Entradas

A vueltas con las transferencias internacionales de datos a y desde Estados Unidos

Tras la sentencia Schrems II del TJUE que invalidó el Privacy Shield, los EE.UU. “contraatacan” con un proyecto de ley denominado Protegiendo los datos de los estadounidenses de la vigilancia extranjera, que propone imponer limitaciones a las transferencias de datos personales desde EE.UU. a países a los que una exportación de datos personales iría en contra de la seguridad nacional. 

Como es sabido, tras la sentencia Schrems II del TJUE que invalidó el Privacy Shield, el CEPD adoptó recomendaciones sobre medidas suplementarias para realizar transferencias internacionales de datos a países fuera de la UE / EEE, los llamados terceros países.

La recomendación adoptada contiene un sistema de varios pasos que deben llevarse a cabo para garantizar un nivel de protección “esencialmente equivalente” al que ofrece el RGPD cuando los datos se transfieren a un tercer país. El responsable del tratamiento debe evaluar si existe algún aspecto en la legislación o práctica del tercer país que impida que el encargado del tratamiento cumpla con sus obligaciones derivadas del RGPD y el mecanismo de transferencia elegido. Si el responsable del tratamiento llega a la conclusión de que la legislación o la práctica del tercer país implica que el encargado del tratamiento no puede cumplir con sus obligaciones y, por tanto, no puede garantizar una protección “esencialmente equivalente”, deben adoptarse medidas suplementarias.

A pesar de las recomendaciones citadas, subsiste una gran inseguridad jurídica en cuanto a lo que se entiende por un “nivel de protección esencialmente equivalente” y cómo conseguirlo y, más importante aún, poder acreditarlo, en la práctica.  Es de la máxima relevancia que los responsables del tratamiento y sus asesores conozcan qué entienden las autoridades de control por el término “nivel de protección esencialmente equivalente”.

Aunque las recomendaciones del CEPD hacen referencia a todo tercer estado, el TJUE ya se ha pronunciado en relación a la legislación estadounidense sobre protección de datos, a pesar de lo cual lo previsto en las recomendaciones sigue siendo de obligado cumplimiento en ese contexto.

Así las cosas, desde el Departamento de Comercio norteamericano se insiste en que el Privacy Shield y los flujos de datos transatlánticos son una prioridad para la Administración Biden. El 25 de marzo de 2021, la Secretaria de Comercio de EE.UU., Gina Raimondo, y el Comisario europeo de Justicia, Didier Reynders, emitieron una declaración conjunta en la que señalaron que “el gobierno de EE.UU. y la Comisión Europea han decidido intensificar las negociaciones en relación a obtener un mejorado marco Privacy Shield UE-EE.UU. para dar cumplimiento a la sentencia de 16 de julio de 2020 del TJUE en el caso Schrems II. Estas negociaciones subrayan nuestro compromiso compartido con la privacidad, la protección de datos y el estado de derecho y nuestro reconocimiento mutuo de la importancia de los flujos de datos transatlánticos para nuestros respectivos ciudadanos, economías y sociedades “.

El Departamento de Comercio informa, en su web, además, de que el Departamento continúa administrando el programa Privacy Shield – en el que siguen autocertificadas cientos de empresas- mientras continúan esas negociaciones.

Por su parte, los EE.UU. publican un proyecto de ley titulado “Protegiendo los datos de los estadounidenses de la vigilancia extranjera”, que propone imponer limitaciones a las transferencias de datos personales desde EE.UU. a países a los que una exportación de datos personales iría en contra de la seguridad nacional.  Por consiguiente, se pretenden requerir controles de exportación con respecto a ciertos datos personales de ciudadanos estadounidenses.

El proyecto de ley requiere, entre otros aspectos, formar una lista de categorías de información personal que pueden ser explotadas por gobiernos extranjeros; elaborar una lista de países a los que la exportación de datos personales iría en detrimento de la seguridad nacional y establecer un umbral cuantitativo para las transferencias anuales que, si se excediera, dañarían la seguridad nacional de los EE.UU.

Se prevé la imposición de controles impositivos a la exportación, reexportación o transferencia en el país de datos personales que superen los umbrales establecidos. Dichos controles  podrían incluir la necesidad de obtener una licencia o autorización.

 A la espera de saber si el proyecto de ley progresará y será aprobado y, en ese caso, conocer cuáles serán las definiciones finales de conceptos como exportación, cuáles serán los criterios de evaluación para considerar que una transferencia de datos daña o no la seguridad nacional de los EE.UU., las excepciones a los requisitos de autorización y licencia y, no menos importante, el régimen sancionador que resulte aprobado, la controversia está servida.

Belén Arribas Sánchez
Vicepresidenta de ENATIC

Unas cláusulas necesarias, un problema persistente

¿Les suena de algo un tal Max Schrems? Así, en frío, es probable que muchos de ustedes no reconozcan este nombre; pero es, probablemente, la persona que más ha influido en las relaciones entre los Estados Unidos y Europa en materia de protección de datos. Dos sentencias del Tribunal de Justicia de la U.E. llevan su apellido, con consecuencias demoledoras en ambos casos: la declaración de invalidez de los acuerdos Safe Harbor (2015) y Privacy Shield (2020), ambos utilizados por la mayoría de empresas para amparar las transferencias internacionales de datos con sus clientes o proveedores estadounidenses.

Desde la caída del “Escudo de Privacidad”, hace casi un año, son muchas las voces que claman por un nuevo instrumento jurídico que ofrezca cobertura a unos flujos trasatlánticos de datos que, a menudo, son necesarios e inevitables. Máxime debido a que no disponíamos de herramientas apropiadas para dar respuesta a esta necesidad, toda vez que la única alternativa viable (las llamadas “cláusulas contractuales tipo”), aun permaneciendo vigente, databa de principios de siglo y no daba cobertura a muchos de los requerimientos del actual Reglamento General de Protección de Datos.

A pesar de su amplia difusión y de su empleo generalizado, la repercusión de estas cláusulas contractuales era muy limitada: su firma era percibida por la mayor parte de las empresas como un simple formalismo burocrático, un automatismo sin mayor relevancia práctica; y esto no gustaba a las autoridades de supervisión. De ahí que se considerase prioritario introducir, también en este tipo de instrumentos, el principio de responsabilidad proactiva, hilo conductor del RGPD.

En este contexto, la Comisión Europea acaba de aprobar un nuevo conjunto de cláusulas contractuales, significativamente más completas y flexibles que las anteriores. Desde su inminente entrada en vigor, las empresas contarán con un máximo de 18 meses para actualizar sus contratos; y lo podrán hacer en base a un planteamiento modular, que ofrece distintas alternativas en función de los roles que, a efectos de la normativa de protección de datos, desempeñen el importador y el exportador. Así, las nuevas cláusulas dan respuesta a realidades que anteriormente no estaban previstas, como los flujos entre encargados de tratamiento, las relaciones en las que participan una pluralidad de partes o la posibilidad de que una tercera empresa se adhiera a ellas en un momento posterior a su firma inicial. Y lo hacen procurando dar respuesta a las preocupaciones planteadas por el Tribunal de Justicia de la Unión Europea en ambas “sentencias Schrems”.

Ahora bien, no esperen que implementar este articulado sea tan sencillo como copiar y pegar su contenido y plasmar una firma: su uso ha de venir acompañado de un análisis documentado del marco jurídico aplicable al importador de datos, a efectos de evaluar si sus previsiones y contexto resultan suficientes para amparar la transferencia internacional, o si es preciso implementar garantías adicionales para lograr el “nivel de protección sustancialmente equivalente al garantizado dentro de la Unión” que exige el Tribunal de Justicia de la U.E. Esas garantías adicionales podrían ser añadidas libremente por las partes, en su caso, en la medida en que no contradigan su clausulado ni perjudiquen los derechos y libertades de los interesados; y deberían basarse en las recomendaciones publicadas al respecto por el Comité Europeo de Protección de Datos.

Todas estas novedades, plagadas de buenas intenciones, mejoran y complementan el marco jurídico de las transferencias internacionales de datos; pero desgraciadamente, siguen sin dar una respuesta ágil y eficiente al principal problema al que se enfrentan decenas de miles de empresas en toda la Unión Europea, que dependen tecnológicamente de proveedores estadounidenses con los que resulta poco menos que imposible negociar los concretos términos de un contrato. La opción que estos proveedores plantearán a sus clientes, con toda probabilidad, será la aceptación de contratos de adhesión basados en estas cláusulas; y me atrevo a pronosticar que en muchos de ellos, la responsabilidad proactiva y el análisis previo de riesgos brillarán por su ausencia. Aún así, la gran mayoría de las empresas los acatarán sin pensárselo, para dar cobertura formal a unos flujos de datos que eran legales hace un año y que ahora las colocan en serio riesgo de sanción… y su firma tenderá a convertirse nuevamente en un mero trámite, hasta que intervengan las autoridades de supervisión. Se antoja probable, pues, que la mera aprobación de estas nuevas cláusulas contractuales resultará insuficiente para superar la difícil coyuntura en la que nos encontramos. Suponen un paso adelante, sin duda, pero precisamos soluciones más ambiciosas.

Si me permiten opinar, el despegue de tecnologías como la inteligencia artificial, el machine learning y los servicios en la nube hacen que cada vez sea más necesario contar con un marco global común en materia de privacidad y protección de datos. Los esfuerzos europeos son loables, pero utópicos, e incluso ingenuos si no vienen acompañados por movimientos similares en el resto de los países del mundo, empezando por los Estados Unidos. Mientras no se alcance esta meta, no veo otra salida que continuar aprobando soluciones temporales, abocadas a la irrelevancia práctica o a ser invalidadas por la Justicia. ¡Espero equivocarme!

José Leandro Núñez García
Abogado, Socio de Audens, y Vocal de Enatic.