Las esperadas medidas suplementarias para las TID
Como ya comentábamos hace aproximadamente un mes en este mismo blog, el Tribunal de Justicia de la Unión Europea (Schrems II) anuló la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de privacidad UE-EE. UU. concluyendo que para poder realizar transferencias de datos a Estados Unidos, habría que adoptar medidas adicionales que garantizasen que el Derecho estadounidense no afecte a un nivel de protección equivalente al del RGPD.
La Sentencia argumentaba que la protección concedida a los datos personales en el Espacio Económico Europeo (EEE) debe viajar con los datos dondequiera que vayan, no debiendo socavar la transferencia a terceros países, la protección que se les brinda en el EEE. En esta línea, responsabiliza al exportador de los datos de verificar, caso por caso, si la legislación o la práctica del tercer país obstaculiza la eficacia de las salvaguardias apropiadas contenidas en los instrumentos de transferencia.
El Comité Europeo de Protección de Datos, con el fin de colaborar con los exportadores en esta compleja tarea ha elaborado las Recomendaciones 01/2020 sobre medidas que complementan las herramientas de transferencia para asegurar el cumplimiento del nivel de protección de datos personales de la UE. El texto se encuentra en fase de consulta pública hasta el 21 de diciembre.
Es destacable que, aunque se trata de una responsabilidad del exportador, las recomendaciones continuamente hacen mención a la colaboración del importador considerándola de gran importancia a la hora de poder evaluar una normativa ajena.
Principalmente, el documento recoge los pasos a seguir para realizar la verificación, así como algunos ejemplos de medidas complementarias que podrían establecerse. Será primordial documentar adecuadamente la evaluación y las medidas complementarias ya que dicha documentación deberá estar a disposición de la autoridad de control competente.
Como primer paso, se recomienda conocer las transferencias internacionales de datos (TID) que se van a realizar. Resulta básico conocer a dónde van los datos para garantizar un nivel de protección esencialmente equivalente, a pesar de que, como muchas empresas saben, no es sencillo. Habrá que tener en cuenta las transferencias posteriores, por ejemplo, si se transfieren los datos a subencargados en otro tercer país, u otras formas de TID como el acceso remoto desde un tercer país y/o el almacenamiento en una nube situada fuera del EEE.
En esta misma fase habrá que asegurarse de que los datos que se van a transferir son adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se transfieren y procesan en el tercer país.
Como segundo paso se propone la verificación de la herramienta de transferencia, entre las enumeradas en el capítulo V del REGLAMENTO (UE) 2016/679 (RGPD). Si sobre el país recae una decisión de adecuación de la Comisión Europea no será necesario tomar ninguna medida adicional, salvo el seguimiento de la validez de la decisión. En relación con las excepciones del artículo 49 del RGPD se realiza una interpretación restrictiva reservándolas principalmente a actividades ocasionales y no repetitivas. En ausencia de una decisión de adecuación, y para TID regulares y repetitivas, se dispone principalmente de salvaguardas adecuadas de carácter contractual (artículo 46 del RGPD).
El tercer paso sería evaluar si la ley o la práctica del tercer país podrían afectar a la eficacia de las salvaguardias de la herramienta de transferencia elegida. Habrá que centrar la evaluación en la legislación que rige el acceso a los datos por parte de las autoridades públicas y para ello se podrán utilizar, entre otras cosas, las Recomendaciones 02/2020 sobre garantías esenciales europeas en relación con las medidas de vigilancia.
Si se concluye tras la evaluación que el importador no va a poder cumplir con sus obligaciones, el exportador deberá establecer medidas complementarias efectivas o no transferir los datos.
En caso de que éste sea el resultado de la evaluación, el cuarto paso consistirá en la identificació
n y adopción de medidas complementarias necesarias para que el nivel de protección alcance el estándar de equivalencia esencial de la UE. En relación con esta fase, las Recomendaciones incluyen un anexo con ejemplos de medidas que podrán ser eficaces o no, por sí solas o en combinación con otras, en función del contexto de la TID y la normativa del país en cuestión. La evaluación de estas medidas deberá realizarse con la debida diligencia y documentarse. Podría darse el caso de que de la evaluación se desprenda que ninguna medida suplementaria es adecuada, debiendo entonces evitar, suspender o terminar la TID.
Las medidas propuestas se han clasificado en contractuales, técnicas y organizativas. Se aboga por la combinación de diversas medidas de manera que se apoyen y basen unas sobre otras con objeto de alcanzar el nivel de protección deseado.
Generalmente las medidas contractuales (deberes de implantación de medidas técnicas o de transparencia e información) y organizativas (políticas internas y métodos organizativos: mejores prácticas, minimización de datos y rendición de cuentas) por sí solas no serán suficientes, por lo que será necesaria la adopción de medidas técnicas, entre las que destacan el cifrado, la seudonimización, el procesamiento dividido o incluso deberes de confidencialidad o secreto profesional.
En el supuesto de que no se puedan aplicar medidas eficaces que garanticen un nivel de protección esencialmente equivalente, no se deberán transferir los datos. Si aun así se desease continuar con la TID, se deberá notificar a la autoridad de control competente.
Si se hubiesen identificado medidas complementarias eficaces, la quinta fase será la adopción de las medidas procedimentales necesarias que variarán en función de la herramienta de transferencia. En general, la autorización de la autoridad de control no será necesaria siempre que las medidas adicionales no contradigan, directa o indirectamente, los acuerdos contractuales, y sean suficientes para garantizar el nivel de protección.
El sexto y último paso será la reevaluación periódica del nivel de protección otorgado a los datos objeto de transferencia y la monitorización por si ha habido algún cambio que pueda afectarle, en línea con el principio de responsabilidad proactiva que requiere una vigilancia continua.
A pesar de que la obligación de evaluar la legislación del país de destino continúa siendo una tarea especialmente complicada, los ejemplos contenidos en el Anexo 2 de aplicación de medidas, pueden facilitar bastante esta labor en supuestos concretos. No obstante, quedamos a la espera de la publicación del texto definitivo por si se produjesen modificaciones.
#Schrems II, #Privacy Shield, #protecciondatos, #helasconsultores, #TID, #EDPB, #Tribunal de Justicia
María de la Rica Ortega
Consultor de Helas Consultores
