Para poner al lector en antecedentes, se conoce como Privacy Shield (o Escudo de la Privacidad) al esquema vigente desde 2016 que legitimaba las transferencias internacionales de datos de la Unión Europea a los EE. UU. y que sustituyó el anterior acuerdo Safe Harbor (Puerto Seguro). Su finalidad, asegurar la aplicación y cumplimiento de la normativa de protección de datos por este tercer país y con ello garantizar la seguridad de los datos de usuarios europeos que sean objeto de tratamiento en el país norteamericano.
Como decíamos, el Privacy Shield sustituyó al Safe Harbor y, de hecho, ha terminado teniendo el mismo infausto final: su anulación por una resolución del Tribunal de Justicia de la Unión Europea (TJUE). Si en octubre de 2015 el tribunal anuló esta primera decisión europea que autorizaba las transferencias de datos; el pasado julio de 2020, como si de un viaje al pasado se tratase, una sentencia del TJUE anuló la Decisión 2016/1250 de la Comisión que declaraba el nivel adecuado de protección del esquema del Escudo de Privacidad para las transferencias internacionales de datos a EE. UU. La resolución considera que la normativa estadounidense, en particular las amplias facultades de sus poderes públicos para acceder a la información y los datos personales custodiados en su territorio imposibilitan que se puedan cumplir las garantías exigidas por la normativa europea (especialmente el Reglamento General de Protección de Datos o RGPD).
¿Debemos finalizar la relación con todos los proveedores que realizan transferencias de datos a EE. UU.?
No, o al menos no necesariamente. Finalizar la relación con los proveedores que transfieren datos (o almacenan) fuera del espacio económico europeo podría poner en riesgo la propia continuidad del negocio. Para darnos cuenta de la relevancia de estas transferencias, basta citar a los Google, Amazon o Facebook, o servicios tan necesarios para cualquier negocio online, como hosting, CRM, sistemas de pagos online, cloud computing, etc.
¿Debemos recabar el consentimiento del usuario para cada una de las transferencias de datos realizadas fuera de la Unión Europea?
Si bien recabar el consentimiento legitimaría la transferencia internacional de datos permitiendo que trabajásemos con empresas americanas o situadas fuera del espacio económico europeo, en muchos casos podría resultar complicado ponerlo en práctica. Esto podría dar lugar a una lista de “consentimientos” que dejaría a las famosas aceptaciones de Cookies en simples lecturas de verano. En todo caso el consentimiento prestado debe ser libre, específico, inequívoco e informado, advirtiendo de los propios riesgos que la transferencia implica.
¿Y ahora qué?
Pues bien, por lo pronto, deberemos esperar una futura clarificación del Comité Europeo de Protección de Datos, organismo europeo independiente que vela por la aplicación armonizada de la normativa europea de protección de datos, quien ya ha adelantado que trabajará conjuntamente con las autoridades nacionales y la Comisión para intentar ofrecer una solución (o un nuevo parche) a este mercado transoceánico de datos.
Mientras tanto, debemos tener en cuenta que la resolución del TJUE sí ha dejado abierta la puerta a mantener las transferencias internacionales al confirmar la validez (con condiciones, eso sí) de las “Cláusulas Contractuales Tipo” adoptadas por la Comisión para realizar transferencias internacionales entre un responsable establecido en la Unión Europea y un encargado del tratamiento fuera de la UE. Por lo tanto, pese a haberse anulado la decisión de adecuación, podríamos mantener estas transferencias basándonos en el establecimiento de medidas adecuadas (tal y como contempla el RGPD en su artículo 46).
Cuando hablamos de cláusulas contractuales tipo, nos referimos básicamente a un acuerdo, suscrito entre el responsable del Tratamiento, que pretende exportar datos personales, y el Encargado del Tratamiento, quien trataría los datos bajo sus directrices en un territorio fuera de la UE. Este acuerdo obligará a nuestro proveedor a tratar la información en correspondencia con los estándares europeos, comprometiéndose a implementar las medidas de seguridad técnicas y organizativas necesarias con el fin de garantizar el nivel de seguridad exigido en la UE y que, se presupone, el estado de destino no cumple. Así explicado, no parece complejo de articular, veamos ahora como se lleva a la práctica: estas cláusulas contractuales tipo deben haber sido adoptadas por la Comisión o adoptadas por una autoridad de control y aprobadas por la Comisión o, en último caso, ser validadas por la autoridad de control al recabar su expresa autorización para una transferencia de datos. ¡Casi nada!
De hecho, el Comité Europeo de Protección de Datos, en su más reciente interpretación de la normativa, a raíz de la resolución del TJUE, deja la pelota en el tejado del Responsable del tratamiento, quien deberá evaluar si este clausulado garantiza que la legislación estadounidense no afecte al nivel de protección adecuado de acuerdo a la normativa europea. Y, siendo francos, ningún contrato, por muy exhaustivo que sea, podrá garantizar esto; ya que muy difícilmente podrá invocarse su aplicación sobre la legislación nacional del estado en cuestión (por ejemplo, EE. UU. y esas polémicas amplias facultades de sus autoridades).
Igualmente sucede con las denominadas “Normas Corporativas Vinculantes” (Binding Corporate Rules), que permiten a grandes compañías o grupos de empresas, realizar transferencias internacionales de datos entre sus distintas sedes, adoptando en todas ellas los estándares europeos previa validación por una autoridad de control europea. De nuevo, el Comité Europeo de Protección de Datos insta a una evaluación caso por caso, a fin de concluir si estos principios corporativos pueden seguir siendo válidos.
Por supuesto, otra alternativa, sería cesar aquellas transferencias de datos que puedan considerarse superfluas o fácilmente sustituibles por proveedores que se encuentren en el Espacio Económico Europeo. Sabemos que no es sencillo ni inmediato, pero es una medida que también debe ser contemplada, pues, de hecho, ese parece ser el objetivo final de la Unión Europea: lograr un mayor control sobre los flujos de datos fomentando su permanencia en el Espacio Económico Europeo.
En resumen, ¿mantenemos las transferencias de datos a EE. UU.?
Sí, con condiciones; pues partimos de que ya no están cubiertas por una decisión de la Comisión y deberemos buscar un nuevo encaje legal que las posibilite. Contratar con proveedores que apliquen las cláusulas contractuales tipo, elegir a un proveedor que aplique normas corporativas vinculantes (en ambos casos su contenido deberá ser reevaluado caso por caso), recabar la autorización expresa de la autoridad de control o encontrar otras fórmulas como obtener el consentimiento expreso del usuario para la transferencia en cuestión, pueden ser las soluciones. Estas podrían ser las alternativas válidas mientras permanecemos a la espera de que el Comité́ Europeo de Protección de Datos o las autoridades nacionales de protección de datos aclaren que medidas adicionales podrán establecerse a fin de garantizar el flujo de datos transoceánico.
Naarahi Ponce
Gracias por tu aportación. Feliz semana.