Recomendaciones de las autoridades europeas para las transferencias internacionales de datos

La Sentencia del Tribunal de Justicia de la Unión Europea de 16 de julio de 2020 en el asunto C-311/18 (la “Sentencia Schrems II”), a través de la que se declara contrario a derecho el conocido Privacy Shield en el que se apoyaban la mayor parte de las transferencias de datos personales realizadas a Estados Unidos y se determina la validez (no exenta de matices) de las CCT o Cláusulas Contractuales Tipo de la Comisión Europea, ha provocado un ambiente de creciente tensión e incertidumbre del que ya hemos hablado en ocasiones anteriores en este Blog y sobre el que las distintas autoridades europeas se han ido pronunciando.

Siguiendo con dicha tendencia, el Supervisor Europeo de Protección de Datos (el “SEPD”) ha publicado recientemente un documento estratégico (aunque dirigido especialmente a instituciones y organismos europeos) con un plan de acción cuyo objetivo es lograr que todas las transferencias internacionales se ajusten a la Sentencia Schrems II a medio plazo, destacando las cuestiones que deben ser abordaras con carácter prioritario. Entre éstas incluye los contratos entre responsables y encargados del tratamiento (o entre encargados y subencargados del tratamiento) que impliquen la realización de transferencias a terceros países. Entretanto, el SEPD recomienda evitar nuevas operaciones del tratamiento o la suscripción de nuevos contratos con prestadores de servicios que impliquen la realización de transferencias internacionales hacia Estados Unidos.

Por su parte, el Comité Europeo de Protección de Datos (el “CEPD”) acaba de publicar unas recomendaciones (las “Recomendaciones”) sobre las medidas que pueden complementar a las CCT para garantizar un nivel de protección esencialmente equivalente al existente en la Unión Europea.

Como ya señalamos en anteriores ocasiones, la Sentencia Schrems II concluyó que, si bien las CCT establecen -con carácter general- garantías para las transferencias internacionales realizadas a encargados del tratamiento situados fuera del Espacio Económico Europeo (“EEE”), los responsables que se basen en las mismas para transferir datos fuera del EEE deberán verificar, caso por caso (y, cuando proceda, en colaboración con el destinatario de los datos), que la legislación del tercer país garantice el nivel protección necesario.

Así, las Recomendaciones contienen una hoja de ruta para ayudar a los responsables que transfieran dados a (i) averiguar si necesitan adoptar medidas complementarias a las CCT; y (ii) en su caso, a identificar las medidas adecuadas. Las Recomendaciones son las siguientes:

• “Conoce tus transferencias”. Es necesario conocer la totalidad de las transferencias internacionales realizadas y las circunstancias en que se producen, siendo un paso esencial para poder cumplir las obligaciones que se derivan del principio de responsabilidad proactiva;

• “Identifica los mecanismos en los que se basan tus trasferencias”. En caso de que no se basen ni en una decisión de adecuación ni en las excepciones previstas en el artículo 49 RGPD, deberá prestarse especial atención a la siguiente recomendación;

• “Determina si el mecanismo del artículo 46 del RGPD en el que se basen tus transferencias es efectivo en todas circunstancias”, pues deberá garantizar un nivel de protección equivalente;

•  “Adopta medidas complementarias”, teniendo en cuenta, entre otros, el formato de los datos transferidos, la naturaleza de los mismos o el tiempo y complejidad del proceso de tratamiento de datos. A tal efecto, el documento pone algunos ejemplos de escenarios que pueden ser de ayuda;

• “Implementa procedimientos si has identificado medidas complementarias eficaces”, que dependerán del mecanismo elegido; y

• “Monitoriza y reevalúa”: La responsabilidad proactiva es una obligación permanente, y deberá revisarse continuamente los desarrollos que surjan en los terceros países que afecten al análisis realizado inicialmente sobre el nivel de protección que dicho país garantiza.

Es preciso señalar que estas Recomendaciones, a pesar de estar en vigor, han sido sometidas a consulta pública, que permanecerá abierta para los interesados hasta el próximo 30 de noviembre.

Adicionalmente, el CEPD ha adoptado recomendaciones sobre las Garantías Esenciales Europeas para las leyes de vigilancia (complementarias a las anteriores), proporcionando elementos que ayuden a determinar si el marco jurídico que regula el acceso a datos con fines de policía por parte de las autoridades públicas del tercer país correspondiente puede (o no) considerarse una injerencia justificable en los derechos a la intimidad y la protección de los datos personales.

Con todo, tanto el SEPD como el CEPD ponen de manifiesto que, en última instancia, será misión del responsable que transfiera datos personales fuera del EEE el evaluar el contexto de la transferencia, las leyes de policía existentes en el país y el instrumento empleado para la transferencia, en línea con el principio de responsabilidad proactiva establecido en el RGPD.

Autores: Ana Sánchez y Jorge Monclús