El pasado 16 de julio, el Tribunal de Justicia de la UE publicó su sentencia en el conocido caso “Schrems II”, relativa a la anulación del EU-US Privacy Shield y confirmación de la validez de las Cláusulas Contractuales Tipo, aunque con algunas consideraciones.
Después de que el abogado general del TJUE Henrik Saugmandsgaardøe publicase en enero su opinión sobre el caso Schrems II, ahora el TJUE ha emitido el fallo definitivo al respecto, procediendo a la anulación del Privacy Shield, y declara que las Cláusulas Contractuales Tipo continúan siendo válidas, si bien su uso se supedita al cumplimiento de una serie de condiciones.
¿Qué ha dicho el Tribunal?
Son dos las conclusiones principales que se derivan de la decisión del TJUE:
1.El EU-US Privacy Shield ya no es un mecanismo válido para la transferencia de datos personales entre Europa y Estados Unidos.
El EU-US Privacy Shield ha sido anulado con efectos inmediatos, y la principal razón en la que se ha basado el TJUE para ello es la existencia de los programas de vigilancia en Estados Unidos. Conforme al TJUE, los programas de vigilancia de Estados Unidos no se limitan a lo que es estrictamente necesario ni se llevan a cabo conforme al principio de proporcionalidad, como exige la ley europea, y además no hay medios efectivos en los Estados Unidos para asegurar cumplimiento con las provisiones de la ley europea cuando los datos de ciudadanos europeos se emplean con fines de vigilancia nacional.
2. Las Cláusulas Contractuales Tipo continúan siendo válidas, pero con algunas importantes advertencias.
Ya no es suficiente con que el exportador y el importador de los datos lleguen a un acuerdo firmado, pues ahora la parte que exporta debe realizar una evaluación de hecho para comprobar si en la práctica se puede, efectivamente, cumplir con dicho contrato. Las empresas deberán, caso por caso, verificar si la ley del país receptor asegura una debida protección de los datos personales que sean transferidos bajo las Cláusulas Contractuales Tipo. Cuando no sea así, como ocurre con Estados Unidos, se deberán aplicar medidas y garantías adicionales a fin de alcanzar dicho nivel de protección. En caso contrario, la transferencia deberá cesar.
Las autoridades de control nacionales podrán suspender o prohibir las transferencias de datos a terceros países si no se puede garantizar la debida protección. Según las conclusiones del TJUE en relación con el Privacy Shield, parece difícil que las autoridades puedan evitar proceder en dicho sentido en lo que a las transferencias a Estados Unidos se refiere. La respuesta de las autoridades de control nacionales a esta decision del TJUE están todavía por ver.
¿Qué dice el EDPS?
El 17 de julio, tras la sentencia del TJUE, el Supervisor Europeo de Protección de Datos (EDPS) que, junto al Comité Europeo de Protección de Datos (EDPB) había ya transmitido sus críticas sobre el Privacy Shield, lanzó un comunicado para apoyar la decision del Tribunal acerca de la importancia de mantener un alto nivel de protección de los datos personales que se transfieren a terceros países desde Europa. Sin embargo, también manifestó que confía en que “los Estados Unidos desplegarán todos sus esfuerzos y medios para avanzar hacia un marco integral de protección de datos y privacidad que cumpla con los requisitos de salvaguardas adecuadas exigidos por el Tribunal”.
¿Qué dicen los gobiernos de los Países Miembro?
No todos se han pronunciado al respecto aún. Algunas autoridades de control, como la Irish Data Protection Commissioner y tres de Alemania (Federal DPA, DPA of Hamburg and DPA of Rheinland-Pfalz) han hecho ya públicas sus declaraciones. Se espera que las autoridades de control de otros Países Miembro procedan de forma similar pronto.
En algunos casos las autoridades de control no han intervenido todavía pero sí lo ha hecho el Gobierno. Por ejemplo, el Gobierno de Reino Unido se ha mostrado a favor de la validez de las Cláusulas Contractuales Tipo. En su respuesta, señalan su compromiso “para asegurar altos estándares de protección de datos y apoyar a las organizaciones británicas en todo lo relacionado con las transferencias internacionales de datos”. Asimismo han anunciado que están trabajando junto a la ICO y otros equivalentes internacionales con la finalidad de abordar el impacto de la sentencia y ofrecer pronto unas guías actualizadas sobre la transferencia internacional de datos personales.
¿Qué debería hacer ahora en relación con las transferencias de datos personales entre Europa y Estados Unidos?
Si estabas usando como base el Privacy Shield:
- No firmes ningún nuevo acuerdo que se base en el Privacy Shield.
- Revisa todos tus contratos actuales, especialmente aquellos más antiguos, tanto con tus proveedores como con tus clientes y cualquier tercera parte o encargado del tratamiento, a fin de identificar aquellos que se rigen por el Privacy Shield. Modifícalos para añadir Cláusulas Contractuales Tipo o cualquiera de las otras salvaguardas recogidas en el RGPD para las transferencias internacionales de datos.
Si usas como base las Cláusulas Contractuales Tipo:
Aunque se espera que la AEPD y otras autoridades de control europeas elaboren unas orientaciones detalladas pronto, conforme al TJUE se debería hacer lo siguiente cuando se transfieran datos personales a terceros países usando las Cláusulas Contractuales Tipo como mecanismo:
- Asegúrate de que se implementan de manera efectiva las medidas de seguridad y técnicas que garantizan un nivel adecuado de protección de los datos personales. Puede que necesites revisar las medidas que se aplican por el importador de los datos, o al menos recibir información detallada al respecto, y evaluar si son necesarias otras medidas adicionales para reforzar la seguridad, como tokenización o encriptado.
- Refuerza tus procesos de accountability o rendición de cuentas. No te limites a firmar un anexo en tus contratos donde añadas las Cláusulas Contractuales Tipo, sino analiza en detalle las medidas de seguridad reales y otros mecanismos empleados por el importador, además de la situación actual en el país de destino, especialmente en lo que concierne a la vigilancia.
¿Qué podemos esperar en el futuro próximo?
Se espera que tanto la Comisión Europea como el Comité Europeo de Protección de Datos elaboren una serie de orientaciones en las próximas semanas. Aparte, la UE podría decidir renegociar una nueva versión del Privacy Shield que proporcione a los interesados unos derechos de privacidad reforzados bajo las leyes de vigilancia de Estados Unidos. Del mismo modo que el Privacy Shield fue aprobado diez meses después de que se anulase el Safe Harbor, ahora se podría dar lugar a un nuevo mecanismo que aborde las preocupaciones destacadas por el TJUE. Por otro lado, las Cláusulas Contractuales Tipo podrían ser pronto adaptadas a los requisitos del RGPD.
