El 16 de Julio del 2020 el Tribunal de Justicia de la Unión Europea (TJUE) hace pública un sentencia en la que anula la transferencia internacional de datos a Estados Unidos, anula el Escudo de la Privacidad (Privacy Shield). La sentencia deja claro que EEUU no van a cumplir con garantía con el Reglamento Europeo de Protección de Datos. La normativa FISA (Ley de Vigilancia de la Inteligencia Extranjera), una normativa americana que permite interceptar las comunicaciones extranjeras sin causa probable o aprobación previa. Además guardan secretos y no serían transparentes con los exportadores de datos.
FISA accede a metadatos y contenidos. Estados Unidos en el año 2011 tenía acceso a veinte millones de comunicaciones comerciales sin las garantías procesales. Europa accede a comunicaciones comerciales, bajo una norma procesal.
¿Realizar Transferencias Internacionales a Estados Unidos no es válido?
Vivimos en un mundo global con flujos transfronterizos. La globalización forma parte de la realidad diaria. Estados Unidos y la Unión Europea tendrán que llegar a un acuerdo. Mientras, es muy difícil cumplir la transferencia internacional de datos. Existen herramientas de trabajo para gestionar este gran obstáculo. FISA ¿Va a desaparecer o ser modificado? Los americanos supervisan todo lo extranjero, es su norma. Ambas normas chocan y ahora toca buscar soluciones.
¿Quienes tienen que cumplir con la transferencia internacional de datos?
Los responsables y los encargados del tratamiento de datos.
Existen cuatro modelos diferentes:
- de responsable a responsable (R-R);
- de responsable a encargado (R-E);
- de encargado a responsable (E-R);
- de encargado a encargado (E-E).
Los operadores de transferencia internacional de datos personales han de adecuarse. Las Cláusulas Contractuales Tipo para la Transferencia Internacional de Datos Personales a Países de Terceros ya existían, han sido actualizadas tras la sentencia Schrems II del TJUE, y se publican el BOE del 7 de junio de 2021.
¿Con qué herramientas de trabajo podemos trabajar a favor la transferencia internacional de datos?
Las Cláusulas Contractuales Tipo para la Transferencia Internacional de Datos Personales a Países de Terceros publicadas en el BOE del 7 de Junio de 2021. Decisión de Ejecución (UE) 2021/914 de la Comisión de 4 de junio de 2021 relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.
El 27 de septiembre del 2021, las cláusulas predecedoras quedarán derogadas para todas las firmas nuevas. El 27 de diciembre del 2022, dejarán de tener validez para los contratos que estén ya firmados con anterioridad.
La nueva cláusula tipo 2021/914 permite a las empresas realizar transferencias internacionales fuera del Espacio Económico Europeo (“EEE”) sin la necesidad de obtener una autorización por parte de la Agencia Española de Protección de Datos (“AEPD”). ¿En qué casos? Si el país de destino está adecuado al RGPDUE ya es una garantía. Aún así, si el país de destino adecuado puede estar adecuado en un sector o en una parte del país. Hay que analizar esta adecuación.
Si se cumple con las cláusulas tipo, la transferencia internacional de datos cumple con una normativa europea, bien hecha, cuentan con su garantía. