La semana pasada, el presidente de Estados Unidos, Joe Biden, y la presidenta de la Comisión Europea, Úrsula Von der Leyen, emitieron un comunicado informando que habían alcanzado un acuerdo preliminar para garantizar la protección de los datos de las transferencias internacionales de la Unión Europea a Estados Unidos. En el artículo de hoy, analizamos los antecedentes de este acuerdo y cuáles son sus implicaciones a futuro.
¿Qué es una transferencia internacional de datos?
La Agencia Española de Protección de Datos (AEPD) define la transferencia internacional de datos como “un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega)”. Descubra más sobre el contrato de transferencia internacional de datos.
¿Cuál era el marco de regulación de las transferencias internacionales de datos a EEUU?
El marco de regulación era la Decisión 2016/1250 de la Comisión Europea que declaraba el nivel adecuado de protección del esquema del Escudo de Privacidad (Privacy Shield) para las transferencias internacionales de datos a EEUU.
Las implicaciones de esta regulación es que todas las empresas españolas que quisieran transferir datos a empresas estadounidentes, podrían hacerlo siempre y cuando estas empresas estadounidenses estudiaran adheridas al Escudo de Privacidad (Privacy Shield).
¿Por qué fue derogado este marco por el Tribunal de Justicia de la Unión Europea (TJUE)?
El Escudo de Privacidad (Privacy Shield) fue derogado el 6 de julio de 2020 por una sentencia del TJUE, al considerar que en tal marco no existían “limitaciones” para evitar que los datos de usuarios europeos que se habían recabado con fines comerciales fueran usados también para determinados programas de vigilancia.
¿Qué tienen que hacer entonces las empresas españolas para transferir datos a EEUU?
Deberían aportar alguna garantía (por ejemplo, celebrar con el destinario una Cláusula Contractual Tipo o ser parte ambos de unas Nomas Corporativas Vinculantes) para fundamentar que la transferencia garantiza un nivel adecuado de protección de los datos; o contar con alguna de las excepciones del RGPD.
En problema es que no sólo basta con otorgar Cláusulas Contractuales Tipo o Normas Corporativas Vinculantes. Según el TJUE, en caso de optar por alguna de ellas, éstas deben ir acompañadas de “medidas complementarias” que garanticen que la legislación estadounidense no afecta al nivel de protección de datos que garantizan. Al respecto “Si llega a la conclusión de que, teniendo en cuenta las circunstancias de la transferencia y las posibles medidas complementarias, no se aplicarían las garantías adecuadas, se le exige suspender o poner fin a la transferencia de datos personales”.
Por tanto, parece que la solución más efectiva, es disponer de alguna de las excepciones del RGPD. Ahora bien, para ampararse en alguna de ellas debe también fundamentarse.
A continuación, enumeramos todas las garantías y excepciones para la realización de transferencias internacionales de datos:
- Garantías:
- Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos
- Normas corporativas vinculantes
- Cláusulas tipo de protección de datos
- Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión
- Códigos de conducta
- Mecanismos de certificación
- Excepciones:
- El interesado haya dado explícitamente su consentimiento.
- La transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado.
- La transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica.
- La transferencia sea necesaria por razones importantes de interés público.
- La transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones.
- La transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.
- La transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.
Tiene más información sobre preguntas más frecuentes de la sentencia del TJUE en el siguiente link: https://www.aepd.es/es/documento/faqs-sentencia-schrems-ii-es.pdf
¿Qué supone ahora este acuerdo preliminar?
Supone que en un corto plazo de tiempo se llegue a un acuerdo final sobre “retomar el Privacy Shield” y, por tanto, que no sea necesario aportar garantías o ampararse en alguna de las excepciones del RGPD para transferir datos de España a EEUU. Hasta que no haya un texto definitivo que recoja este acuerdo final, no surtirá efecto alguno.