El aspecto más novedoso y relevante, desde que el 25 de mayo de 2018 comenzó a regir el Reglamento General de Protección de Datos (RGPD), probablemente sea que la obligatoriedad de sus normas se extiende no solo a los estados miembros de la Unión Europea, sino a todos quienes reciben datos personales cuyos titulares estén dentro de la Unión Europea. Esto implica que estas transferencias internacionales de datos deben ser autorizadas mediante las denominadas “decisiones de adecuación” de la Comisión Europea.
El Escudo de Privacidad (Privacy Shield) fue diseñado por EE.UU., la Unión Europea y Suiza con el objetivo de proporcionar a las empresas a ambos lados del Atlántico un mecanismo de cumplimiento con los requisitos de protección de datos personales cuando son transferidos a Estados Unidos.
Sin embargo, las decisiones de adecuación pueden ser impugnadas y eso es lo que ocurrió en el denominado caso “Schrems II”, por el que el activista de privacidad Max Schrems recurrió el tratamiento de datos personales que Facebook Irlanda realiza hacia su homólogo en Estados Unidos. En consecuencia, el 16 de julio de 2020 el Tribunal de Justicia de la Unión Europea (TJUE) publicó una sentencia en la que anula la Decisión 2016/1250 de la Comisión que declaraba el nivel adecuado de protección del Escudo de Privacidad para las transferencias internacionales de datos a EEUU, determinando que éste no otorga garantías adecuadas. La causa raíz reside en el hecho de que las leyes de EE.UU. permiten la recopilación de datos personales de ciudadanos no estadounidenses a través de medios electrónicos como Facebook, los cuales, podrían ser usados por los servicios de inteligencia estatal en casos de seguridad nacional, produciéndose así un uso más allá de lo estrictamente necesario.
La consecuencia de todo ello es que la gran mayoría de las transferencias internacionales que se producen entre Europa y EE.UU se convierten en ilegales, debiendo las empresas exportadora e importadora adoptar medidas complementarias de protección tales como la anonimización o seudonimización, modificar sus políticas de privacidad y realizar otros análisis de riesgos internos si no quieren arriesgarse a asumir enormes sanciones que pueden llegar hasta los 20 millones de euros o el 4% de su volumen de facturación anual.
Un caso similar es el que relacionado con el Brexit y las transferencias de datos personales hacia el Reino Unido, el cual, desde el 1 de enero de 2021 ha dejado de pertenecer a la UE. En este caso, ambas partes pactaron una prórroga de seis meses que vence el 30 de junio de este año.
¿Existe alguna solución que evite la transferencia de datos?
Debe atenderse cada caso en particular, aunque según los expertos, una solución pasa por que las empresas almacenen y administren los datos personales de los usuarios en servidores ubicados en suelo europeo. Esto supondría un coste extra para las empresas, pero a cambio, también una ventaja en cuanto a la facilidad de los trámites necesarios.
Supuestos validos de transferencias
El artículo 49 del Reglamento General de Protección de Datos prevé ciertas excepciones para mantener las transferencias de datos; esto ocurrirá cuando:
- Se cuente con el consentimiento del titular si este ha sido informado de los posibles riesgos de dichas transferencias; en particular, este consentimiento deberá ser explícito, específico para la transferencia o conjunto de transferencias de datos concreta, e informado sobre los posibles riesgos de la transferencia.
- En aquellos casos en que la transferencia sea necesaria para la ejecución de un contrato, pero solo podrán transferirse cuando la transferencia sea ocasional.
- Finalmente, por razones importantes de interés público; aunque esta excepción no se limita a las transferencias de datos que son «ocasionales», no significa que las transferencias puedan tener lugar a gran escala y de manera sistemática. Por el contrario, debe respetarse el principio general según el cual las excepciones establecidas en el artículo 49 del RGPD no deben convertirse en «norma» en la práctica, sino que deben limitarse a situaciones específicas y cada exportador de datos debe garantizar que la transferencia cumpla la prueba de necesidad estricta.
¿Qué debo hacer si utilizo normas corporativas vinculantes (NCV) o cláusula contractuales tipo (CCT) con un importador de datos fuera de la UE?
El Tribunal consideró que el Derecho no garantiza un nivel de protección sustancialmente equivalente y, por tanto, la posibilidad de transferir datos personales sobre la base de CCT o NCV dependerá del resultado de su evaluación concreta. Es responsabilidad del exportador y del importador de los datos evaluar si el nivel de protección exigido por la legislación de la UE se respeta en el país tercero y determinar si las garantías proporcionadas por las CCT o las NCV pueden cumplirse en la práctica. En caso contrario, deberá evaluar si puede proporcionar medidas complementarias para garantizar un nivel de protección equivalente. No obstante, si desea seguir transfiriendo datos a pesar de esta conclusión, deberá notificarlo a su Autoridad de Control competente.
Actualmente, la Unión Europea debe pronunciarse más pronto que tarde acerca del camino a seguir para aquellas empresas afectadas que, mientras tanto, tendrán que buscar soluciones alternativas como algunas de las comentadas que les permitan seguir ejerciendo el tratamiento de los datos personales de sus usuarios dentro del marco normativo europeo.
La Agencia Española de Protección de Datos va a seguir trabajando junto con el resto de las autoridades europeas en una respuesta armonizada, garantizando así una aplicación consistente de la sentencia en todos los países de la UE.
Rafael Miranda Rivas
Gerente Área Digital.