemas, y el riesgo es especialmente alto cuando se trata de categorías especiales de datos, como en este caso. Cuando se realicen transferencias internacionales de datos es extremadamente importante que se garantice, mediante medidas adicionales, un nivel de protección de datos equivalente al que ofrece la normativa europea.

¿Realizas transferencias internacionales de datos a terceros países? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de transferencias de datos y subcontratación del Delegado de Protección de DatosInfórmate aquí.

Las Cláusulas Contractuales

Las Cláusulas Contractuales Tipo podrían no ser suficiente, tal y como sugiere una resolución reciente de la autoridad de control de Baviera

La autoridad de control de Baviera ha requerido a una empresa alemana que deje de usar Mailchimp, a pesar de estar aplicando Cláusulas Contractuales Tipo. 

 

Son ya varios los ejemplos prácticos que se han derivado de la aplicación del caso Schrems II. Uno de los más recientes se encuentra en Alemania, donde la autoridad de control de Baviera ha requerido a una empresa de publicidad que deje de usar Mailchimp, la popular plataforma estadounidense de email marketing. A pesar de que la transferencia de datos a Mailchimp, y por extensión a Estados Unidos, se basaba en Cláusulas Contractuales Tipo, el tribunal ha considerado que no era legítima. Se determinó que la empresa no había llevado a cabo diligencia debida en relación a la comprobación de que los datos se encontrasen protegidos de manera adecuada de cualquier solicitud de acceso por parte de las autoridades de vigilancia de Estados Unidos.  

 

Mientras que las transferencias de datos realizadas por la empresa alemana se basaban en las Cláusulas Contractuales Tipo, la autoridad de control de Baviera indicó que no se había aplicado la correspondiente diligencia debida. 

 

La queja presentada contra la compañía de publicidad alemana frente a la autoridad de control de Baviera se basaba en su uso ocasional de Mailchimp para la newsletter. Las transferencias de datos a Mailchimp que efectuaba la reclamada se encontraban cubiertas por las Cláusulas Contractuales Tipo. Sin embargo, bajo la ley de vigilancia estadounidense FISA 702, Mailchimp se cataloga como un “proveedor de servicios de comunicaciones electrónicas”, lo que sitúa a las direcciones de email transferidas en riesgo de acceso por parte de los servicios de inteligencia estadounidenses. La autoridad de control de Baviera estableció que se requerían pasos adicionales en lo que respecta a la diligencia debida a fin de identificar qué medidas adicionales deberían adoptarse para asegurar que los datos transferidos a Mailchimp se encuentran protegidos de los programas de vigilancia estadounidenses.  

 

Tras la resolución de la autoridad de control de Baviera, la compañía ha dejado de utilizar Mailchimp con efecto inmediato, a fin de evitar así posibles multas. 

 

La empresa alegó que su uso de Mailchimp era legítimo conforme al Artículo 44 del RGPD. El considerando 102 recoge que “Los Estados miembros pueden celebrar acuerdos internacionales que impliquen la transferencia de datos personales a terceros países u organizaciones internacionales siempre que dichos acuerdos no afecten al presente Reglamento ni a ninguna otra disposición del Derecho de la Unión e incluyan un nivel adecuado de protección de los derechos fundamentales de los interesados”. En este caso, se falló que esta compañía alemana no podía proteger adecuadamente los derechos fundamentales de los sujetos afectados porque no había protegido los datos de manera suficiente frente al potencial acceso de los programas de vigilancia estadounidenses. Así por tanto, la compañía de publicidad cesó inmediatamente en su uso de Mailchimp para la newsletter, con el objetivo de evitar que la autoridad de control de Baviera le impusiese una multa. 

 

Esta resolución de la autoridad de control de Baviera ofrece más contexto sobre la aplicación de Schrems II. 

 

Esta resolución de la autoridad de control de Baviera arroja más luz para aquellas empresas que estén transfiriendo datos con las Cláusulas Contractuales Tipo como mecanismo de protección, pues en ocasiones estas no serán suficientes. Se deberá aplicar diligencia debida para las transferencias de datos fuera de Europa o de Reino Unido. Debido a las leyes de vigilancia de terceros países, que podrían no ser compatibles con aquellas de Europa o de Reino Unido, podrían necesitarse medidas suplementarias para proteger de forma adecuada los datos que se transfieren a proveedores que se encuentren en dichos terceros países. 

¿Realizas transferencias internacionales de datos a terceros países? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de transferencias de datos y subcontratación del Delegado de Protección de DatosInfórmate aquí.

Una resolución de un tribunal de Francia arroja más contexto sobre la aplicación del caso “Schrems II” bajo el RGPD.

Una resolución de un tribunal de Francia arroja más orientaciones sobre la aplicación del caso “Schrems II” al considerar que los datos almacenados por una filial de una empresa de Estados Unidos se encuentran suficientemente protegidos. 

