El Escudo de Privacidad (Privacy Shield) sólo ha aguantado unos pocos años. Segundo K.O. (esta vez, técnico) que el Sr. Schrems le propina a los acuerdos UE-USA destinados a regular las transferencias internacionales de datos entre ambas.
El pasado día 16 de julio se dictó Sentencia por la Gran Sala del Tribunal de Justicia de la UE en el asunto C-311/18
por la cual se decidía declarar nulo es Escudo de Privacidad por no ofrecer garantías suficientes a los interesados respecto a sus derechos en materia de protección de datos personales.
Y decimos que el K.O. ha sido técnico, porque se ha salvado de la quema el recurso de las cláusulas contractuales tipo entre exportador de datos e importador de datos.
La sentencia supone un vuelco importante en la manera en que hasta la fecha se venían regulando de forma generalizada las transferencias internacionales de datos entre la UE y USA.
Para los que no conozcan bien en qué consistía, os indicamos que la Comisión Europea solamente reconoce una serie de países a los cuales se pueden llevar a cabo transferencias de datos personales, ya que entienden que su legislación establece garantías equiparables a las europeas y disponen de un nivel de protección adecuado ( Suiza, Andorra, Isla de Man, Jersey, Japón…la mayoría, paraísos fiscales, donde la opacidad y la privacidad de los datos están muy marcadas).
Si el país no se encuentra en la lista, la transferencia de datos personales a ese país se debe acoger a alguna de las excepciones marcadas por la normativa.
USA no se encuentra en el listado, pero el tráfico de datos entre UE/USA es tan intenso, se decidió proveer un sistema ágil y rápido que permitiera continuar con la actividad comercial habitual sin grandes cortapisas.
Maximiliam Schrems, ¡contigo empezó todo!
Primero se estableció el acuerdo Safe Harbour, pero este primer acuerdo fue anulado a raíz de la denucia del ciudadano Maximilan Eschrems, el cual denunció a Facebook ante la Autoridad de Control de Irlanda por entender que sus datos pasaban de Facebook Irlanda a Facebook USA y allí no se diponía de un nivel adecuado de privacidad, ya que la Administración USA desde los atentados a las torres gemelas, se reserva la capacidad de intervenir este tipo de comunicaciones.
Después de la sacudida, estuvimos un tiempo donde las grandes tecnologícas y .com americanas hicieron un esfuerzo en migrar parte de sus recursos a sedes en la UE, de forma que evitaban incumplir la normativa. Además, el inminente GDPR era otro buen motivo para tratar datos directamente desde la UE para la UE. Mientras, las dos partes afectadas (USA/UE) seguían trabajando en un acuerdo, similar al anterior, pero reforzado, sobre el cual poder basarse de nuevo a la hora de transferir datos personales a USA.
Finalmente, llegó Privacy Shield, un acuerdo basado en el anterior, pero que establecía mayores exigencias a las empresas USA: Solicitar la adhesión al escudo de privacidad implicaba disponer de unas medidas de seguridad mínimas, obtener el visto bueno de la administración respecto de los textos legales a publicar, someterse a una autoridad de resolución de litigios (podrían ser incluso las de la UE) etc. Aquellas que obtenían el visto bueno aparecían en un listado publicado por el gobierno USA https://www.privacyshield.gov/list y que puede ser visitado por terceros para comprobar si un posible proveedor de servicios es confiable.
La actual sentencia viene a redundar en la anterior, en el sentido que afirma que se siguen sin tener garantías análogas en este tipo de transferencias, y no se pueden basar en este acuerdo.
Pero la misma sentencia deja la puerta abierta a otro procedimiento sobre el que ha declarado su idoneidad, el de las CLÁUSULAS TIPO acordadas por la Comisión
Hasta ahora, la mayoría de empresas se venían acogiendo al escudo de privacidad porque resultaba ágil y sencillo para los exportadores de datos, pero la normativa UE establece otras alternativas, que se mantienen vigentes. Una de ellas, puede que la más adecuada en la mayoría de casos, es la de acogerse a la firma de CLÁUSULAS TIPO acordadas por la Comisión Europea.
¿Qué implica acogerse a cláusulas tipo?
En primer lugar, implica que habrá de existir constancia de que ambas partes han acordado un contrato de prestación de servicios que incluye las cláusulas tipo en materia de privacidad y transfencia internacional de datos y además, el modelo de acuerdo deberá estar disponible para los interesados.
El resto del acuerdo entre las partes podrá contener las cláusulas que se estimen convenientes, ya que las cláusulas tipo no afectan a estas cuestiones, sólo están referidas a las transferencias internacionales de datos de carácter personal.
En segundo lugar, y puede que el gran obstáculo por el cual las empresas USA utilizaban de manera preferente el escudo de privacidad, la jurisdicción aplicable será la del EXPORTADOR DE DATOS (la empresa UE) y no la del prestador del servicio (la empresa USA).
Por otra parte, si la transferencia de datos implica el tratamiento de categorías especiales de datos (ej: datos de salud) los interesados deberán ser informados de que se va a producir una transferencia internacional de sus datos a un país que no guarda el nivel de protección adecuado (este es el tipo de información que hace huir en dirección contraria al posible afectado).
Por último, se tendrá que añadir un anexo que describa las partes, las categorías de datos e interesados, así como una descripción de las medidas de seguridad que se implementan para garantizar la seguridad y los derechos de los interesados.
Con todo, parece una de las alternativas más aconsejables entre las que se podría optar. En todo caso, ahora más que nunca, es importante poder detenerse y analizar el caso concreto para poder determinar qué excepción puede ser la más adecuada a la hora de su aplicación.
Álvaro Orts Ferrer |Abogado | DPD externo