Continúa la incertidumbre tras la anulación de Privacy Shield

La sentencia del Tribunal de Justicia de la Unión Europea en el Asunto C-311/18 – Data Protection Commissioner contra Facebook Ireland y Maximillian Schrems de 16 de julio de 2020 (Schrems II), anuló la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de privacidad UE-EE. UU. poniendo a las empresas europeas en una difícil situación.

A los pocos días, el Comité Europeo de Protección de Datos (EDPB) publicó un documento de preguntas frecuentes sobre la sentencia declarando ILEGALES las transferencias realizadas al amparo del Escudo de privacidad y concluyendo que, si no se pudiesen adoptar medidas adicionales para garantizar que el Derecho estadounidense no afecte a un nivel de protección equivalente al del RGPD, la única solución sería no almacenar ni tratar datos en EEUU.

A priori la solución pasaría por un cambio de la legislación del país. Sin embargo, al no tratarse de una cuestión que dependa de la Unión Europea (UE), el EDPB, en la línea de lo propuesto por el Tribunal, está trabajando en una propuesta de medidas adicionales que permitan continuar trabajando con proveedores estadounidenses.

No obstante, tanto el Tribunal como el EDPB han dejado claro que la responsabilidad es de los exportadores de datos que son los que, en todo caso, deben realizar una evaluación de la transferencia internacional de datos (TID), teniendo en cuenta sus circunstancias, y las medidas complementarias que hayan podido aplicar. En caso de concluir que no se estarían dando las garantías adecuadas, deberá suspender por completo la TID.

Se trataría de una decisión de grandes consecuencias al estar, a fecha de la Sentencia, la mayoría de las empresas europeas haciendo uso de los servicios de empresas que tratan los datos en mayor o menor medida en EEUU. Incluso, cuando ya han pasado tres meses, a diario recibimos consultas sobre la intención de contratar nuevos proveedores cuyos servicios implican transferencias a EEUU o a terceros países fuera de la UE.

Aunque la Agencia Española de Protección de Datos (AEPD) ya ha manifestado su intención de mostrarse razonable en tanto en cuanto no haya indicaciones por parte del EDPB, ante una nueva contratación no cabría esperar que mantuviesen la misma posición.

Por otro lado, NOYB, organización no gubernamental fundada por el activista austriaco Max Schrems, origen de Schrems I y II, ya ha interpuesto 101 denuncias ante las distintas autoridades de protección de datos (AP) de la UE con la intención de que se aplique lo dispuesto en la Sentencia. Principalmente se han denunciado a empresas con Webs que utilizan servicios de Google y Facebook, y aunque están pendientes de corregir algunos errores en las denuncias lo que puede retrasar en cierta medida las resoluciones, finalmente las AP tendrán que pronunciarse al respecto. Además, según ha declarado un representante de la Asociación, están trabajando en otras denuncias, así como en otras acciones con el objetivo de hacer cumplir Schrems II.

Simultáneamente, profesionales del sector y empresas afectadas, trabajan en la búsqueda y desarrollo de medidas que permitan realizar TID con las adecuadas garantías de protección.

Entre las más escuchadas en foros y conferencias destacan la anonimización, la seudonimización y el cifrado de los datos, aunque en todos los casos se encuentran barreras tecnológicas, así como organizativas debido a la complejidad de las organizaciones empresariales.

En todo caso, todas ellas se enmarcarían en el principio básico del RGPD: la PROTECCIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO. Al tratarse de un concepto novedoso, al menos en España por no estar acostumbrados a esta forma de regulación, supone la necesidad de un cambio de mentalidad que, desde mi punto de vista, aun no se ha producido en el seno de la mayoría de las empresas de este país.

Los productos y servicios deberían diseñarse teniendo en cuenta la “protección de datos” desde el inicio, y no en última instancia y a pocos días u horas del lanzamiento, como estamos acostumbrados a recibir los asesores en la materia. Además de dejar muy poco margen de maniobra de cara a poder cumplir la normativa, ya se estaría incumpliendo de base la protección de datos desde el diseño.

Profundizando en el concepto “por defecto” que implica que sólo deben tratarse los datos necesarios y suficientes para cada uno de los fines de tratamiento, lo primero que debería plantearse una empresa es si la TID es realmente necesaria. La Guía que la AEPD acaba de publicar para facilitar la aplicación práctica de este principio, puede resultar útil al proporcionar una visión práctica para los encargados del diseño, desarrollo, despliegue y uso de aplicaciones y servicios.

Ante esta situación, se podría decir que Schrems II ha supuesto un antes y un después.  Si no se encuentra a corto medio plazo una solución habrá que dejar de transferir datos a EEUU. Además, como la Sentencia también afecta a las transferencias a otros países, siempre que no se pueda garantizar el cumplimiento del RGPD, habría que dejar los datos en Europa.

A la espera del pronunciamiento del EDPB nos encontramos ante un escenario incierto, y me temo, que aun después del mismo, no varíe mucho la situación ya que no parece que vayan a poder proporcionar un remedio mágico que haga que automáticamente se puedan volver a realizar TID como antes. Esperemos que al menos la solución no desemboque en Schrems III.

#Schrems II, #Privacy Shield, #Escudo de privacidad, #protecciondatos, #helasconsultores, #TID, #AEPD, #EDPB, #Tribunal de Justicia

 María de la Rica Ortega

Consultor de Helas Consultores