Las empresas deben resolver el problema de la sentencia de Schrems II

*Javier Aparicio es socio de finReg360

La sentencia Schrems II del Tribunal de Justicia de la Unión Europea (TJUE) invalidó el acuerdo Privacy Shield (de garantías para facilitar las transferencias de datos personales desde Europa hacia los Estados Unidos), porque la Ley de Inteligencia e Investigación en el Extranjero (FISA por sus siglas en inglés) y las órdenes ejecutivas del presidente en aplicación de esta norma atribuyen a la NSA, la CIA y el FBI unas potestades extraordinarias que incluyen el uso de programas genéricos de vigilancia, les permite requerir o incautar información personal sin justificación y, aunque establecen ciertas garantías, no aseguran la tutela judicial de los afectados.

Esta sentencia puso también de relieve que son los responsables del tratamiento quienes tienen la obligación de verificar si el país de destino garantiza realmente un nivel de protección de datos adecuado y de suspenderlas o impedirlas en caso contrario.

Las agencias de protección de datos de la UE discrepan sobre si multar a Twitter

The Wall Street Journal Sam Schechner

En definitiva, el TJUE obliga a revisar los contratos de protección de datos entre los exportadores de datos en la UE y los importadores en los EEUU que regulan el tráfico de datos con los EEUU. Esta revisión tiene muchísima trascendencia, ya que la mayoría de los servicios que usamos normalmente, de los que incluso depende nuestra actividad empresarial y profesional, están basados en transferencias a los EE. UU. El problema es gigantesco.

Tres meses después de la sentencia, las instituciones de la UE comienzan a manifestar sus primeras reacciones y opinión sobre cómo cumplir la Schrems II.

Efectivamente, a finales del pasado octubre el Supervisor Europeo de Protección de Datos (EDPS, por sus siglas en inglés), que fiscaliza los tratamientos de datos de las instituciones de la UE (IUE), publicó su «Estrategia de cumplimiento de la sentencia Schrems II por parte de las instituciones, oficinas, organismos y agencias de la Unión».

En su Estrategia, el EDPS pide a las IUE que revisen sus transferencias de datos, que verifiquen si el país de destino permite al importador de datos cumplir las garantías contractuales y que resuelvan en cada caso si pueden continuar exportando los datos. Este documento, aunque sólo está dirigido a las IUE, es una clara manifestación de cómo deberían cumplir la sentencia las entidades privadas que, obligadas a verificar la eficacia de los contratos de transferencia, según manifiesta la sentencia, deberían llevar a cabo estas mismas actuaciones.

En definitiva, el TJUE obliga a revisar los contratos de protección de datos entre los exportadores de datos en la UE y los importadores en los EEUU que regulan el tráfico de datos con los EEUU

Diez días después, la Comisión Europea ha publicado un borrador de decisión «sobre las cláusulas contractuales tipo adecuadas al RGPD para la transferencia de datos personales a terceros estados» (la Decisión), que sigue la misma línea de actuación de la Estrategia del EDPS

Citando la sentencia Schrems II, la Decisión pone de relieve la necesidad de que las cláusulas contractuales tipo (CCT) regulen garantías específicas de actuación para el caso de que las leyes del país de destino de datos impidan al importador de los datos cumplir las CCT y, en particular, las pautas de actuación para el caso de recibir un requerimiento oficial de acceso a la información.

Expresamente, la Decisión manifiesta que las CCT sólo permiten exportar datos y someterlos a tratamiento en un tercer país cuando las leyes de este país no impiden cumplir dichas CCT y que las partes deben asegurarse de esta circunstancia en el momento de acordarlas.

Para esta valoración, la Decisión propone que se tengan en cuenta:

• las circunstancias específicas de la transferencia (como el objeto del contrato y su duración, la naturaleza de los datos, el destinatario, la finalidad del tratamiento y si el importador de datos ha tenido otros requerimientos para el mismo tipo de datos),
• las leyes del país de destino, relevantes según las circunstancias de la transferencia y
• cualesquiera otras garantías adicionales (incluidas las medidas técnicas y de organización que vayan a aplicarse durante el tratamiento de los datos personales en el tercer estado).

Como garantías específicas para hacer frente a esta situación, las CCT incluyen las siguientes:

1. El exportador debe asegurarse de que el importador de datos puede cumplir las CCT.
2. Durante la transferencia, el importador de datos deberá notificar al exportador la simple sospecha de que no va a poder cumplirlas.
3. Al recibir esta notificación o comprobar que las CCT son insuficientes, el exportador tendrá que tomar las decisiones oportunas, incluso consultarlo con la AEPD, y, si es necesario, adoptar las medidas complementarias necesarias.
4. El exportador de datos debe notificar a la AEPD su decisión de continuar con la transferencia según las medidas adicionales, o suspenderla si no puede garantizar la seguridad y confidencialidad de los datos o si la AEPD le requiere para ello.
5. El importador de los datos debe informar al exportador tan pronto como reciba un requerimiento de acceso a los datos, o tenga conocimiento del acceso directo por las autoridades, facilitándole cuanta información conozca y le permitan las leyes y, además, llevar un registro de los requerimientos recibidos y de las respuestas facilitadas a las autoridades.

En definitiva, el problema que suscita la sentencia Schrems II cae sobre las empresas, responsables de comprobar si las transferencias que llevan a cabo, o que planean, no infringen las garantías del RGPD y, para ello, deberán valorar todas las circunstancias concurrentes y adoptar responsablemente la decisión oportuna.

En esta decisión, las empresas asumen el riesgo de infringir el RGPD y de verse sometidas a medidas coercitivas de la AEPD, pero sin poder contar con su auxilio para asegurarse del correcto cumplimiento.