COMO AFECTA ESTA SENTENCIA A LAS TRANSFERENCIAS INTERNACIONALES DE DATOS
CONTENIDO ELABORADO POR «RIESTRA ABOGADOS»
Es muy habitual contratar servicios de proveedores ubicados en Estados Unidos. Servicios de hosting, servicios de análisis de datos, plataformas de marketing y ventas, plataformas de e-mailing, etc. Son servicios muy comunes que en un mundo global y digital, su contratación es rápida, sencilla y económica, y cuya utilidad es sin lugar a duda, incuestionable.También es común que empresas internacionales transfieran información y datos personales a sus empresas matrices en Estados Unidos, para por ejemplo mantener un historial de empleados a nivel global, realizar evaluaciones de dichos empleados, o mantener una base de datos común de clientes. Pues bien, estas situaciones tan comunes y otras tantas, hacen que la reciente sentencia del Tribunal de la Unión Europea, de 16 de julio de 2020, por la que se invalidaba el Privacy Shieldo Escudo de Privacidad cobre un gran interés, ya no solo en los profesionales de la protección de datos y abogados, sino también en todo el sector empresarial.Para comprender el alcance de esta sentencia y las implicaciones que tendrá en las empresas y en las transferencias internacionales, debemos partir de una serie de definiciones y la primera de ellas es saber qué es exactamente una transferencia internacional de datos.
¿Qué es una transferencia internacional de datos?
La Agencia Española de Protección de Datos la define como un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega).
Es decir, siempre que, en un tratamiento de datos, existan datos que salgan fuera de las fronteras del Espacio Económico Europeo, estaremos ante una Transferencia Internacional de Datos.
Debemos tener en cuenta que una transferencia internacional de datos afectan tanto a responsables del tratamiento, como a encargados del tratamiento. Por tanto, si una empresa española contrata los servicios de almacenamiento de datos de una empresa ubicada en Estados Unidos, y cuyo tratamiento de datos tiene lugar en Estados Unidos, estaríamos ante una transferencia internacional.
Se desprende por tanto de la propia definición que cualquier transferencia de datos a Estados Unidos es una transferencia internacional de datos, entendida tal definición como una figura jurídica con una concreta regulación. Dicha regulación aparece definida a través del Reglamento General de Protección de Datos (RGPD).
¿Cómo se hace legalmente una transferencia internacional de datos?
Al realizar una transferencia internacional de datos, sin necesidad de solicitar autorización a la Agencia Española de Protección de Datos, se debe cumplir con lo estipulado en el RGPD y deben darse los siguientes supuestos:
- El destinatario debe ser declarado de nivel adecuado por la Comisión Europea.
- En defecto de lo anterior, aplicar determinadas garantías, tales como normas corporativas vinculantes o la firma de cláusula tipo adoptadas o aprobadas por la Comisión, adhesión a códigos de conducta o disponer de certificados.
- En defecto de lo anterior, las transferencias internacionales de dato podrán darse siempre que se cumplan alguna de las condiciones establecidas por el RGPD, como por ejemplo disponer del consentimiento explícito de los interesados, o que la transferencia sea necesaria para la ejecución de un contrato, interés público, entre otras.
Hasta ahora, las transferencias internacionales con destino Estados Unidos estaban comprendidas en el primer punto, ya que se consideraba a Estados Unidos como un país adecuado al aprobarse en 2016 el llamado Privacy Shieldo Escudo de Privacidad.
¿Qué es el Privacy Shield?
El Privacy Shieldes un acuerdo adoptado por la Unión Europea y Estados Unidos en 2016 por el cual, todas las empresas estadounidenses que estuvieran adheridas a él debían cumplir una serie de normas de protección y seguridad bien definidas, proporcionando por tanto un medio seguro y acorde a la ley para la transferencia de datos entre la UE y los EE.UU. Este acuerdo viene como consecuencia de la derogación del anterior acuerdo de “Puerto Seguro”, («Safe Harbour») sobre el procesado y la protección de datos transferidos entre la UE y EEUU, fruto del caso Schrems.
