Protección Data

BLOG

PARA ESTAR AL TANTO DE LA REGULACIÓN Y NOVEDADES EN PROTECCIÓN DE DATOS

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Transferencias de datos a EE.UU.

El Tribunal de Justicia de la Unión Europea (TJUE) en su sentencia de 16 de julio de 2020 dictada en el asunto C‑311/18 (Schrems II) invalidó la Decisión de Ejecución (UE) 2016/1250, de 12 de julio de 2016, sobre adecuación de la protección conferida por el Escudo de la Privacidad U.E.–EE.UU. 

Antes de contarles la situación actual, tras el referido pronunciamiento del TJUE sobre el «Escudo de la Privacidad» vamos a ver los antecedentes del caso.

Maximiliam Schrems es nacional austriaco residente en Austria y es usuario de Facebook desde 2008. Como ocurre con el resto de usuarios residentes en la Unión, los datos personales del Sr. Schrems son transferidos por Facebook Ireland a servidores pertenecientes a Facebook Inc. situados en el territorio de Estados Unidos, donde son objeto de tratamiento.

El Sr. Schrems presentó una reclamación ante la autoridad de control de Irlanda (Irish Data Protection Comissioner) en la que solicitaba que se prohibiesen las transferencias de datos personales a Estados Unidos, alegando que el Derecho y prácticas de los Estados Unidos no ofrecían suficiente protección a los interesados frente al acceso por parte de las autoridades públicas norteamericanas a los datos allí transferidos.

La autoridad de control de Irlanda desestimó la reclamación del Sr. Schrems en base a la Decisión 2000/520/CE, de 26 de julio de 2000, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América («Decisión de Puerto Seguro» o Safe Harbour) en la que la Comisión declaraba que los Estados Unidos ofrecían un nivel adecuado de protección.

El Sr. Schrems recurrió aquella resolución ante los tribunales de justicia de Irlanda y el asunto terminó en el Tribunal de Justicia de la Unión Europea quien, mediante sentencia de 6 de octubre de 2015, en respuesta a una cuestión prejudicial planteada por el High Court irlandés, declaró inválida la Decisión 2000/520/CE. El Tribunal se basa en que dicha Decisión prima la seguridad nacional de Estados Unidos sobre el derecho de las personas a la protección de datos, sin limitar de ninguna manera la posibilidad de acceso a dichos datos por parte del gobierno norteamericano. De igual modo, una vez transferidos a Estados Unidos los ciudadanos europeos no tenían ningún derecho sobre sus datos. No obstante, la sentencia dispone que las Cláusulas Contractuales Tipo y las Normas Corporativas Vinculantes podían seguir utilizándose, bajo el control de las autoridades de protección de datos, cuando el nivel de protección en destino sea adecuado.

Tras dicha sentencia del TJUE, la Comisión adoptó la Decisión (UE) 2016/1250 –conocida como Privacy Shield– que, como decía al inicio, fue invalidada por el TJUE, partiendo de la base de que las personas cuyos datos se transfieren a un tercer país deben gozar de un nivel de protección sustancialmente equivalente al garantizado dentro del Espacio Económico Europeo por el RGPD. El TJUE entiende que no se da el mismo nivel de protección al usuario por la legislación estadounidense, pues dichas leyes permiten la recopilación de datos personales de ciudadanos no estadounidenses a través de medios electrónicos, los cuales podrían ser usados por los servicios de inteligencia norteamericanos en casos de seguridad nacional, produciéndose un uso que excede de la finalidad para la que fueron tratados.

Invalidado el «Escudo de la Privacidad», ¿qué tenemos?. Por lo de pronto, mucha inseguridad jurídica.

Nuestros datos personales pueden terminar en Estados Unidos más fácil de lo que creemos, por ejemplo, si usamos redes sociales, o empleamos ciertos servicios de almacenamiento en la nube, o compramos bienes o contratamos servicios a través de Internet. Por ello, es importante tener un marco jurídico claro y bien definido que, hoy por hoy, no tenemos.

El Comité Europeo de Protección de Datos (CEPD, o EDPB por sus siglas en inglés) publicó el pasado día 10 de noviembre de 2020 dos recomendaciones a los efectos de aclarar el panorama actual.

