El pasado mes de julio, el Tribunal de Justicia de la Unión Europea (TJUE) anuló Privacy Shield (que era el principal instrumento de legalización de transferencias internacionales de datos personales a USA) al considerar que la legislación de USA no permitía garantizar a las empresas adheridas un nivel de protección de datos adecuado.
El TJUE no anuló los demás mecanismos previstos en la normativa, Cláusulas Contractuales Tipo (SCC) y Normas Corporativas Vinculantes (BCR), pero sí advirtió que los exportadores de datos debían valorar previamente si la legislación del país de destino permitía garantizar un nivel adecuado de protección de datos al importador (algo que el propio TJUE descarta en el caso de USA).
Como respuesta, el Comité Europeo de Protección de Datos (CEPD/EDPB) se comprometió a analizar la situación y ofrecer medidas adicionales a los mecanismos restantes (SCC y BCR) que ayudasen a solucionar el problema.
Aunque estuvo sujeto a consulta pública hasta el 30 de noviembre, el EDPB publicó anterior a esa fecha un documento de medidas adicionales a las SCC/BCR que podrían servir para solucionar el problema; sin embargo, lamentablemente, no aportan ninguna solución para la mayoría de los casos.
Las únicas situaciones en las que el EDPB considera viable una transferencia a USA basada en SCC/BCR son aquellas en las que ni el importador de datos en USA, ni las autoridades estadounidenses podrían llegar a conocer la identidad de los afectados por la transferencia (p.e. datos cifrados en origen, datos seudonimizados sin posibilidad de reidentificación por las autoridades, fraccionamiento de la información y distribución en varios países, etc.). En estos casos, pueden adoptarse medidas contractuales y organizativas que refuercen la protección.
Por el contrario, el EDPB reconoce expresamente que no ve solución viable en aquellos casos en los que los datos identificativos se alojan sin cifrar en USA o, incluso, cuando los datos se alojan en la UE, pero reciben conexiones remotas desde USA
Para estos casos, que son los más habituales, sólo quedan 2 opciones:
1.- Cambiar los proveedores estadounidenses por otros europeos (y que no impliquen transferencias internacionales).
2.- Asumir el riesgo legal. Quizá el reciente cambio político en USA ayude a solucionar la situación actual.
En cualquier caso, y como siempre, desde Áudea estamos vuestra disposición para atender cualquier consulta relativa a este asunto.
P.D: La Comisión Europea ha publicado un borrador de las nuevas SCC adaptadas al RGPD sujeto a consulta pública hasta el 10 de diciembre. En principio se dará un plazo de 1 año para sustituir las antiguas SCC por las nuevas, pero su uso no subsanará el problema de las transferencias con USA (ni con cualquier otro país cuya legislación se considere incompatible con RGPD).
P.D: El EDPB publicó otro documento que estuvo abierto a consulta pública hasta el 30 de noviembre, para ayudar a determinar cuándo la legislación de un país es incompatible con GDPR y con las “Garantías Esenciales Europeas”, que son las siguientes:
1.- El tratamiento debe basarse en reglas claras, precisas y accesibles.
2.- Es necesario demostrar la necesidad y la proporcionalidad con respecto a los objetivos legítimos que se persiguen.
3.- Debería existir un mecanismo de supervisión independiente.
4.- Es necesario que el interesado disponga de remedios eficaces.
P.D: El Supervisor Europeo de Protección de Datos (EDPS), que ejerce el control en esta materia sobre las instituciones y organismos de la Unión Europea (p.e. la Comisión Europea, el Consejo o el propio TJUE), publicó hace unas semanas su plan de trabajo estratégico para solucionar las transferencias internacionales de datos realizadas por estos organismos con vistas a, como muy pronto, primavera de 2021.
Sin embargo, el EDPB estableció que no existía ningún plazo para solucionar este problema, por lo que, desde julio de 2020, todas las transferencias internacionales de datos a USA son susceptibles de sanción (aunque lo cierto es que los organismos europeos no están sujetos al RGPD, sino a otro Reglamento diferente con un régimen sancionador mucho más laxo, con multas de hasta 50.000 euros por infracción, con un máximo de 500.000 euros al año).
Equipo Legal