Las transferencias internacionales de datos a la luz de los casos Schrems I y II. A cargo de Pablo García-Girón

AD 177/2021

Las transferencias internacionales de datos a la luz de los casos Schrems I y II

Resumen

El presente artículo tiene por objetivo presentar el panorama regulador que ha quedado ante los casos Schrems I y II, que afectan a las reglas aplicables sobre la realización de transferencias internacionales de datos de carácter personal, especialmente en lo referente a los envíos de datos a los Estados Unidos de Norteamérica (EEUU).

En el apartado I se presenta una introducción a la cuestión, donde se pretende explicar la motivación del autor en el tratamiento de este tema.

En el apartado II se intenta explicar en qué consisten los marcos Schrems I y II, y cómo afectan al modelo preexistente de autorización de transferencias internacionales de datos.

En el apartado III se explican los requisitos para vencer la prohibición general de realizar transferencias internacionales de datos a través de una decisión de adecuación, así como el juego que despliega el caso Schrems sobre estas previsiones concretas.

En el apartado IV se explica la posibilidad de recurrir a las garantías adecuadas de protección para salvar la prohibición general, y como alternativa a la ausencia de una decisión de adecuación sobre el país receptor de los datos.

En el apartado V se recurre, finalmente, a las excepciones generales a la prohibición general de realizar transferencias internacionales de datos, tomando como supuesto que no podemos recurrir a los dos mecanismos anteriores que habilitan la transferencia.

En el apartado VI se realiza una breve referencia a la idea que el Comité Europeo de Protección de Datos está intentando implantar con respecto a la problemática surgida tras el Schrems II.

Finalmente, en el apartado VII se relatan las conclusiones que el autor deduce del marcado actual aplicable a la regulación sobre transferencias internacionales de datos.

Abstract

The purpose of this article is to present the regulatory panorama left by the Schrems I and II cases, which affect the rules applicable to international transfers of personal data, especially with regard to data transfers to the United States of America (USA).

Section I presents an introduction to the issue, which aims to explain the author’s motivation in dealing with this subject.

Section II attempts to explain what the Schrems I and II frameworks consist of, and how they affect the pre-existing model of authorization of international data transfers.

Section III explains the requirements for overcoming the general prohibition of international data transfers through an adequacy decision, as well as how the Schrems case plays on these specific provisions.

Section IV explains the possibility of resorting to adequate protection safeguards to overcome the general prohibition, and as an alternative to the absence of an adequacy decision on the country receiving the data.

Finally, section V deals with the general exceptions to the general prohibition on international data transfers, assuming that we cannot resort to the two previous mechanisms that enable the transfer.

In section VI, a brief reference is made to the idea that the European Data Protection Committee is trying to implement with respect to the problems that have arisen following Schrems II.

Finally, section VII relates the conclusions that the author draws from the current framework applicable to the regulation on international data transfers.

Palabras clave

Protección de datos, Transferencias internacionales de datos, Escudo de Privacidad, Comisión Europea, EEUU, Normas Corporativas Vinculantes, Schrems I y Schrems II.

Key Words

Data Protection, International Data Transfers, Privacy Shield, European Commission, USA, Binding Corporate Rules, Schrems I and Schrems II.

Índice

Introducción. II. Transferencias internacionales basadas en una decisión de adecuación. III. Panorama ante el Schrems I y II IV. Transferencias internacionales basadas en garantías adecuadas de protección de los datos. V. Excepciones a la regla general de prohibición de las transferencias internacionales. VI. Recomendaciones del Comité Europeo de Protección de Datos. VII. Conclusiones. VIII. Anexo Países que cuentan con una decisión de adecuación. IX. Referencias.

 

1.- Introducción

Los movimientos de datos de carácter personal hacia terceros países, aquellos que no se encuentran dentro del espacio definido por el Espacio Económico Europeo (en adelante EEE) se conocen como transferencias internacionales de datos, y se encuentran regulados por el Reglamento General de Protección de Datos (RGPD) bajo requisitos que se relatan en el capítulo V de la norma.

Uno de los casos que supone una especial complejidad, por su relevancia para el tráfico económico y comercial internacional, es el de las transferencias de datos a los Estados Unidos de Norteamérica (EEUU), las cuales se encontraban validadas por una decisión de adecuación dictada por la Comisión Europea, de acuerdo con los especificado por la antigua Directiva 95/46.

Esta decisión tenía el objetivo de facilitar los movimientos de datos que las empresas transnacionales debían realizar para poder dinamizar el tráfico económico y comercial, y continuar realizando su actividad. Este acuerdo se denominó, en un primer momento, “Safe Harbor” (Puerto seguro) y, posteriormente, fue derogado y sustituido por el “Privacy Shield” (Escudo de Privacidad).

El Acuerdo del Escudo de Privacidad también fue anulado en el año 2020 por el Tribunal de Justicia de la Unión Europea (TJUE), lo que ha puesto en suspenso las transferencias internacionales de datos entre Europa y los EEUU, y motivado la elaboración de artículos dogmáticos como el que el lector tiene en sus teclados.

El artículo se ha elaborado con la idea de aportar el razonamiento que debería seguir un Responsable del Tratamiento que quiera enviar datos a los EEUU, y no tenga la posibilidad, o el deseo, de recurrir a mecanismos de cifrado o anonimización sobre los datos. Estas dos medidas se contemplarán tan sólo a modo de conclusión, para aportar el marco final más completo posible con la situación actual.

 

2.-  Transferencias internacionales basadas en una decisión de adecuación

Actualmente, en el RGPD se regulan las transferencias internacionales de datos en los artículos 44 y siguientes del capítulo V de la norma. El artículo 44 contiene la regla general por la que se prohíben las transferencias internacionales de datos salvo que se cumplan las condiciones del capítulo dedicado a esta materia, lo que supone un cambio de mentalidad con la regulación anterior, ya que no se partía de una prohibición general, si bien se reconocían los enormes riesgos de enviar datos a países que no tuvieran una regulación especialmente garantista sobre el derecho a la privacidad y a la protección de datos.

El primer mecanismo para doblegar la prohibición general de realizar transferencias internacionales de datos consiste en que exista una decisión de adecuación emitida por la Comisión Europea, de acuerdo con el artículo 45 RGPD. Este es el caso que afecta a territorios o países como los EEUU, que hasta julio de 2020 contaba con una decisión de adecuación por el Acuerdo del Escudo de Privacidad.

La lista de países que cuentan con una decisión de adecuación se pueden consultar en el Anexo de este artículo.

En conclusión, a falta de una decisión de adecuación, será necesario recurrir a las garantías adecuadas del apartado IV., en adelante del presente artículo.

3.- Panorama ante el Schrems I y II

Maximilian Schrems, es un activista austriaco de 34 años de edad que ganó relevancia en el ámbito internacional, especialmente en lo que al activismo por la privacidad se refiere, con motivo del “Caso Facebook”, lo que le llevó a fundar la ONG “Europa versus Facebook”.

El Caso Facebook surge cuando Schrems denuncia públicamente las prácticas que realizaba Facebook al entregar los datos de sus usuarios a la Agencia de Seguridad Nacional (National Security Agency, NSA) de los EEUU. De esta forma, se llegó a descubrir el tipo de información que servicios gratuitos como Facebook almacenan sobre sus usuarios (desde nombre y apellidos, fecha de nacimiento y aficiones, hasta relaciones interpersonales con otros usuarios, o incluso contenido que el usuario cree haber eliminado de la red social).

Llamamos Schrem I a la resolución que el Tribunal de Justicia de la Unión Europea (TJUE) dictó con respecto del Caso Facebook, y que llevó a la invalidación de la decisión de adecuación de Puerto Seguro (acuerdo suscrito en el año 2000 que validaba los intercambios de datos entre el EEE y los EEUU) al considerar que, en verdad, las empresas adheridas en EEUU no estaban realizando un tratamiento de los datos en términos de seguridad equiparables al nivel de protección exigido por la normativa europea.

Por tanto, Max Schrems y sus quijotescos colaboradores lograron poner de manifiesto un secreto a voces: en los EEUU no había una normativa transversal que obligara a las empresas norteamericanas a la protección de los datos de carácter personal con un nivel de protección adecuado, algo que todos sabíamos. La importancia de esta decisión consiste en poner de manifiesto los efectos de ese modelo poco garantista con el derecho fundamental a la protección de datos.

Los motivos por los que se ha considerado inválido este acuerdo, son los siguientes:

• El TJUE entiende que el RGPD exige un nivel de protección equivalente al garantizado dentro de la Unión Europea, para poder realizar una transferencia internacional. Ese nivel de protección equivalente no se proporciona en los EEUU. Esto ocurre por la capacidad que las autoridades públicas norteamericanas tienen para acceder a los datos que han sido enviados a los EEUU.
• Actualmente, no existe una Decisión de Adecuación de la Comisión Europea que garantice ese nivel adecuado de protección (lo que implica la invalidez del Acuerdo de Escudo de Privacidad).
• Además, y con motivo de la legislación de los EEUU, las cláusulas tipo de protección de datos de la Comisión Europea no pueden respetarse en ese país.

La anulación del Acuerdo de Puerto Seguro en 2015 supuso la paralización de los flujos de datos entre el EEE y los EEUU, lo que afectaba a un volumen importante de empresas, tanto en términos cuantitativos como cualitativos. A nivel económico, comercial y político, esto era una catástrofe. Es por ello que no se hizo esperar la elaboración de una nueva decisión de adecuación basada en el Acuerdo del Escudo de Privacidad el cual, supuestamente, venía a definir garantías que asegurarían la protección de los datos en el ámbito norteamericano.

Como era de esperar, el nuevo Acuerdo no fue sino una repetición de los efectos del anterior, lo que nos lleva a la sentencia del Schrem II, por la que el TJUE invalida la Decisión del Escudo de Privacidad en julio de 2020.

Por tanto, actualmente nos encontramos con que no existe una decisión de adecuación que ampare los envíos de datos de carácter personal desde el EEE hasta los EEUU.

4.-  Transferencias internacionales basadas en garantías adecuadas de protección de los datos

Visto que, en caso de no contar con una decisión de adecuación, como es el caso que afecta a los EEUU, el artículo 46 del RGPD contempla la aplicación de ciertas garantías para vencer la prohibición general antes comentada. Enseguida veremos que algunas de esas garantías están pensadas para casos muy concretos, por lo que no podrán extrapolarse para casos generales.

Solo se podrán enviar los datos al tercer país si el receptor de la información ha ofrecido garantías adecuadas de protección de los datos, y a condición de que los titulares cuenten con sus derechos y acciones efectivas para ejercerlos.

Esas garantías serían las siguientes:

1. Contrato: La primera garantía consiste en habilitar entre las partes de la transferencia de datos un instrumento que sea jurídicamente vinculante y exigible ante una autoridad pública, tanto para el emisor como para el receptor de la información. Este instrumento deberá regular deberes y obligaciones que tengan una orientación a garantizar que el tratamiento que se realiza sobre los datos, sea “seguro”. Será “seguro” en términos de cumplimiento, o no, del RGPD.
2. Normas Corporativas Vinculantes: El artículo 47 del RGPD regula esta garantía pensando en movimientos de datos entre organismos que forman parte de un mismo grupo empresarial, por lo que no sería aplicable al resto de casos que no se encuentren dentro de esa misma casuística.
3. Cláusulas tipo de protección de datos: Las dos partes del envío suscriben cláusulas modelo, elaboradas para ello, que contemplan garantías en términos de protección de los datos aprobadas y validadas previamente por la Comisión Europea. También se aceptan cláusulas tipo de protección de datos de las autoridades de control nacional, que en el caso de España provendrían de la Agencia Española de Protección de Datos, pero deben ser posteriormente validadas por la Comisión Europea. Sobre el caso de los envíos de datos a los EEUU, hay que tener en cuenta que Schrems II ya nos dice que no considera válida esta solución debido a que la legislación en los USA no permite el respeto al contenido de estas cláusulas.
4. Adscripción o elaboración de códigos de conducta: La garantía consiste en que las dos partes decidan someterse a un código de conducta ya existente, que contiene compromisos jurídicamente vinculantes y exigibles ante una autoridad pública en materia de protección de datos, o crear uno propio que sea aprobado y validado en los términos que contempla el RGPD en el capítulo dedicado a los códigos de conducta. De esta forma, se pretende favorecer la flexibilidad para la adaptación al caso concreto que se trate, a través de la autoregulación.
5. Certificación en materia de RGPD: La garantía consiste en que las dos partes del envío decidan someterse a mecanismos de certificación en protección de datos, y cuenten con mecanismos que les comprometen jurídicamente entre sí, y les sean exigibles ante una autoridad pública.

Además, hay que tener en cuenta que estas garantías pueden ser aportadas mediante los siguientes mecanismos:

• Un contrato firmado entre el responsable del tratamiento que quiere enviar los datos, y el responsable del tratamiento que recibe los datos en el tercer país.
• Cláusulas que se incorporan en acuerdos administrativos entre autoridades públicas, siempre que incluyan derechos que sean ejercitables y exigibles de forma efectiva por los titulares de los datos.

Estos mecanismos tendrán que ser autorizados por una autoridad de control competente (como la AEPD) para poder ser válidos.

En conclusión, la garantía más factible para el caso en que queramos enviar datos a los EEUU es la firma de un contrato con el receptor de los datos, donde se comprometa a tratar los datos con un nivel de protección equivalente al que presta el RGPD.

En el caso de no poder presentar alguna de las garantías que se han previsto en este apartado, será necesario acudir al apartado V., del artículo.

5. – Excepciones a la regla general de prohibición de las transferencias internacionales

Cuando la transferencia no puede justificarse por una decisión de adecuación, ni es posible presentar garantías de una adecuada protección para los datos, es necesario intentar recurrir a alguna de las excepciones del artículo 49 del RGPD. Las excepciones son las siguientes:

1. Consentimiento explícito: Cuando el interesado ha dado su consentimiento de forma explícita, se podrán realizar las transferencias de datos. Antes de dar su consentimiento, el responsable del tratamiento que quiere enviar los datos fuera del EEE tiene que informar al interesado de los riesgos que tiene la transferencia, al no haber una decisión de adecuación, ni garantías adecuadas de protección. Obviamente, al enorme esfuerzo de dinero y recursos para el responsable del tratamiento, se suma que es difícil pensar en un interesado que vaya a consentir en el envío de los datos, cuando le estamos diciendo que entraña un riesgo para sus derechos y libertades.
2. Ejecución de un contrato: Cuando la transferencia es necesaria para ejecutar un contrato entre el responsable del tratamiento que quiere enviar los datos y el interesado, o para ejecutar medidas precontractuales en este mismo contexto.
3. También podrá realizarse cuando el contrato que se quiere celebrar o ejecutar es realizado en interés del interesado, es decir, entre el responsable del tratamiento que quiere enviar los datos y otra persona, en relación con el titular de los datos.
4. Interés público: Cuando hay motivos de interés público que justifiquen la transferencia de los datos. Hay que tener en cuenta que el interés público debe encontrarse previsto en una norma con rango de ley, de forma expresa.
5. Reclamaciones: Cuando la transferencia sea necesaria para formular, ejercer o defender una reclamación, entendido como un litigio o reclamación jurídicamente vinculable.
6. Interés vital: Cuando la transferencia es necesaria para proteger intereses vitales del interesado u otras personas, y el interesado no se encuentra capacitado para consentir. El interés vital hace referencia a la vida de una persona, lo que limita mucho el ámbito de juego de esta excepción.
7. Registro Público: Cuando la transferencia se realice desde un registro público que tenga por objeto facilitar la información al público y esté abierto a consulta del público en general, o de cualquier persona que pueda acreditar un interés legítimo. Debe encontrarse considerado oficialmente como un “registro público”.

Además de lo anterior, hay requisitos a la hora de realizar la transferencia en sí misma:

• No puede ser repetitiva en el tiempo, la excepción está pensada para un caso “excepcional”.
• Sólo puede afectar a un número limitado de interesados.
• La transferencia debe ser necesaria para garantizar finalidades relacionadas con los intereses o derechos y libertades del interesado.
• El responsable del tratamiento que quiere enviar los datos debe haber evaluado todas las circunstancias y haber adoptado garantías adecuadas de protección sobre los datos.

6.-  Recomendaciones del Comité Europeo de Protección de Datos

Por si este marco no fuera suficiente, con derogaciones, promulgaciones de acuerdos y nuevas derogaciones de por medio, surgen las recomendaciones del Comité Europeo de Protección de Datos, aquél órgano creado con motivo de la promulgación del RGPD con el objetivo de contribuir a la armonización en la aplicación de la normativa de protección de datos entre los Estados Miembros de la Unión Europea, así como favorecer la cooperación entre las autoridades de control nacional.

En este sentido, procede comentar dos recomendaciones elaboradas con motivo de la invalidez del Acuerdo del Escudo de Privacidad, concretamente las Recomendaciones 1/2020 y 2/2020 cuyo objetivo fundamental es proponer que a cualquier responsable del tratamiento europeo que quiera realizar envíos de datos fuera del EEE deba realizar antes una serie de acciones:

• Estudiar cuál es el nivel de conformidad del ordenamiento jurídico extranjero al que quiere enviar los datos.
• Asegurarse de que no existe ninguna contradicción con la normativa del RGPD, que pudiera llevarle a pensar que no debe realizar la transferencia de los datos al país externo.

Esto no deja de ser una política de regulación que se ampara en el principio de responsabilidad proactiva para dejar descansar la responsabilidad sobre la adecuación del tercer país en los brazos del pobre responsable del tratamiento.

Basta decir que resulta una obviedad cuál será el resultado de aplicar ese análisis sobre una legislación como la de los EEUU que sigue doctrinas con respecto a la intimidad y privacidad diametralmente opuestas a las europeas, por una pura cuestión de cosmovisión.

Por tanto, no parece razonable que podamos seguir las recomendaciones del Comité Europeo, si nuestro objetivo final es el envío de datos a los EEUU.

7.- Conclusiones

De lo analizado hasta ahora, podemos extraer las siguientes conclusiones:

1. Para realizar una transferencia internacional, debemos revisar los tres mecanismos habilitados por el RGPD, para elegir el más adecuado a nuestras necesidades:

• En primer lugar, el listado de países que cuentan con una decisión de adecuación.
• En segundo lugar, el listado de garantías adecuadas de protección, para analizar cuál es la más beneficiosa para cada caso concreto. La que más se ajusta al caso en que queramos enviar datos a los EEUU es la firma de un contrato con el receptor de la información donde éste se obligue a proteger los datos con un nivel de protección equivalente al del RGPD.
• En tercer lugar, revisar las excepciones previstas para la recogida del consentimiento explícito del titular de los datos.

2. Para realizar una transferencia internacional a los EEUU no podemos recurrir a la decisión de adecuación (porque ha sido invalidada), ni tampoco a las cláusulas tipo de la CE ni la AEPD, ya que el TJUE las considera ineficientes.

El mecanismo más evidente para salvar la prohibición general es la firma de un contrato con el receptor de los datos, donde se comprometa a tratar los datos con un nivel de protección equivalente al que presta el RGPD. Hay que tener en cuenta que estos datos no podrán ser almacenados en una nube, pública o privada, cuyos servidores se encuentren en los EEUU, dado que estas empresas proveedoras de servicios cloud tienen una obligación de colaboración con las autoridades norteamericanas, lo que les impide negarse a compartir estos datos.

Alternativamente, es posible recurrir a la vía de recoger el consentimiento explícito del interesado, pero hay que explicarle los riesgos inherentes a enviar datos a un país sobre el que no existe una decisión de adecuación ni garantías adecuadas de protección. Asimismo, operativamente esta opción puede no resultar ventajosa en un análisis de coste/beneficio.

3. Suponiendo que nos sea posible recurrir a estas medidas, la transferencia de los datos también podrá realizar si conseguimos que pierdan su cualidad de datos de carácter personal (anonimizándolos con un algoritmo robusto), o cifrándolos con un método que impida la reversión de la medida de protección.

8. Anexo Países que cuentan con una decisión de adecuación

Los países sobre los que existe, actualmente vigente, una decisión de adecuación de la Comisión Europea son los siguientes:

• Suiza (Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000).
• Canadá (Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001).
• Argentina (Decisión 2003/490/CE de la Comisión, de 3 de junio de 2003).
• Guernsey (Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003).
• Isla de Man (Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004).
• Jersey (Decisión 2008/393/CE de la Comisión, de 8 de mayo de 2008).
• Islas Feroe (Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010).
• Andorra (Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010).
• Israel (Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011).
• Uruguay (Decisión 2012/484/UE de la Comisión, de 21 de agosto de 2012).
• Nueva Zelanda (Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012).
• Japón (Decisión de 23 de enero de 2019).
• Reino Unido (Decisión de 28 de junio de 2021).

Estos documentos se pueden consultar en la página web de la AEPD pulsando aquí.

9.- Referencias

Legales

Para elaborar el artículo se han utilizado las siguientes referencias legales:

• Reglamento 2016/679 del PE y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
• Acuerdo de Escudo de Privacidad. Decisión 2016/1250/CE, de 12 de julio de 2016 de la Comisión Europea por la que se crea el Escudo de privacidad.
• Acuerdo de Puerto Seguro. Decisión 2000/520/CE de la Comisión Europea por el que se declara el nivel adecuado en protección de datos del Puerto Seguro.

Jurisprudenciales

Para elaborar el artículo se han utilizado las siguientes referencias jurisprudenciales:

• Sentencia del Tribunal de Justicia de la Unión Europea en el asunto C-362/14 (Schrems I).
• Sentencia del Tribunal de Justicia de la Unión Europea en el asunto C-311/18 (Schrems II).

Pablo García-Girón

2 de diciembre de 2021

---

Pablo García-Girón Pérez 

Actualmente es abogado y consultor especializado en ciberseguridad y protección de datos.