La Recomendación 1/2020 establece las salvaguardas que los responsables del tratamiento deben adoptar en sus transferencias internacionales de datos para ajustarlas al nivel de protección ofrecido en el Espacio Económico Europeo (EEE). El nivel de protección en terceros países no tiene por qué ser idéntico al garantizado dentro del EEE, pero será esencialmente equivalente según el TJUE.

Antes de realizar la transferencia internacional a un tercer país, el responsable del tratamiento debe verificar que los datos personales que quiere transferir sean adecuados, relevantes y limitados a lo necesario en relación con los fines para los que se transfiere y procesa en el tercer país. 

En ausencia de legislación que regule la circunstancias en las que las autoridades públicas del país tercero pueden acceder a los datos personales, el responsable del tratamiento debe considerar otros factores relevantes y objetivos, y no confiar en factores subjetivos como la probabilidad de que las autoridades públicas accedan a los datos de una manera que no esté en consonancia con las normas de la Unión. Para ello, deben realizar esta evaluación con la debida diligencia y documentarla a fondo, ya que serán responsables de la decisión que puedan tomar sobre esa base.

Para asegurar un nivel de protección adecuado, el responsable del tratamiento adoptará las medidas complementarias necesarias para paliar el déficit de privacidad hasta elevar el nivel de protección al estándar de la Unión. Por ejemplo, mediante la minimización del contenido de la comunicación, con la seudonimización de los datos o su encriptado, manteniendo las claves de desencriptado seguras. Si ninguna medida complementaria equilibra el déficit de privacidad deberá evitar, suspender o finalizar la transferencia para no comprometer el nivel de protección de los datos e incurrir en infracción.

En cualquier caso, cabe recordar que las autoridades de control tienen competencias para monitorear la aplicación del RGPD, pudiendo suspender o prohibir las transferencias de datos en aquellos casos en que, siguiendo una investigación o denuncia, encuentran que un nivel de protección esencialmente equivalente no puede ser asegurado.

Para el CEPD, la responsabilidad proactiva que requiere la protección de datos personales implica la obligación de asegurar la efectiva privacidad e integridad de los datos. De modo que el responsable del tratamiento debe asegurarse de que los datos no serán comprometidos no sólo en la transferencia internacional efectuada, sino en las posteriores transferencias que el receptor pueda llevar a cabo. 

El responsable debe, también, cerciorarse periódicamente de la validez de los instrumentos en base a los cuales se lleva a cabo el tratamiento. Si se trata de una decisión de adecuación de la Comisión se debe revisar la lista publicada en su web oficial y si, por el contrario, el tratamiento se fundamenta en los mecanismos de los arts. 46 y 49 del RGPD hay que tener presentes las actualizaciones en materia de buenas prácticas. La Comisión ha publicado, recientemente, un borrador señalando los estándares que marcarán la actualización de su Standard Contractual Clauses.

Documentar con detalle todo el proceso es esencial para evitar responsabilidades. El objetivo es lograr la trazabilidad de todo el procedimiento como medio para demostrar la efectividad de la protección y la actuación diligente del emisor.  

En la Recomendación 2/2020 el CEPD introduce las European Essential Guarantees que se refieren, fundamentalmente, a acciones llevadas a cabo por autoridades públicas, si bien pueden resultar, igualmente, de utilidad para las empresas.

Algunos de los signos que revelarán el respeto a los derechos de privacidad y protección de datos en el tercer país serán, entre otros, la existencia de normas claras, precisas y accesibles, el respeto a los principios de proporcionalidad y necesidad de las actuaciones, la presencia de autoridades de control y supervisión independientes y la naturaleza de los distintos medios de ejercicio y defensa de derechos con los que cuentan los interesados.

En la actualidad, realizar una transferencia de datos personales a los Estados Unidos, dentro de la legalidad vigente, puede suponer un quebradero de cabeza, y más teniendo en cuenta que Estados Unidos lo componen cincuenta estados, un distrito federal y estados asociados como Puerto Rico, Islas Vírgenes, Islas Marianas del Norte, Samoa Americana y Guam, además de infinidad de islas y atolones distribuidos por todo el Caribe y el Pacífico, en los cuales es fácil instalar servidores para el almacenamiento y tratamiento de millones datos.  

Actualmente, la Comisión Europea y el Gobierno de los EE.UU. negocian un nuevo pacto para asegurar el flujo transatlántico de datos.

EnglishPortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual