Una resolución de un tribunal de Francia arroja más orientaciones sobre la aplicación del caso “Schrems II” al considerar que los datos almacenados por una filial de una empresa de Estados Unidos se encuentran suficientemente protegidos.
El más alto tribunal administrativo de Francia emitió a principios de mes una resolución en la que determinaba que una plataforma de reservas para vacunación del COVID-19 alojada en Amazon Web Service, también conocido como AWS, se encontraba suficientemente protegida bajo el RGPD. Inicialmente se plantearon algunas cuestiones en torno a si el uso de los servidores de Amazon Web Services como plataforma para el almacenamiento de los datos era compatible con el RGPD tras la sentencia “Schrems II”, dado que el encargado de tratamiento estaría sujeto a la normativa estadounidense. La resolución final en este caso se basó en el hecho de que el Tribunal considera que existen suficientes garantías técnicas y legales en caso de que las autoridades estadounidenses solicitasen acceso a los datos. Este hecho ofrece contexto alrededor de la aplicación de “Schrems II” y tiene grandes implicaciones para muchas empresas, a la vez que subraya la necesidad de aplicar salvaguardas adicionales cuando los datos son tratados por una filial de una empresa no europea.
Se determinó que si bien se trata de una preocupación común, los datos de salud alojados por una empresa sujeta a la normativa estadounidense se encontraban lo suficientemente protegidos bajo el RGPD.
Los demandantes alegaron en este caso que el almacenamiento de datos por una empresa sujeta a la normativa estadounidense presentaba varios riesgos, no sólo la transferencia de datos a Estados Unidos, sino también el posible acceso a dichos datos por parte de las autoridades estadounidenses si así se solicitase. Los demandantes lo consideraron un asunto sensible y de urgencia dado el nivel de riesgo percibido. Sin embargo, lo que en principio se señaló como una posible brecha del RGPD bajo “Schrems II”, finalmente resultó en cumplimiento con la normativa, pues se valoró que los datos estaban suficientemente protegidos conforme al RGPD en virtud de las extensas medidas legales y técnicas aplicadas por el demandado, Doctolib. Así por tanto, el juez falló en contra de la solicitud de los demandantes para suspender el servicio.
La resolución del tribunal de Francia fue el resultado de una detallada evaluación de las medidas técnicas y legales incluidas en el acuerdo entre las partes.
La resolución del tribunal de Francia se emitió tras llevar a cabo una detallada evaluación de las medidas técnicas y legales y de otras garantías acordadas por Doctolib y Amazon Web Services. El análisis determinó que el contrato entre ambas partes incluía varias provisiones en este sentido, y consideraba un procedimiento específico en caso de solicitudes de acceso por parte de un tercer país. La garantía legal aportada aquí consiste en que se cuestionarán y rebatirán todas las solicitudes de acceso que el encargado reciba por parte de las autoridades. El juez también valoró que los datos estuviesen encriptados con la clave en manos de un tercero de confianza y no Amazon Web Services. Además, se observe que los datos transmitidos a Doctolib a través de la campaña de vacunación no contenían información sensible sobre salud que especificase, por ejemplo, que un cierto candidato tiene prioridad para la vacunación debido a determinada condición pre existente. Como medida extra, cualquier dato introducido por los usuarios con la finalidad de identificación para conseguir una cita de vacunación es eliminado como mucho tres meses después de la misma.
El Dr Bostjan Makarovic, Socio Gerente de Aphaia, apunta que: “La resolución deja entrever que hay espacio para la coherencia en la aplicación de Schrems II, lo cual debería en términos generales percibirse como buenas noticias para la industria online”.
Cristina Contero Almagro, socia de Aphaia, señala que: “Es muy importante que las empresas lleven a cabo un análisis de sus flujos de datos, los países involucrados y las medidas que deben aplicarse según el riesgo identificado; esto es lo que se denomina ‘Evaluación de Impacto de Transferencias de Datos”.
Este caso destaca la necesidad de contar con garantías técnicas y legales, las cuales deberían aplicarse incluso cuando los datos no se transfieren fuera de la UE.
Uno de los elementos principales de cumplimiento con “Schrems II” reside en las medidas técnicas como la pseudonimización y la encriptación, junto a la confirmación de que el encargado no tiene manera de acceder a la clave de descifrado, especialmente cuando las autoridades podrían acceder a la misma. Las garantías legales, como aquellas tomadas por . Doctolib, son también especiales. Mientras las nuevas Cláusulas Contractuales Tipo recientemente publicadas por la Comisión Europea contienen provisiones similares, se recomienda, en previsión de las mismas, que las empresas incluyan cláusulas alrededor de este tipo de garantías en un anexo específico, incluso en los casos en que no hay transferencia de datos fuera de la UE.