 

El más alto tribunal administrativo de Francia emitió a principios de mes una resolución en la que determinaba que una plataforma de reservas para vacunación del COVID-19 alojada en Amazon Web Service, también conocido como AWS, se encontraba suficientemente protegida bajo el RGPD. Inicialmente se plantearon algunas cuestiones en torno a si el uso de los servidores de Amazon Web Services como plataforma para el almacenamiento de los datos era compatible con el RGPD tras la sentencia “Schrems II”, dado que el encargado de tratamiento estaría sujeto a la normativa estadounidense. La resolución final en este caso se basó en el hecho de que el Tribunal considera que existen suficientes garantías técnicas y legales en caso de que las autoridades estadounidenses solicitasen acceso a los datos. Este hecho ofrece contexto alrededor de la aplicación de “Schrems II” y tiene grandes implicaciones para muchas empresas, a la vez que subraya la necesidad de aplicar salvaguardas adicionales cuando los datos son tratados por una filial de una empresa no europea.  

 

Se determinó que si bien se trata de una preocupación común, los datos de salud alojados por una empresa sujeta a la normativa estadounidense se encontraban lo suficientemente protegidos bajo el RGPD.  

 

Los demandantes alegaron en este caso que el almacenamiento de datos por una empresa sujeta a la normativa estadounidense presentaba varios riesgos, no sólo la transferencia de datos a Estados Unidos, sino también el posible acceso a dichos datos por parte de las autoridades estadounidenses si así se solicitase. Los demandantes lo consideraron un asunto sensible y de urgencia dado el nivel de riesgo percibido. Sin embargo, lo que en principio se señaló como una posible brecha del RGPD bajo “Schrems II”, finalmente resultó en cumplimiento con la normativa, pues se valoró que los datos estaban suficientemente protegidos conforme al RGPD en virtud de las extensas medidas legales y técnicas aplicadas por el demandado, Doctolib. Así por tanto, el juez falló en contra de la solicitud de los demandantes para suspender el servicio.

 

La resolución del tribunal de Francia fue el resultado de una detallada evaluación de las medidas técnicas y legales incluidas en el acuerdo entre las partes. 

 

La resolución del tribunal de Francia se emitió tras llevar a cabo una detallada evaluación de las medidas técnicas y legales y de otras garantías acordadas por Doctolib y Amazon Web Services. El análisis determinó que el contrato entre ambas partes incluía varias provisiones en este sentido, y consideraba un procedimiento específico en caso de solicitudes de acceso por parte de un tercer país. La garantía legal aportada aquí consiste en que se cuestionarán y rebatirán todas las solicitudes de acceso que el encargado reciba por parte de las autoridades. El juez también valoró que los datos estuviesen encriptados con la clave en manos de un tercero de confianza y no Amazon Web Services. Además, se observe que los datos transmitidos a Doctolib a través de la campaña de vacunación no contenían información sensible sobre salud que especificase, por ejemplo, que un cierto candidato tiene prioridad para la vacunación debido a determinada condición pre existente. Como medida extra, cualquier dato introducido por los usuarios con la finalidad de identificación para conseguir una cita de vacunación es eliminado como mucho tres meses después de la misma. 

 

El Dr Bostjan Makarovic, Socio Gerente de Aphaia, apunta que: “La resolución deja entrever que hay espacio para la coherencia en la aplicación de Schrems II, lo cual debería en términos generales percibirse como buenas noticias para la industria online”. 

Cristina Contero Almagro, socia de Aphaia, señala que: “Es muy importante que las empresas lleven a cabo un análisis de sus flujos de datos, los países involucrados y las medidas que deben aplicarse según el riesgo identificado; esto es lo que se denomina ‘Evaluación de Impacto de Transferencias de Datos”. 

Este caso destaca la necesidad de contar con garantías técnicas y legales, las cuales deberían aplicarse incluso cuando los datos no se transfieren fuera de la UE. 

 

Uno de los elementos principales de cumplimiento con “Schrems II” reside en las medidas técnicas como la pseudonimización y la encriptación, junto a la confirmación de que el encargado no tiene manera de acceder a la clave de descifrado, especialmente cuando las autoridades podrían acceder a la misma. Las garantías legales, como aquellas tomadas por . Doctolib, son también especiales. Mientras las nuevas Cláusulas Contractuales Tipo recientemente publicadas por la Comisión Europea contienen provisiones similares, se recomienda, en previsión de las mismas, que las empresas incluyan cláusulas alrededor de este tipo de garantías en un anexo específico, incluso en los casos en que no hay transferencia de datos fuera de la UE. 

 

¿Realizas transferencias internacionales de datos a terceros países? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de transferencias de datos y subcontratación del Delegado de Protección de DatosInfórmate aquí.

Cláusulas Contractuales Tipo

La Comisión Europea publica una propuesta de nuevas Cláusulas Contractuales Tipo

El pasado 12 de noviembre, la Comisión Europea publicó el borrador de decisión mediante la cual se proponen unas nuevas Cláusulas Contractuales Tipo para la transferencia de datos personales a terceros países.

La sentencia del TJUE sobre el caso Schrems II ha puesto de manifiesto algunas deficiencias presentes en las salvaguardas aplicadas a las transferencias de datos internacionales. Además de anular el Privacy Shield, el Tribunal estipuló que se requerían algunas medidas adicionales para que las Cláusulas Contractuales Tipo (SCCs) ofreciesen consistencia suficiente para garantizar que los interesados reciben un nivel de protección de sus datos personales equivalente a aquel garantizado por el RGPD y la Carta Europea de Derechos Fundamentales.  

Puedes leer más sobre las implicaciones prácticas de la sentencia Schrems II en nuestro blog.

¿Cuáles son las novedades?

En respuesta a las advertencias señaladas por el TJUE en relación al uso de SCCs, la Comisión Europea ha publicado un borrador de decisión que contiene un conjunto de nuevas cláusulas para transferencias de datos personales a terceros países, e incluye cinco cambios principales respecto de las actuales cláusulas aprobadas bajo la Directiva 95/46/CE: 

  • Enfoque modular para cubrir diferentes escenarios de transferencias, incluidas aquellas entre encargado y responsable y encargado y sub-encargado. 
  • Se podrían adherir a las SCC más de dos partes, y responsables y encargados adicionales podrían acceder a las mismas en cualquier momento del ciclo de vida del contrato. 
  • Deberían ofrecerse salvaguardas adicionales para garantizar un nivel de protección de datos personales equivalente al que garantiza el RGPD. 
  • Si lo solicitasen, los interesados deberían recibir una copia de las SCC. Asimismo, tendrían que ser notificados de cada cambio de finalidad y de la identidad de cualquier tercero a quienes se le enviasen los datos. 
  • El importador de los datos tendría que aportar a los sujetos, de manera transparente y mediante un formato accesible que puede ser notificación individual o publicación en la página web, de un punto de contacto autorizado para gestionar las quejas o solicitudes. 

Enfoque modular y ámbito territorial

Las nuevas SCCs han sido concebidas para suplir algunas de las deficiencias de las actuales cláusulas, como lo es la limitación en el tipo de transferencias que hasta ahora han podido encuadrarse en este instrumento. Mientras que las actuales cláusulas fueron diseñadas para respaldar las transferencias internacionales entre, por un lado, responsables europeos y responsables no europeos y, por otro, entre responsables europeos y encargados no europeos, las nuevas combinan un conjunto de cláusulas generales con otras modulares que permitirían a los responsables y encargados seleccionar el módulo aplicable a su situación y adaptar sus obligaciones a las correspondientes funciones y responsabilidades. En cuanto a las restricciones geográficas, las nuevas SCC no requieren que el exportador esté en la Zona Económica Europea, lo cual también aumenta el número de escenarios que podrían someterse a esta salvaguarda.  

Salvaguardas adicionales

Las nuevas SCCs estipulan algunas obligaciones que deberían cumplir las partes a fin de garantizar un nivel adecuado de protección de los datos personales. Las medidas adicionales que las nuevas SCC impondrían son, entre otras, las siguientes: 

  • Aplicación de requisitos adicionales para acordar cómo se gestionarían las solicitudes vinculantes de cesión de datos emitidas por las autoridades del tercer país.
  • Evaluación de riesgo realizada por el exportador para determinar si existen razones que pueden hacer creer que las leyes aplicables al importador de los datos no se ajustan a los requisitos recogidos en las SCCs. A este fin, deberían considerarse algunos elementos clave, como:
    • Duración del contrato.
    • Naturaleza de los datos transferidos.
    • Tipo de receptor.
    • Finalidad del tratamiento.
    • Cualquier experiencia práctica que pueda ser relevante e indique la existencia o ausencia de solicitudes precias de cesión de datos por parte de autoridades públicas recibidas por el importador para los tipos de datos transferidos. 
    • Leyes del país de destino que sean relevantes a la luz de las circunstancias de la transferencia. 
    • Medidas técnicas y organizativas que se apliquen durante la transmisión y tratamiento de los datos. 
  • Obligación del importador de notificar al exportador cualquier solicitud vinculante de cesión de datos emitida por una autoridad pública bajo la ley del país de destino o informar sobre cualquier acceso directo a los datos por parte de dichas autoridades. 

Período de gracia

Una vez aprobadas, estas SCCs reemplazarían a las actuales. Se ofrece a estos efectos un período de gracia de un año para incorporar las nuevas cláusulas a los contratos correspondientes. Durante este período, se podrán seguir realizando transferencias sobre la base de las actuales SCCs, excepto que dichos contratos se modifiquen.  En tal caso, las partes perderán el beneficio del período de gracia y deberán adoptar las nuevas cláusulas. Si la modificación de los contratos se hace a los solos efectos de introducir medidas de salvaguarda adicionales conforme a la sentencia del caso Schrems II, las partes podrán seguir beneficiándose del período de gracia.  

 

El borrador queda abierto a consulta pública hasta el 10 de diciembre.

 

¿Realizas transferencias internacionales de datos a terceros países?  Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPAInfórmate aquí.