nº 975 - 24 de junio de 2021
A cuestas con ‘Schrems II’…
Sonia Vázquez Cobreros. Abogada especializada en Derecho Digital. CASTROALONSO
Las empresas advirtieron sobre la dificultad de adoptar todos los requisitos formales establecidos por el CEPD
La Comisión Europea ha adoptado el 4 de junio dos sets de cláusulas contractuales tipo incluyendo los requerimientos del RGPD
El Supervisor Europeo de Protección de Datos (SEPD) anunciaba el 27 de mayo que, dentro de la «Estrategia de cumplimiento de la sentencia Schrems II por parte de las instituciones, oficinas, organismos y agencias de la Unión», iniciaba dos investigaciones sobre el uso de servicios cloud por parte de las autoridades europeas, al utilizar los servicios en la nube prestados por Amazon Web Services y Microsoft en virtud de los denominados contratos Cloud II cuando los datos se transfieren a países no pertenecientes a la UE, en particular a los Estados Unidos, y otra relativa al uso de Microsoft Office 365 por parte de la Comisión Europea con el fin de verificar el cumplimiento de las recomendaciones emitidas sobre el uso de los productos y servicios de Microsoft por parte de las instituciones de la UE.
Esta noticia subraya la importancia de que los organismos y empresas cumplan con lo establecido en la sentencia C-311/18 Schrems II del Tribunal de Justicia de la Unión Europea (TJUE), que vino a invalidar el Acuerdo «Privacy Shield» al considerar que no cumplía con los requisitos establecidos en el Reglamento General de Protección de Datos (RGPD) desde el momento en el que la Ley de Inteligencia e Investigación en el Extranjero atribuye a las autoridades estadounidenses potestades entre las cuales se incluye el uso de programas de vigilancia y posibilidad de acceso a información personal sin justificación sin poder asegurar la tutela judicial de los afectados.
El Comité Europeo de Protección de Datos (CEPD) publicaba en noviembre de 2020 las «Recomendaciones 01/2020 sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de los datos personales de la UE» tras señalar el TJUE en su sentencia que las cláusulas contractuales tipo y otros instrumentos de transferencia mencionados en el artículo 46 del RGPD no operaban aisladamente. Así, se exhortaba a las empresas a introducir medidas complementarias, debiendo estas asegurarse de que cada país cuenta con un nivel de protección suficiente y en caso contrario, se paralice la transferencia de datos. El problema que enfrentaron las empresas es que el TJUE no especificaba a qué medidas se refería, únicamente subrayaba que los exportadores tendrían que determinarlas caso por caso. En este sentido, el CEPD hacía las siguientes recomendaciones a los exportadores de datos:
1) Catalogar todas las transferencias internacionales a terceros países para garantizar que se les otorgue un nivel de protección equivalente al exigido en la UE.
2) Verificar los instrumentos en los que se basa la transferencia internacional, conforme a lo establecido en el capítulo V del RGPD.
3) Evaluación de la legislación del tercer país que pueda ser pertinente para la transferencia internacional, especialmente en lo referente al instrumento de transferencia previsto en el artículo 46 RGPD.
4) Adopción de medidas complementarias para que el nivel de protección de los datos transferidos sea conforme a lo dispuesto en la normativa de la UE, en el caso de que en el paso anterior se confirme que la ley del tercer país afecta a la eficacia del artículo 46 RGPD (el CEPD recoge una lista no exhaustiva de ejemplos de medidas complementarias de carácter técnico, contractual y organizativo, con algunas de las condiciones necesarias para ser consideradas eficaces).
5) Adopción de un procedimiento formal orientado al establecimiento de las medidas complementarias oportunas.
6) Reevaluación periódica del nivel de protección de los datos que se transfieren a terceros países, especialmente en lo que a cambios que puedan incidir en él se refiere.
Conflicto para las organizaciones
A pesar de todo, las empresas advirtieron sobre la dificultad de adoptar todos los requisitos formales establecidos por el CEPD, de tal modo que fuese posible garantizar la seguridad de los datos conforme a dichas directrices. Debemos recordar que el TJUE no estableció ninguna moratoria sobre la aplicación de las directrices establecidas en la sentencia Shrems II y, por tanto, para adecuarse a las mismas. Esto ha derivado en un evidente conflicto para las organizaciones y su economía que han visto como, paulatinamente, diferentes autoridades europeas de protección de datos instaban a dejar de utilizar herramientas tales como «Mailchimp» o «Cloudfare» por considerar que no cumplían con lo dispuesto en la sentencia.
Ante esta complicada situación y con el fin de ofrecer unas herramientas renovadas de transferencia de datos con más garantías legales y de privacidad para que las empresas puedan transferir los datos de los europeos de forma segura por todo el mundo, la Comisión Europea ha adoptado el 4 de junio dos sets de cláusulas contractuales tipo incluyendo los requerimientos del RGPD.
Aunque se vislumbra un avance en este plano, parece que aún queda un largo (y tortuoso) camino que recorrer en la regularización de las transferencias de datos entre la UE y US. ■