Hasta ahora, si queríamos realizar una transferencia internacional de datos, debíamos confirmar si la empresa estadounidense destinataria de los datos estaba adherida al Privacy Shield. Esto lo podíamos hacer accediendo a la página web www.privacyshield.gov. Si la empresa estaba adherida, significaba que la transferencia podía realizarse correctamente. En caso contrario, debíamos buscar otros medios para realizar dicha transferencia.
¿Cómo puede afectar a mi empresa?
Como antes decíamos, es muy común que muchos de nuestros proveedores o empresas del grupo estén ubicadas en los Estados Unidos. Bloqueado el Escudo de Privacidad, cualquier transferencia realizada a Estados Unidos no podrá basarse en la consideración de nivel adecuado de seguridad. Por tanto, habrá que revisar si nuestros datos, o los datos de nuestros clientes están siendo tratados en Estados Unidos y buscar alternativas al tratamiento en este país o bien reubicar el tratamiento dentro de las fronteras del Espacio Económico Europeo.
¿Qué otras alternativas hay al Privacy Shield?
Por el momento, se nos presenta un panorama complicado para las transferencias internacionales. Conforme al RGPD, podríamos plantear las transferencias internacionales de datos atendiendo a otras medidas, como podrían ser las Cláusulas Contractuales Estándar o Cláusulas Contractuales Tipo, o bien, las Normas Corporativas Vinculantes. Ambos conceptos jurídicos aparecen regulados en el RGPD. Sin embargo, debemos evaluar si a través de estos medios podemos garantizar de una forma coherente y suficiente, siempre conforme a la normativa europea de protección datos, que los datos están siendo transferidos y tratados en el lugar de destino de una forma segura y conforme a la ley. Otra opción podría ser basar la transferencia internacional a Estados Unidos en las excepciones planteadas en el RGPD, como por ejemplo recabando el consentimiento explícito, específico e informado de los afectados.
Por el momento todas las autoridades de protección de datos de Europa, no se han pronunciado expresamente, incluida nuestra Agencia de Protección de Datos, porque, según ellos, están preparando una respuesta coordinada. Suponemos que a nivel político lo mismo, porque afecta directamente a la industria tecnológica de EEUU, ¿en cuántos de sus servidores están alojados nuestros datos?, ¿cuántas de sus herramientas de marketing online utilizamos para nuestras campañas? Sin duda un duro golpe, para estas empresas, como también para quienes contratamos sus servicios desde Europa porque en muchos casos son más baratos y eficaces.
De momento, se está imponiendo la cautela, la tensa espera, para ver la solución, mientras tanto las empresas europeas, que sigan utilizando los servidores de las empresas estadounidenses, están en un evidente incumplimiento del Reglamento General de Protección de Datos, y nos tememos que esto no tiene solución.
Futuro gris para las transferencias internacionales de datos a EEUU.
Recordemos que el acuerdo que ahora se deroga “Privacy Shield”, para la transferencia de datos personales de la UE a EEUU, fue el parche de la anulación del primer acuerdo denominado “Puerto Seguro”, y todo ello por las revelaciones del caso Snowden donde el gobierno de EEUU, por motivos de seguridad nacional, accedía a los datos de todos los usuarios de sus empresas tecnológicas, “espionaje masivo”, y es por eso que ahora nuestro Tribunal de Justicia Europeo sigue sin fiarse, y la pregunta que debemos hacernos es ¿cambiará el gobierno de EEUU su política de seguridad nacional?, dependiendo de la respuesta que tengamos cada uno de nosotros tendremos que tomar una de las dos siguientes decisiones, una, esperar sine die y continuar con las transferencias internacionales, u otra, ir buscando un proveedor alternativo dentro de la UE. Mientras tanto, esperamos en breve los primeros pronunciamientos de las autoridades de protección de datos para despejar las dudas, y si éstos se basan en legitimar el uso de cláusulas tipo, entre la empresa europea que envía los datos y la de Estados Unidos que los recepciona, pero el gobierno de los EEUU no garantiza la no injerencia nos encontraríamos en un callejón sin salida.
ENLACES DE INTERES: