Autor: Beatriz Rodriguez Gómez & Irene SanJorge Claramunt | Área Disruptive Technologies & Privacy
PRIVACY SHIELD INVALIDADO (PARTE I): NO HA VALIDO NI EL PUERTO NI EL ESCUDO… NOS QUEDA ESPERAR EL MURO
Que se ha invalidado el Privacy Shield, que el Sr. Schrems ha vuelto a la carga… Este verano la decisión del Tribunal de Justicia de la Unión Europea (TJUE) ha sido uno de los trending topics y no íbamos a ser menos.
Pero para los menos entendidos en esto de la protección de datos, antes de entrar a analizar las consecuencias de la invalidez del escudo de privacidad o Privacy Shield (PS) -que lo que haremos en la segunda parte del artículo, disponible en próximos días-, es hacer un pequeño refresh posvacacional sobre qué son las transferencias internacionales de datos (TID) y por qué la invalidez del PS (aparte de la crónica de una muerte anunciada) va a ser un gran quebradero de cabeza para muchas empresas.
TID: transferencias internacionales de datos
Las TID suponen un flujo de datos personales desde el Espacio Económico Europeo (UE + Liechtenstein, Islandia, Noruega) a destinatarios establecidos en terceros países y organismos internacionales fuera de dicho territorio (OJO: NO SON TID LOS MOVIMIENTOS DE DATOS REALIZADOS A PAÍSES MIEMBROS DEL EEE).
Como el objetivo del legislador europeo es proteger a los ciudadanos europeos mediante medidas y limitaciones para aquellos que vayan a tratar sus datos personales, ante el riesgo de que al comunicar datos a esos terceros países u organizaciones dichas garantías desaparezcan, el Reglamento Europeo de Protección de Datos ha establecido garantías y procedimientos para tratar de asegurar el nivel de protección.
DECISIONES DE ADECUACIÓN DE PAÍSES, ORGANIZACIONES, TERRITORIOS O SECTORES
Así, en primer lugar, está el sistema de decisiones de adecuación,que son adoptadas por la Comisión Europea y permiten realizar TID a terceros países y organizaciones internacionales sin necesidad de adoptar otras garantías. Pueden referirse a un estado u organización internacional, a un territorio específico o a un sector concreto de un país.
Para tomar dichas decisiones la Comisión ha de evaluar el nivel de protección que ofrece el destinatario de los datos, concretamente: si el marco jurídico general garantiza los derechos y libertades de las personas, la normativa existente en protección de datos, las garantías existentes en caso de transferencias a otros estados, la existencia de una autoridad de control independiente y el funcionamiento de la misma como garantía de los derechos en materia de protección de datos, así como los compromisos internacionales asumidos en protección de datos.
Las decisiones son revisables y pueden ser derogadas, suspendidas o modificadas. Y así, las decisiones que se adoptaron previamente al RGPD seguían vigentes y, entre dichas decisiones, estaba el acuerdo con Estados Unidos aplicable a las entidades certificadas en el marco del Escudo de Privacidad (Decisión UE 2016/1250 de la Comisión).
Y decimos que no ha valido ni el puerto ni el escudo porque el antecedente del PS, el Acuerdo de Puerto Seguro (Safe Harbour), ya fue declarado inválido por el TJUE en 2016 al considerar que:
- El acuerdo primaba de forma incondicional y sin limitaciones la seguridad nacional, el interés público y el cumplimiento de la ley de EE.UU. sobre los derechos fundamentales a la intimidad y la protección de datos.
- El acuerdo no otorgaba a los ciudadanos europeos ningún medio para obtener la tutela efectiva de estos derechos (intimidad y protección de datos).
Como os contaremos más adelante, parecidas eran las inquietudes que rondaban entorno al Acuerdo PS y que el Sr. Schrems logró que volviesen a estar sobre la mesa del TJUE en relación con el tratamiento de sus datos por Facebook. Pero terminemos de repasar las TID.
GARANTÍAS ADECUADAS
Si en el territorio, país, organización, etc. al que queremos hacer llegar los datos no hay decisión de adecuación, las TID se pueden realizar mediante la adopción de garantías adecuadas. Algunas de esas garantías no requieren autorización (en fin, que si cuentas con la garantía, puedes hacer la transferencia):
instrumentos jurídicamente vinculantes y exigibles entre autoridades u organismos públicos,
normas corporativas vinculantes,
cláusulas tipo adoptadas por la comisión,
cláusulas tipo de una autoridad de control aprobadas por la comisión,
códigos de conducta o mecanismos de certificación con compromisos vinculantes y exigibles al responsable o encargado del tratamiento del tercer país.
De todos estos mecanismos, para el sector privado -sin lugar a dudas- la opción más sencilla era (y es, dejando al margen la problemática de PS) la firma de cláusulas tipo, bien de las adoptadas por la Comisión, bien de las aprobadas por la Comisión, pero elaboradas por la Autoridad de Control.
También pueden realizarse TID mediante cláusulas contractuales firmadas entre el responsable/encargado y el del tercer país, pero éstas requieren autorización de la Autoridad de Control, lo que la realización de la TID se retrasa considerablemente. Lo mismo pasa con disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles por los interesados.
EXCEPCIONES
Fuera de estos supuestos las TID no pueden llevarse a cabo, salvo excepcionalmente en algunas de las siguientes circunstancias:
El consentimiento del interesado;
La transferencia es necesaria para la ejecución de un contrato o precontrato entre el interesado y el responsable;
La transferencia es necesaria para la celebración o ejecución de un contrato en interés del afectado, entre el responsable del tratamiento y un tercero;
La transferencia es necesaria por razones importantes de interés público;
La transferencia es necesaria para la formulación, ejercicio o defensa de reclamaciones;
La transferencia es necesaria para defender intereses vitales del interesado o de un tercero y el interesado está incapacitado para prestar su consentimiento;
La transferencia se realiza desde un registro público que tenga por objeto facilitar información al público y esté abierto a consulta general o a personas con interés legítimo acreditado siempre que se cumplan las condiciones.
Pero repetimos, estamos en supuestos excepcionales: la tramitación de una documentación, la celebración de un contrato puntual, un pleito en un tercer país, etc. Igualmente, de forma excepcional se puede realizar la transferencia si:
- No es repetitiva;
- Afecta a un número limitado de interesados;
- Es necesaria para lograr los intereses legítimos imperiosos del responsable y no prevalecen otros derechos o intereses de los afectados;
- El responsable haya evaluado todas las circunstancias en relación con la transferencia y ha ofrecido garantías para proteger los datos personales.
Pero, en estos casos, el responsable debe informar de la transferencia al interesado y a la Autoridad de Control y documentar todo en el registro de actividades del tratamiento; y al informar a la autoridad de control… más nos vale estar seguros de que hemos revisado y vuelto a revisar que es un caso excepcional, que se cumplen los requisitos y que se ha documentado todo el proceso.
