Cuenta la leyenda que la espectacular Calzada de los Gigantes, situada en la costa nororiental de la isla de Irlanda, la construyó el gigante Finn MacCumhail que, enamorado de la bella hija de un gigante que vivía en Escocía (aparentemente, no se conserva el nombre de la muchacha), se puso manos a la obra y colocó paciente y meticulosamente las cerca de 40.000 estructuras basálticas que la componen, a fin de llegar a su amada y volver con ella a la onírica isla verde.
Sin embargo, como en cualquier historia de amor que se precie, surgen irremediablemente los acontecimientos adversos, en esta ocasión personificados en el gigante escocés Bennandoner que, enamorado de la misma giganta, persiguió enfurecido a la pareja hasta la casa de Finn.
Allí, Finn y su amada habían preparado una estratagema digna de la historia relatada: él se disfrazó de bebé y se metió en una cuna, haciéndose el infante dormido. Cuando Bennandoner apareció con fuego en la mirada, ella le indicó que no despertase al pequeño, ya que sus llantos podrían atraer al padre del mismo.
El gigante escocés, asustado por el tamaño del retoño, imaginó lo hercúleo que debiera ser el progenitor de éste por lo que emprendió apresurado regreso a su patria, destrozando la calzada para impedir que, dado el caso, le persiguiese congénere vengativo alguno.
Esta magnífica leyenda celta, nos sirve de adecuado elemento introductorio y ejemplificador para señalar que, por muy robusta (o tal vez no) que parezca la senda que se transita, de un manotazo puede verse destruida hasta prácticamente los cimientos, dejando tras de sí una vía de comunicación inexistente.
Esto es precisamente lo que ha sucedido en el supuesto a analizar, en el entorno jurídico que realmente aquí nos ocupa, y el gigante escocés será el Tribunal de Justicia de la Unión Europea (TJUE) que, mediante la sentencia C-311/18, en el asunto Data Protection Commissioner/Maximilian Schrems y Facebook Ireland, ha declarado recientemente inválida la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de Privacidad UE-EEUU, lo cual genera un entorno inmediato relativamente complejo en lo que respecta al canal de transferencia comercial de datos personales entre ambos espacios-gigantes territoriales (el Escudo englobaba a más de 5300 compañías y se verán afectados CRMs, sistemas de repositorio documental, servidores de correo electrónico, etc…).
Como sabemos, las transferencias de datos personales se pueden llevar lícitamente a cabo, de manera básica, en los siguientes casos (Capítulo V RGPD):
- Transferencias basadas en una decisión de adecuación: Si la comisión decide que el tercer país, territorio u organización internacional correspondiente garantizan un nivel (supuesto analizado).
- Transferencias mediante garantías adecuadas: Instrumento jurídicamente vinculante, normas corporativas vinculantes, clausulas tipo de protección de datos adoptadas por la Comisión, etc…
- Excepciones para situaciones específicas: consentimiento explícito, ejecución de un contrato entre el interesado y el responsable, protección de intereses vitales, etc…
Pues bien, el avezado lector posiblemente recordará y situándonos debidamente, que el origen de todo el asunto se inicia en la reclamación planteada en 2013 por parte del austriaco Sr. Maximiliam Schrems ante la Autoridad Irlandesa de Control, ya que consideró en su momento que la transferencia de sus datos, tratados por Facebook Ireland a Facebook Inc (USA), no cumplía con el nivel de salvaguarda normativo oportuno ante el acceso que pudiese producirse a aquellos por parte de las autoridades públicas estadounidenses: como sucedió con David y su honda, la piedra ya estaba lanzada a Goliat y el efecto fue devastador.
El mismo TJUE, mediante sentencia de 6 de octubre de 2015 – Schrems C-362/14-, dando respuesta a una cuestión prejudicial planteada por la High Court (Tribunal Superior de Irlanda) derivada de la ya mencionada reclamación del Sr. Schrems, declaró invalida la Decisión 2000/520 (Decisión de Puerto Seguro), indicando que la misma vulneraba los derechos fundamentales de los ciudadanos europeos y determinando desautorizados dichos acuerdos previos que regulaban las transferencias comerciales de datos personales entre la UE y EEUU. Tras dicha decisión judicial, la Comisión Europea se apresuró y, en pocos meses, tenía formulado el nuevo y conocido Escudo de Privacidad.
Una vez invalidada la Decisión de Puerto Seguro, y ante el requerimiento de la autoridad de control irlandesa al respecto, el Sr. Schems modificó su reclamación, poniendo el punto de mira en la Decisión 2010/87, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países.
En la actual sentencia C-311/18, como ya se ha indicado, se procede a declarar invalida la Decisión relativa al Escudo de Privacidad, pero sin, embargo, la Decisión 2010/87 resulta incólume. Y ello ya que se considera que las referidas cláusulas tipo incluyen mecanismos adecuados que garantizan en la práctica que, el ámbito de protección exigido por el Derecho de la UE, se vea debidamente amparado.
No obstante, sin perjuicio de lo expuesto en el apartado anterior, es vox populi que la nueva versión de las cláusulas contractuales tipo está preparándose y que, en lo que se desea sea un periodo no muy largo de tiempo, dispondremos de ellas, con las modificaciones y actualizaciones que la Comisión Europea estime pertinentes, previsiblemente encaminadas a un blindaje aún superior ante situaciones como las analizadas.
Asimismo, la sentencia considera que el RGPD y la Carta de los Derechos Fundamentales de la Unión Europea se deberán aplicar en todo caso a las transferencias de datos de carácter personal efectuadas con finalidades comerciales por un operador económico establecido en la UE a otro operador establecido en un tercer país, incluso si se producen finalidades accesorias de seguridad o defensa nacional por las autoridades del país tercero, garantizándose del mismo modo un nivel de protección equivalente al otorgado en el seno del marco normativo de la propia UE (cómo conseguirlo desde una óptica práctica es, efectivamente, otro asunto sobre el que debatir).
En el mismo ámbito, las Autoridades de Control Europeas ven reforzada igualmente su obligación de suspender o prohibir, en caso de que no lo haya hecho el propio exportador UE de los datos, la transferencia que se lleve a cabo a un tercer país, si estiman que se produce incumplimiento de dichas cláusulas o sea imposible cumplirlas debidamente. Ello siempre con las excepciones relativas a que, por una parte, no exista una decisión de adecuación válidamente adoptada por la Comisión y que, por otra, no pueda garantizarse la adecua protección de los datos transferidos por otros medios.
Así pues, en su momento, se produjo una inundación del puerto y en el actual, se ha roto el escudo, por lo que, ante tanto drama artúrico, quizá las recomendaciones y observaciones que pueden llevarse a cabo sean las siguientes:
- En primer lugar, un mensaje de tranquilidad: el flujo de datos personales entre la UE y EEUU es un ámbito que interesa especialmente mantener a ambas partes por razones económicas y empresariales obvias. Estamos hablando de lo que se podría denominar como riqueza binaria y, de hecho, el jefe de Justicia de la UE, Didier Reynders ha indicado que se va a trabajar “para garantizar una respuesta rápida y coordinada a la sentencia. Esto es esencial para proporcionar seguridad jurídica a los ciudadanos y a las empresas europeas”.
- Igualmente, es más que probable que la Comisión Europea, al igual que hizo en su momento, esté trabajando para proporcionar rápidamente un tercer marco legal en este sector. No obstante, es cierto que ciertas ramas doctrinales ven poco probable que se produzca un sustituto al Escudo de Privacidad (teniendo en cuenta que es la segunda vez que se invalida un entorno similar), considerando con más posibilidades las adhesiones masivas de empresas estadounidenses a las nuevas clausulas tipo que genere la Comisión, por ejemplo.
- Se estima poco factible que la Autoridades de Control Europeas sancionen de manera inmediata, por lo que cabe un cierto margen temporal de actuación. No obstante, en el momento de redactar estas líneas, The Federal Commissioner for Data Protection and Freedom of Information (Alemania); La Commission Nationale de l’Informatique et des Libertés (Francia); Garante per la protezione dei dati personali (Italia) y el propio European Data Protection Supervisor (EDPS) ya se habían pronunciado sobre la Sentencia, por lo que queda patente que la tienen muy presente, a los efectos oportunos que puedan y deban derivarse.
- Aunque resulte ciertamente más complicado que el empleo de una pasarela cómoda como el propio Puerto Seguro, siempre nos quedará la suscripción de las mencionadas clausulas tipo con aquellos de nuestros proveedores de EEUU que dispongan de acceso a datos en la prestación de sus servicios y que, aunque estén pendientes de revisión, según lo comentado, suponen un baluarte de seguridad jurídica en entornos inciertos como en el que nos encontramos.
- Asimismo, siempre se puede contratar un proveedor estrictamente europeo, en caso de estar trabajando con uno estadounidense o contratar directamente con uno estrictamente europeo si surgen nuevas necesidades empresariales a afrontar.
Stéfanos Altidis Cabrejas
Socio GRC
