Métodos alternativos de adecuación para transferencias internacionales de datos tras el pronunciamiento del TJUE en el asunto C-311/18 (“Schrems II”)
El 16 de julio de 2020, el Tribunal de Justicia de La Unión Europea en el asunto C-311/18 declaró inadecuado el nivel de protección ofrecido por el “Privacy Shield” en materia de transferencias Internacionales (TI) a Estados Unidos.
Debido a la carencia de una decisión de adecuación para Transferencias internacionales, los nuevos tratamientos que deseen realizarse entre el Espacio Económico Europeo y EEUU, habrá de adoptarse por otras vías de adecuación. El propio RGPD ofrece varios medios, pero en este artículo comentaremos las SCC 2016/679 (“Standard contractual clauses”) aprobadas el pasado 4 de junio de 2021 por la Comisión Europea.
Dichas cláusulas constituyen un contrato entre la entidad que transfiere los datos a un tercer país y aquella entidad que la recibe (importador-receptor) cuyo objetivo consiste en ofrecer un nivel adecuado de protección que son objeto de transferencia.
Entre otras novedades en relación a las nuevas cláusulas tipo nos encontramos con:
-Amplitud del ámbito aplicativo:
- Responsable-Responsable
- Responsable-Encargado
- Encargado-Responsable
- Encargado-Encargado
-Obligatoriedad de escribir las medidas de seguridad técnicas y organizativas aplicadas, derivado de apartados previstos en el RGPD para brechas de seguridad.
-Integración del principio de responsabilidad proactiva.
Por lo que se refiere a la TÍA (“Transfer Impact assessment”) es de obligatoria aplicación tras la aprobación de las cláusulas tipo anteriormente mencionadas a raíz del caso “Schrems II”.
Se trata de un cuestionario a completar entre la parte importadora y exportadora de los datos donde ha de clarificarse los principales riesgos a los que se enfrentan las organizaciones de cara a realizar la transferencia. Esta previa clarificación de riesgos puede tener grandes beneficios, entre ellos: (I)determinar la probabilidad de solicitudes de acceso por parte del gobierno en el país importador, (II)conocer las leyes y prácticas de protección de datos, (III) mitigar los posibles riesgos que implica una transferencia antes de que la misma comience y (IV) ahorrar en costes de posibles multas y honorarios legales.
Por lo que se refiere a las evaluaciones de impacto mencionadas, constituyen un esfuerzo considerable que asumirán de las entidades implicadas en la transferencia mediante:
- El dominio y la evaluación de la normativa aplicable en el país de destino
- La determinación de:
- Por un lado, la idoneidad de la legislación o normativa del país de destino de cara a afrontar un nivel homogéneo nivel de protección al previsto por el RGPD
- Por otro lado, asegurar la necesaria adopción de medidas técnicas, organizativas o contractuales adicionales cuando sea requerido. (normalmente bajo asesoría de expertos en la legislación del país importador)
Es importante que se realicen evaluaciones de impacto por separado en atención a la tipología de datos objeto de la transferencia, de esta forma, una evaluación destinada a la transferencia de datos de contacto como nombres, direcciones o mails, y otra evaluación de impacto por separado para datos laborales.
Es crucial considerar las particularidades que puede llegar a presentar cada transferencia a la hora de realizar la evaluación de impacto, entre dichas particularidades podríamos incluir: (I) El número de actores involucrados, (II) canales de transmisión utilizados, (III) transferencias futuras previstas, (IV) Categorías y formato de los datos personales transferidos (V) Sector económico, etc.
De vital importancia que se recoja por escrito la evaluación de impacto, ya que, podría ser requerida por la Autoridad de control pertinente.
En conclusión, a pesar de la falta de un acuerdo -privacy shield 2.0-, las transferencias internacionales de datos entre EEE y EEUU tienen una opción viable de validación a través de las SCC y las TIAs.
Miembro del Grupo Expertos itsm4Privacidad