El pasado 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea (TJUE) mediante la Sentencia del asunto C-311/18, Data Protection Commissioner vs Facebook & Max Schrems, ha anulado la Decisión 2016/1250 de la Comisión que permitía las transferencias internacionales de datos entre la Unión Europea y EEUU (Escudo de Privacidad o Privacy Shield).
Con la invalidación del Privacy Shield, por lo tanto, la mayoría de las transferencias internacionales de datos que se realizan a través de proveedores tecnológicos de EEUU, pasan a ser ilegales, generando un clima de total inseguridad.
Durante estos últimos meses, la Agencia Española de Protección de Datos (AEPD) ha estado trabajando con las demás autoridades de control europeas para dar una respuesta armonizada y con un enfoque común, garantizando así una aplicación homogénea de la citada Sentencia en todos los países de la UE. Pero, de momento, la AEPD no ha publicado ninguna instrucción o recomendación al respecto para los operadores del mercado.
Es preciso destacar que el Comité Europeo de Protección de Datos (CEPD) ha dictado un comunicado en el que declara que tendrán que suspenderse las transferencias de datos personales anteriormente amparadas en el Privacy Shield, señalando que la UE y los EEUU deben lograr un marco completo y efectivo que garantice que el nivel de protección de los datos personales en los EEUU sea sustancialmente equivalente al garantizado en la UE.
En particular, entre las posibles alternativas que cuentan con garantías adecuadas destacamos (i) las normas corporativas vinculantes (o BCR) y (ii) las cláusulas contractuales tipo.
La primera alternativa se trata, sin duda, del camino más largo y difícil, porque las normas corporativas vinculantes requieren un largo trabajo de estudio y planificación además de la aprobación de la AEPD. Es preciso recordar que, en marzo de 2020, la AEPD aprobó las primeras BCR (del GRUPO FUJIKURA AUTOMOTIVE EUROPE) en el marco del Reglamento (UE) 2016/679 de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).
Por lo que se refiere a la segunda alternativa, el TJUE ha vuelto a recordar la validez de las cláusulas contractuales tipo adoptadas por la Comisión Europea, siempre y cuando los intervinientes realicen una evaluación previa de las circunstancias específicas de la trasferencia y, en su caso, adopten medidas adicionales a las incluidas en las cláusulas contractuales tipo.
Es decir, si se decide firmar dichas cláusulas, el exportador de datos tendrá que analizar y evaluar la adecuación de la normativa del país importador al estándar de protección de datos personales europeo (apartados 175 y 176 de la Sentencia) y, en su caso, adoptar medidas de garantía adicionales.
Por último, aunque no puede considerarse una alternativa “permanente”, el art. 49 RGPD regula la posibilidad de realizar trasferencias internacionales, excepcionalmente y con carácter necesario, si:
- el interesado ha dado explícitamente su consentimiento a la transferencia propuesta;
- la transferencia internacional de datos es necesaria para la preparación, ejecución o celebración de un contrato, por razones de interés público, para la reclamación o ejercicio de defensa, o para la protección de intereses vitales del interesado.
- la transferencia se realiza desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general.
Sin perjuicio de lo anterior, para tomar medidas eficaces y tratar de desbloquear la situación de parálisis generada por la invalidación del Privacy Shield, es preciso analizar caso por caso las circunstancias de cada compañía sobre la base de las concretas trasferencias de datos internacionales que se realizan en el seno de la misma.
Por lo tanto, es muy importante que empresas y administraciones públicas revisen qué tratamientos de datos pueden estar afectados por la resolución del TJUE, dado que es muy frecuente que en el seno de una compañía se realicen transferencias internacionales de datos a EEUU a través de servicios prestados por proveedores estadounidenses (empresas de hosting o de servicios cloud).
La situación actual plantea un enorme reto que obliga a revisar detalladamente los tratamientos de datos personales y a regularizar los tratamientos que han pasado a ser ilícitos, tras la invalidación del Privacy Shield. Los delegados de protección de datos y profesionales de la privacidad pueden aportar seguridad jurídica y ayudar a las sociedades a detectar los posibles riesgos, así como determinar las medidas concretas para que esos tratamientos de datos sigan siendo acordes al RGPD.