Como ya es sabido, el Tribunal de Justicia de la Unión Europea (TJUE), mediante la sentencia C-311/18, examinó la validez de la Decisión Escudo de la privacidad (Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE- EE. UU.). El Tribunal consideró que los requisitos del Derecho nacional estadounidense, y en particular algunos programas que permiten a las autoridades públicas de los Estados Unidos acceder a los datos personales transferidos desde la UE a los EE. UU. con fines de seguridad nacional, imponen limitaciones a la protección de los datos personales, no ofreciendo garantías sustancialmente equivalentes a las exigidas en el Derecho de la Unión. Por todo ello, como consecuencia de tal interferencia con los derechos fundamentales de las personas cuyos datos se transfieren a ese país tercero, el Tribunal declaró inválida la Decisión de adecuación del Escudo de la privacidad.
El Tribunal también examinó la validez de la Decisión 2010/87/CE de la Comisión Europea sobre las cláusulas contractuales tipo («CCT») y la consideró válida, siempre y cuando se incluyan mecanismos eficaces que permitan garantizar en la práctica que el nivel de protección exigido por el Derecho de la Unión mediante el RGPD sea respetado y que las transferencias de datos personales basadas en estas cláusulas sean suspendidas o prohibidas en caso de que se incumplan dichas cláusulas o de que resulte imposible cumplirlas.
Por lo tanto, la posibilidad de transferir datos personales sobre la base de CCT (o sobre la base de otros mecanismos del artículo 46 del RGPD, como son las Normas Corporativas Vinculantes) dependerá del resultado de su evaluación, teniendo en cuenta las circunstancias de las transferencias y las medidas complementarias que se hayan podido aplicar. Las medidas complementarias, junto con las CCT, tras un análisis caso por caso de las circunstancias de la transferencia, tendrían que garantizar que la legislación no afecte al nivel de protección adecuado que garantizan las CCT.
Teniendo en cuenta lo anterior, el Comité Europeo de Protección de Datos ha publicado una guía con recomendaciones (las cuales se encuentran sometidas a consulta pública) sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de datos personales de la UE. Las recomendaciones contienen una hoja de ruta que deben seguir los exportadores de datos para averiguar si necesitan establecer medidas suplementarias para poder transferir datos fuera del Espacio Económico Europeo de conformidad con el Derecho de la UE y ayudarles a identificar aquellas que podrían ser eficaces.
En cualquier caso, son los exportadores de datos los que deben realizar la evaluación concreta de la transferencia, evaluando la legislación de terceros países que resultaría aplicable y la herramienta de transferencia en la que se basan, procediendo con la debida diligencia y documentando su proceso a fondo, ya que serán responsables de las decisiones que tomen sobre esa base, de conformidad con el principio de responsabilidad proactiva del RGPD.
El Comité Europeo de Protección de Datos (EDPB) ofrece ejemplos de transferencias de datos personales que, junto con medidas complementarias, pueden ofrecer un nivel adecuado de protección de datos:
- Contratación por el exportador de datos de servicios de almacenamiento de datos en un tercer país, por ejemplo, con fines de copia de seguridad. En este caso, se considera el cifrado de los datos como una medida complementaria eficaz.
- La seudonimización de los datos también se considera una medida complementaria eficaz cuando solo el exportador de datos tiene la clave de asociación.
- El cifrado de datos que únicamente transitan por terceros países proporciona, igualmente, una medida suplementaria eficaz.
- El cifrado de datos realizado a un importador de un tercer país específicamente protegido por la ley de ese país, por ejemplo, con el fin de proporcionar conjuntamente tratamiento médico para un paciente, o servicios legales a un cliente, etc.
- Las transferencias de datos por parte de un exportador para que sean tratados por dos o más empresas independientes, sin que conozcan el contenido completo de los datos. El exportador de datos recibe el resultado del tratamiento de cada una de las entidades de forma independiente y fusiona las piezas recibidas para llegar al resultado final que puede constituir datos personales.
No obstante, las recomendaciones del EDPB también dan ejemplos de situaciones en las que las medidas complementarias no serían eficaces debido a una clara potencialidad de acceso a los datos por parte de gobiernos o autoridades del tercer país:
- Transferencias de datos a empresas que prestan servicios en la nube u otros encargados que requieran acceder a los datos sin que estén cifrados para prestar sus servicios.
- Transferencia a un importador de datos, incluida una empresa del grupo, que permita que los datos estén disponibles en un sistema de información de uso común que habilita al importador el acceso directo a los datos personales sin cifrar para sus propios fines (gestión de RR.HH., por ejemplo).
En todo caso, la guía incorpora una serie de medidas complementarias a incluir en los CCT para garantizar un nivel de protección adecuado:
MEDIDAS TÉCNICAS:
– Añadir anexos al contrato con la información que el importador facilitaría en caso de acceso a los datos por parte de las autoridades públicas.
– Incluir cláusulas por las que el importador certifica que:
- No ha creado deliberadamente, o por imposición de la legislación nacional o políticas gubernamentales, puertas traseras o programación similar que puedan utilizarse para acceder al sistema y a los datos personales.
- No ha creado o modificado deliberadamente sus procesos comerciales de manera que facilite el acceso a los datos personales.
– Reforzar la facultad del exportador de llevar a cabo auditorías o inspecciones de las instalaciones de tratamiento de datos del importador para verificar si los datos se divulgaron a las autoridades públicas y en qué condiciones.
– Reforzar la obligación del importador de datos de informar con prontitud al exportador de datos de su incapacidad para cumplir los compromisos contractuales.
– Establecer plazos y procedimientos específicos y estrictos para la rápida suspensión de la transferencia de datos y/o la rescisión del contrato y la devolución o supresión por parte del importador de los datos recibidos.
– Reforzar las obligaciones de transparencia del importador comprometiéndose este a publicar periódicamente un mensaje informando al exportador que a partir de una fecha y hora determinada no ha recibido ninguna orden para revelar datos personales o similares. La ausencia de una actualización de esta notificación indicará al exportador que el importador puede haber recibido una solicitud de información.
– El importador podría comprometerse a revisar, con arreglo a la legislación del país de destino, la legalidad de cualquier orden de divulgación de datos y a impugnar la orden si, tras una cuidadosa evaluación, llega a la conclusión de que existen motivos para hacerlo. El importador de datos también se comprometería a proporcionar la cantidad mínima de información permitida al responder a la petición, sobre la base de una interpretación razonable de dicha petición de información.
– El importador podría comprometerse a informar a la autoridad pública requirente de la incompatibilidad de la orden con las salvaguardias contenidas en la herramienta de transferencia del RGPD y el conflicto resultante con las obligaciones asumidas por el importador. El importador lo notificaría simultáneamente al exportador y a la autoridad de control competente del EEE.
– El contrato podría prever que a los datos personales transmitidos en el curso normal de la actividad comercial solo podrán acceder con el consentimiento expreso o implícito del exportador y/o del interesado.
– El contrato podría obligar al importador y al exportador a notificar al interesado la solicitud u orden recibida de las autoridades públicas del tercer país, o la incapacidad del importador para cumplir con los compromisos contractuales, para permitir al interesado solicitar información al respecto de las decisiones que se tomarán en tal sentido.
– El contrato podría obligar al exportador e importador a ayudar al interesado en el ejercicio de sus derechos en la jurisdicción del tercer país.
MEDIDAS ORGANIZATIVAS:
– Adopción de políticas internas adecuadas con una asignación clara de responsabilidades en las transferencias de datos, canales de presentación de informes y procedimientos operativos estándar para casos de solicitudes de las autoridades públicas para acceder a los datos.
– Documentar y registrar las solicitudes de acceso recibidas de las autoridades públicas y la respuesta proporcionada, junto con el razonamiento jurídico y los actores implicados. Estos registros deben ponerse a disposición del exportador de datos, que a su vez debe proporcionarlos a los interesados cuando sea necesario.
– Publicación periódica de informes o resúmenes de transparencia sobre las solicitudes gubernamentales de acceso a los datos y el tipo de respuesta proporcionada.
– Minimización de los datos facilitados para limitar la exposición de los datos personales.
– Desarrollo de prácticas para involucrar y proporcionar acceso a la información al responsable del tratamiento y a los servicios de auditoría legal e interna en asuntos relacionados con las transferencias internacionales de datos personales.
– Adopción de políticas de seguridad basadas en la certificación o códigos de conducta (por ejemplo, normas ISO).
– Adopción y revisión periódica de las políticas internas para evaluar la idoneidad de las medidas complementarias aplicadas e identificar y aplicar soluciones adicionales o alternativas cuando sea necesario, para garantizar que se mantenga un nivel de protección equivalente al garantizado dentro de la UE de los datos personales transferidos.
– Compromisos del importador de datos de no realizar ninguna transferencia de datos personales, o suspender las transferencias en curso, cuando no se puede garantizar un nivel equivalente de protección de los datos personales al que se otorga dentro de la UE en el tercer país.
En conclusión, siempre que se quiera efectuar una transferencia internacional de datos se deberán cumplir los siguientes requisitos por parte del responsable del tratamiento:
- Conocer las transferencias internacionales de datos que se van a efectuar.
- Determinar la herramienta reflejada en el RGPD en la que se va a fundamentar la transferencia.
- Si la herramienta de transferencia no es una decisión de adecuación (art. 45 RGPD), se debe analizar caso por caso y verificar que ley del tercer país de destino no socava el RGPD.
- Cuando la herramienta de transferencia del RGPD del artículo 46 por sí sola no logre para los datos personales que se transfieran un nivel de protección esencialmente equivalente, las medidas suplementarias pueden conseguir una protección adecuada.
- Realizar un análisis periódico sobre la decisión adoptada para valorar si no ha habido cambios que pudieran afectar al nivel de protección.
- Cuando no se pueda encontrar o aplicar medidas complementarias eficaces que garanticen que los datos personales transferidos gozan de un nivel de protección esencialmente equivalente, no se deberá comenzar a transferir datos personales al tercer país de que se trate. Si ya está realizando las transferencias, debe suspenderse o finalizar de inmediato la transferencia de datos personales.
- Comprobar que los datos que se transfiere, en su caso, son adecuados, relevantes y limitados a lo necesario en relación con los fines para los que se transfieren y procesan en el tercer país.
En cualquier caso, el 12 de noviembre la Comisión Europea publicó una propuesto de nuevas Cláusulas Contractuales Tipo para transferencias internacionales de datos. Dicha propuesta se encuentra abierta a consulta pública hasta el 10 de diciembre de 2020, por lo que deberemos esperar hasta que se adopte la versión definitiva de las mismas.
Jorge de Diego Retuerta
Abogado Asociado Senior
Picón & Asociados Abogados.