Autor: Beatriz Rodriguez Gómez & Irene SanJorge Claramunt | Área Disruptive Technologies & Privacy
PRIVACY SHIELD INVALIDADO (PARTE II): NO HA VALIDO NI EL PUERTO NI EL ESCUDO… NOS QUEDA ESPERAR EL MURO
Pues como íbamos diciendo, recordado ya lo que es una transferencia internacional de datos (TID) y las vías que hay para llevarlas a cabo (puedes ver la explicación en la parte primera del artículo, disponible aquí), vamos a analizar las implicaciones de la declaración de invalidez del Privacy Shield por el Tribunal de Justicia de la Unión Europea (TJUE).
Y sí, ya sabíamos todos que muchas veces el uso de ciertos servicios es un acto de fe, que una vez que empieza ya no sabes dónde quedan los datos; que algunas aplicaciones dan cierto miedo; y que la mayoría de los usuarios (y empresas) no es que no se lo planteen, es que ni conciben lo que hay detrás… Pero no es lo mismo ver que mirar, y hasta que no nos lo dejan claro, por escrito, y preferiblemente en sentencia, pues aquí seguimos transfiriendo como si nada…
¿POR QUÉ ES INVALIDO EL PRIVACY SHIELD?
Según el TJUE, el Privacy Shield o escudo de privacidad es inválido porque no ofrece las garantías de protección adecuadas conforme la Carta de Derechos de la Unión Europea y el Reglamento General de Protección de Datos. Dice el tribunal que la normativa interna de los Estados Unidos permite el acceso y utilización por las autoridades nacionales de los datos transferidos desde la Unión a EE.UU. de forma indiscriminada.
En opinión del TJUE, algunos de los programas de vigilancia nacional de Estados Unidos dejan indefensos a los ciudadanos europeos frente al uso de sus datos por las autoridades norteamericanas, porque aunque sí tienen mecanismos de defensa frente al importador (encargado) y el exportador (responsable) de los datos en base a los contratos existentes, si las autoridades estadounidenses acceden a estos datos, dichos ciudadanos no disponen de ningún mecanismo de tutela efectiva ante los tribunales americanos frente a esas injerencias.
Esto en realidad son old news, porque ya se había puesto de manifiesto esta problemática con el anterior acuerdo del Safe Harbour y el Privacy Shield, con el fin de subsanar las limitaciones del derecho a la tutela judicial constatadas por la Comisión, estableció como figura al Defensor del Pueblo. Sin embargo, para el TJUE el Defensor del Pueblo no puede ser considerado un órgano independiente e imparcial, y por tanto, ni el acuerdo Privacy Shield ni la restante normativa americana proporcionan a los interesados ninguna vía de recurso ante un órgano (independiente e imparcial) que ofrezca garantías equivalentes a las exigidas a cualquier Estado miembro.
En consecuencia, transferir datos a Estados Unidos, amigos, a pesar de necesario, ya no es seguro, al menos mediante esta vía, y si no es seguro, no se puede hacer. Lógica RGPD al 100 %. Por tanto, ¿qué nos queda? Pues agarrarnos porque vienen curvas y mal asfaltadas...
No hay muchas opciones, el panorama es incierto y las soluciones de las empresas norteamericanas brillan por su ausencia o siguen la ya conocida expresión de matar moscas a cañonazos…
¿SIGUEN SIENDO VÁLIDAS LAS CLÁUSULAS TIPO?
Sí, el TJUE no ha debatido su validez, pero ha enfatizado mucho en las garantías y obligaciones que imponen al importador (encargado) o exportador (responsable). Se ha enfatizado especialmente en que el exportador de datos debe conocer la normativa extranjera lo suficiente como para saber si ofrece garantías suficientes y, en su caso, realizar la transferencia.
La paradoja está en que el TJUE ya ha dicho que la normativa estadounidense no proporciona garantías suficientes, por lo que al menos para este país, difícilmente defendible va a ser que unas cláusulas contractuales mitiguen el riesgo generado por las propias leyes nacionales.
Por muchas garantías que contractualmente queramos imponer en el acuerdo, blindaremos a las partes en éste y a los interesados, pero por más que tratemos de monitorizar la transferencia, si la autoridad norteamericana llama a la puerta del importador, y éste se ve en la obligación legal de ceder los datos personales, volveremos al escenario 1 y por tanto esa transferencia no estará ofreciendo garantías a los ciudadanos y se estará asumiendo un riesgo en protección de datos de no interrumpirse.
En otros países terminaremos en el mismo escenario. Es decir, las cláusulas son válidas y pueden utilizarse siempre y cuando la normativa nacional del país no tenga mecanismos contrarios al estado de derecho o que generen situaciones de indefensión con los interesados. OJO: Como hemos señalado, el desconocimiento no es un argumento válido porque el TJUE ha indicado bien claro que el exportador debe estudiar previamente la normativa antes de hacer la transferencia.
¿TENGO TIEMPO PARA SOLUCIONARLO?
Ante este panorama desolador –porque seamos realistas, la necesidad de tratar datos con Estados Unidos es esencial para tres cuartas partes de las empresas de nuestro país por H o por B– no hay moratoria ni período de transición.
Para el TJUE, el Reglamento habilita otros mecanismos para seguir transfiriendo datos a terceros países, incluyendo EE.UU., y por tanto no es necesario.
Vemos las alternativas a continuación, pero como ya os veníamos avanzando, no es oro todo lo que reluce y tras las FAQs publicadas por el Comité Europeo de Protección de Datos, no parece que haya una solución clara.
ENTONCES… ¿QUÉ ALTERNATIVAS TENGO?
Las BCRs o normas corporativas vinculantes, si están aprobadas por la autoridad, son válidas, pero en cualquier caso habrá que estar a lo mismo que con las cláusulas tipo. Así que a otros países sí, a USA sigue existiendo un riesgo muy alto;
Cláusulas tipo mejoradas, aunque es muy difícil que por contrato se puedan dar garantías adecuadas a través de estas. Así que a otros países sí, a USA sigue existiendo un riesgo muy alto;
Unas cláusulas tipo nuevas, pero aún tendremos que esperar un tiempo para verlas. Así que no, porque aún no existen;
Los códigos de conducta o certificaciones con garantías no son una opción por el momento (porque tampoco se ha avanzado en este sentido);
El consentimiento expreso del interesado es inconcebible para algunos modelos de negocio y sólo serviría para situaciones puntuales y no para transferencias de carácter recurrente. Así que esta opción en ocasiones sí, en ocasiones no, desde luego no para todos los días. Consúltalo con tu DPO mejor.
Desde contiac por tanto estamos recomendando a nuestros clientes ir caso por caso, contactando con los proveedores y estudiando los riesgos, las garantías y mecanismos que se pueden dar en cada caso. Cuando es posible, gestionar el cambio de servidores a algunos ubicados en el Espacio Económico Europeo o la limitación de TID a EE.UU., aunque no a otros países si es posible también puede ser una opción garantista y efectiva.
¿HAY NUEVAS OBLIGACIONES PARA LOS RESPONSABLES O ENCARGADOS DEL TRATAMIENTO?
Como hemos adelantado, no hay “nuevas”, porque estaban en la normativa, pero sí se han puesto de manifiesto y se han concretado de forma mucho más clara: Hay obligación para los exportadores de conocer la normativa del país tercero al que se va a efectuar la transferencia, la compatibilidad de dicho país con el derecho de la Unión, las garantías de los interesados y también la tutela de estas garantías en el país tercero.
¿PUEDE LA AUTORIDAD DE CONTROL PROHIBIR LAS TRANSFERENCIAS INTERNACIONALES DE DATOS A EEUU?
Sí, la Autoridad de Control puede ejercer sus facultades para prohibir o suspender los flujos de datos hacia terceros países, incluido EE.UU., con objeto de proteger a las personas físicas en relación con el tratamiento de sus datos personales.
Además, recae sobre el responsable del tratamiento la tarea de paralizar la TID ante la duda de que esta no pueda revestir de suficientes garantías, por lo que la autoridad de control además de prohibir o suspender la TID, estudiará por qué el responsable no tomó la decisión estando obligado. #PrivacyShield #EscudoDePrivacidad #ProteccióndeDatos #Privacidad #RGDP #TJUE
