Unas cláusulas necesarias, un problema persistente
¿Les suena de algo un tal Max Schrems? Así, en frío, es probable que muchos de ustedes no reconozcan este nombre; pero es, probablemente, la persona que más ha influido en las relaciones entre los Estados Unidos y Europa en materia de protección de datos. Dos sentencias del Tribunal de Justicia de la U.E. llevan su apellido, con consecuencias demoledoras en ambos casos: la declaración de invalidez de los acuerdos Safe Harbor (2015) y Privacy Shield (2020), ambos utilizados por la mayoría de empresas para amparar las transferencias internacionales de datos con sus clientes o proveedores estadounidenses.
Desde la caída del “Escudo de Privacidad”, hace casi un año, son muchas las voces que claman por un nuevo instrumento jurídico que ofrezca cobertura a unos flujos trasatlánticos de datos que, a menudo, son necesarios e inevitables. Máxime debido a que no disponíamos de herramientas apropiadas para dar respuesta a esta necesidad, toda vez que la única alternativa viable (las llamadas “cláusulas contractuales tipo”), aun permaneciendo vigente, databa de principios de siglo y no daba cobertura a muchos de los requerimientos del actual Reglamento General de Protección de Datos.
A pesar de su amplia difusión y de su empleo generalizado, la repercusión de estas cláusulas contractuales era muy limitada: su firma era percibida por la mayor parte de las empresas como un simple formalismo burocrático, un automatismo sin mayor relevancia práctica; y esto no gustaba a las autoridades de supervisión. De ahí que se considerase prioritario introducir, también en este tipo de instrumentos, el principio de responsabilidad proactiva, hilo conductor del RGPD.
En este contexto, la Comisión Europea acaba de aprobar un nuevo conjunto de cláusulas contractuales, significativamente más completas y flexibles que las anteriores. Desde su inminente entrada en vigor, las empresas contarán con un máximo de 18 meses para actualizar sus contratos; y lo podrán hacer en base a un planteamiento modular, que ofrece distintas alternativas en función de los roles que, a efectos de la normativa de protección de datos, desempeñen el importador y el exportador. Así, las nuevas cláusulas dan respuesta a realidades que anteriormente no estaban previstas, como los flujos entre encargados de tratamiento, las relaciones en las que participan una pluralidad de partes o la posibilidad de que una tercera empresa se adhiera a ellas en un momento posterior a su firma inicial. Y lo hacen procurando dar respuesta a las preocupaciones planteadas por el Tribunal de Justicia de la Unión Europea en ambas “sentencias Schrems”.
Ahora bien, no esperen que implementar este articulado sea tan sencillo como copiar y pegar su contenido y plasmar una firma: su uso ha de venir acompañado de un análisis documentado del marco jurídico aplicable al importador de datos, a efectos de evaluar si sus previsiones y contexto resultan suficientes para amparar la transferencia internacional, o si es preciso implementar garantías adicionales para lograr el “nivel de protección sustancialmente equivalente al garantizado dentro de la Unión” que exige el Tribunal de Justicia de la U.E. Esas garantías adicionales podrían ser añadidas libremente por las partes, en su caso, en la medida en que no contradigan su clausulado ni perjudiquen los derechos y libertades de los interesados; y deberían basarse en las recomendaciones publicadas al respecto por el Comité Europeo de Protección de Datos.
Todas estas novedades, plagadas de buenas intenciones, mejoran y complementan el marco jurídico de las transferencias internacionales de datos; pero desgraciadamente, siguen sin dar una respuesta ágil y eficiente al principal problema al que se enfrentan decenas de miles de empresas en toda la Unión Europea, que dependen tecnológicamente de proveedores estadounidenses con los que resulta poco menos que imposible negociar los concretos términos de un contrato. La opción que estos proveedores plantearán a sus clientes, con toda probabilidad, será la aceptación de contratos de adhesión basados en estas cláusulas; y me atrevo a pronosticar que en muchos de ellos, la responsabilidad proactiva y el análisis previo de riesgos brillarán por su ausencia. Aún así, la gran mayoría de las empresas los acatarán sin pensárselo, para dar cobertura formal a unos flujos de datos que eran legales hace un año y que ahora las colocan en serio riesgo de sanción… y su firma tenderá a convertirse nuevamente en un mero trámite, hasta que intervengan las autoridades de supervisión. Se antoja probable, pues, que la mera aprobación de estas nuevas cláusulas contractuales resultará insuficiente para superar la difícil coyuntura en la que nos encontramos. Suponen un paso adelante, sin duda, pero precisamos soluciones más ambiciosas.
Si me permiten opinar, el despegue de tecnologías como la inteligencia artificial, el machine learning y los servicios en la nube hacen que cada vez sea más necesario contar con un marco global común en materia de privacidad y protección de datos. Los esfuerzos europeos son loables, pero utópicos, e incluso ingenuos si no vienen acompañados por movimientos similares en el resto de los países del mundo, empezando por los Estados Unidos. Mientras no se alcance esta meta, no veo otra salida que continuar aprobando soluciones temporales, abocadas a la irrelevancia práctica o a ser invalidadas por la Justicia. ¡Espero equivocarme!
José Leandro Núñez García
Abogado, Socio de Audens, y Vocal de Enatic.