Transferencia internacional de datos: ¿a la tercera va la vencida?

Artículo publicado en Cinco Días, 7 de abril de 2022.

Recientemente hemos conocido el principio de acuerdo entre la Comisión Europea y Estados Unidos sobre el futuro marco transatlántico de protección de datos, un nuevo paso a hacia la regularización de las transferencias internacionales de datos entre ambas orillas del Atlántico.

No debemos olvidar que los instrumentos que anteriormente fueron adoptados fueron invalidados por el Tribunal de Justicia de la Unión Europea en pronunciamientos sobre los casos Schrems I y II, relativos al “Safe Harbor” y al “Privacy Shield”.

En el último caso, el TJUE, entendía que no cumplía con los requisitos exigidos por el RGPD, toda vez que no se reconocía a los interesados sus derechos en determinados casos (e.g. acceso, rectificación y supresión); no se establecían canales eficaces para la interposición de recursos y acciones judiciales; existían limitaciones al cumplimiento de los principios esenciales sobre la protección de los datos (los requerimientos de las Autoridades estadounidenses primaban sobre los principios establecidos en el RGPD) y, se entendía que, figuraras como al del Defensor del Pueblo, no eran suficientes para garantizar la protección legal de los derechos ni contaba con independencia.

En este marco, la UE avanzó en la adopción de una Decisión que facilitase la regularización de las transferencias internacionales, teniendo en cuenta que el TJUE cuestionaba la efectividad de las anteriores clausulas contractuales tipo que, además estaban basadas en la Directiva 95/46/CE. En junio de 2.021, se publicaba la Decisión de Ejecución (UE) 2021/914 relativa a las cláusulas contractuales tipo para la transferencia de datos a terceros países conforme al RGPD.

No obstante, tal y como se han pronunciado las diferentes autoridades de control (e.g. recientemente, la Commission Nationale de l’Informatique et des Libertés de Francia o la Österreichische Datenschutzbehörde de Austria), la citada Decisión no es una solución absoluta. Los exportadores de datos deben analizar el impacto de la normativa y las prácticas vigentes en el país al que van a transferir los datos, con el fin de poder concluir si existe un nivel de protección equiparable al marco europeo y poder adoptar medidas suplementarias. ¿Podrían esas medidas ser eficaces cuando la normativa del tercer país obligaba a determinadas cuestiones como se ha analizado?

En este punto, exportadores e importadores, volvían a encontrarse con el mismo problema de forma cíclica. Un problema cuya solución estaba fuera de su alcance y que, en el fondo, no podía darse ni desde ellos, ni desde las autoridades de control y que, sólo podía resolverse desde un acuerdo entre la UE y EEUU. No nos encontrábamos ante un problema de seguridad de la información ni contractual (cuyo objeto podía ser imposible al no contar con un marco legal que facilitase el cumplimiento de las exigencias del RGPD), si no de falta de convergencia entre ambas normativas. Todo aquello que no pasase por ésta, serían soluciones parciales, no exentas de riesgos, tanto para los interesados, como las empresas (cabe reseñar las últimas sanciones conocidas).

El futuro marco, aunque ya cuestionado por algunos sectores antes de conocerse su detalle, parece que sí aportaría soluciones a las cuestiones por las que se anulaban los mecanismos anteriores. Por lo que hemos conocido, incluiría nuevas garantías y salvaguardas en relación con las normas estadounidenses con carácter vinculante para su efectividad (necesidad y proporcionalidad sobre los objetivos legítimos para la seguridad nacional) evitando el impacto desproporcionado sobre la privacidad de los ciudadanos; la definición de procedimientos para garantizar la supervisión efectiva de las exigencias del acuerdo en relación con los tratamientos de datos; un sistema de recursos en dos niveles para, investigar y resolver, las reclamaciones de los ciudadanos europeos sobre el acceso a sus datos por las autoridades de estadounidenses, pudiendo darse las compensaciones que correspondiesen y, la creación de un Tribunal de Revisión para la Protección de los Datos Personales. Cuestiones que convivirán con el mantenimiento del sistema de auto certificación y la adhesión a los principios esenciales en materia de protección de datos conforme al RGPD, junto con mecanismos de control y revisión que faciliten la estabilidad y evolución del sistema.

Lo que hemos conocido, parece dar solución a las cuestiones que planteaba el TJUE, adoptando garantías conforme al RGPD para las transferencias internacionales entre la UE y EEUU, seguridad jurídica a los interesados y empresas que se adhieran a un mecanismo y confort en el marco de la creciente economía digital (cabe recordar que dichas transferencias sustentan 7,1 billones de dólares, como indicaba la Casa Blanca), que no sea un parche o invalidado de forma periódica. En los próximos meses conoceremos el detalle del nuevo marco, pero, a priori, desde la información que se ha publicado, parece que, en esta ocasión, a la tercera puede ir la vencida.

Enlace permanente a este artículo: http://dlcarballo.com/2022/04/07/transferencia-internacional-de-datos-a-la-tercera-va-la-vencida/