A vueltas con las transferencias internacionales de datos: actualidad y seguridad jurídica

Artículo publicado en Actualidad Jurídica Aranzadi, 22 de septiembre de 2016.

Si el año 2015 terminaba con la anulación del denominado “Safe Harbor”, sistema que procuraba aportar garantías a las transferencias internacionales de datos entre Europa y determinadas entidades estadounidenses, el año en curso ha mantenido las expectativas y mantenido el debate sobre los diferentes flujos internacionales de datos.

Así diferentes hitos están marcando la necesaria regulación y securización de las mismas, tanto desde el punto de vista jurídico, como desde la óptica organizativa y del compromiso por parte de las empresas (como responsables del fichero/tratamiento), e instituciones con competencia en la materia.

(i) Privacy Shield.

Tras varios meses de idas y venidas, de posponer la fecha del visto bueno final del acuerdo, la Comisión Europea aprobaba este martes el nuevo marco de protección de los derechos fundamentales de cualquier persona en la UE cuyos datos personales se transfieran a los Estados Unidos, y que supondrá el pistoletazo de salida para el nuevo procedimiento de regularización de trasferencias de datos entre Europa y Estados Unidos, toda vez que los diferentes Estados miembro habían dado previamente su visto bueno al texto final la semana pasada.

Un acuerdo que ha tenido que ha encontrado, durante su tramitación, las dudas del Grupo de Trabajo del Artículo 29 y del propio Supervisor Europeo de Protección de Datos, y que ve la luz en un momento en que las empresas demandan soluciones que posibiliten la regularización de las transferencias internacionales de datos entre Europa y Estados Unidos.

Es importante recordar que estas transferencias afectaban, por ejemplo, a tratamientos de datos intragrupo, con prestadores de servicios (e.g. tecnológicos y servicios cloud, entre otros). En este sentido debemos recordar que la definición contemplada por nuestra actual normativa de protección de datos, incluye numerosas operaciones, tales como el acceso, la modificación o la conservación, entre otros.

Tras la publicación en el Federal Register (equivalente al Diario Oficial de la Unión Europea),  el Departamento de Comercio de los Estados Unidos comenzará a operar el Privacy Shield, por parte de las empresas estadounidenses, una vez hayan revisado el marco y actualizado su cumplimiento, podrán certificarse ante dicho Departamento a partir del 1 de agosto.

(ii) Revisión de la clausulas contractuales tipo.

El pasado mes de mayo, se anunciaba la decisión del Irish Data Protection Commissioner de solicitar a la Irish High Court, la remisión al Tribunal de Justicia de la Unión Europea una nueva cuestión prejudicial sobre la validez de las clausulas contractuales tipo, en relación con las transferencias internacionales de datos y las garantías que este mecanismo aportaba para llevar a cabo dichos tratamientos de datos.

Una cuestión que, sin duda, vuelve a tener a empresas e instituciones con el ojo puesto en el TJUE, de cara al efecto que esta nueva cuestión puede tener sobre los flujos internacionales de datos que se derivan de su actividad.

(iii) Reglamento General de Protección de Datos.

La aprobación final del renombrado Reglamento Europeo de Protección de Datos, pone de manifiesto, en materia de trasferencias internacionales de datos, un avance y la necesaria revisión de los mecanismos de reconocimiento del nivel adecuado de protección a terceros países, así como el avance en el desarrollo de códigos de conducta y de un Sello Europeo.

En concreto, la nueva norma europea, dedica un capítulo específico a la “transferencia de datos personales a terceros países u organizaciones internacionales” (ex artículos 40 y siguientes del RGPD), abordando cuestiones como el reconocimiento de un país terceros con nivel adecuado de protección, o por el contrario el reconocimiento de un tercero como no adecuado, prohibiéndose las transferencias al mismo.

La norma prevé también mecanismos de revisión de las Decisiones Europeas, un aspecto que se puso de manifiesto tras la eliminación del Safe Harbor, y que, en un horizonte en que las Decisiones Europeas fueron acordadas conforme al Convenio 108 y la Directiva 95/46/CE, y que la entrada en vigor y plena aplicación del Reglamento General, podrían implicar la necesidad de abordar cambios en las normas nacionales del selecto club de países con actual nivel de adecuación.

(iv) Brexit o Transferin: la nueva situación de Reino Unido.

El resultado del pasado referéndum en Reino Unido sobre si permanencia en la Unión Europea plantea un sinfín de interrogantes, entre los que se encuentran los tratamientos de datos llevados a cabo por empresas, prestadores de servicios e instituciones de Reino Unido.

En este sentido, el Breixt tiene importante implicaciones, tanto desde el punto de vista de la cooperación internacional, como sus implicaciones para las citadas empresas, en su condición de responsables de ficheros o de encargados de tratamiento.

Así, si bien dichos tratamientos de datos se encontraban acogidos al principio de libre circulación de los datos entre los Estados miembro (ex artículo 1 de la Directiva 95/46/CE), la salida de Reino Unido de la Unión Europea, implica una nueva realidad para estos tratamientos de datos, que tendrían la consideración de transferencias internacionales de datos.

(v) Horizonte y retos en materia de protección de datos.

Deberá por tanto esperarse a los próximos acontecimientos y la hoja de ruta que finalmente sea adoptada por Reino Unido y la Unión Europea, que posibilitará conocer la solución a la problemática que se sobreviene, mientras las empresas podrán optar por la firma de cláusulas contractuales tipo (sistema que, como ya adelantábamos, está siendo examinado en la actualidad), la elaboración de Binding Corporate Rules (“BCR”), contar con el consentimiento inequívoco y directo de las propias personas cuyos datos van a ser transferidos, o el acogimiento a alguna de las excepciones legalmente reconocidas.

Quedan cuestiones sobre las que avanzar, como el establecimiento de garantías recíprocas o el avance en establecer mecanismos de control por parte de las autoridades de control de los países a los que los datos van a ser transferidos, garantizando una protección global y efectiva.

Todos estos aspectos, tienen sin duda importantes consecuencias para las empresas, en su condición de responsables de ficheros/tratamientos, en una sociedad global, donde los tratamientos de datos trascienden de las propias fronteras, y donde la tecnología avanza en la misma línea, poniendo de manifiesto la necesidad de aportar seguridad jurídica para todos los actores intervinientes, garantizando un derecho fundamental como es la protección de los datos personales.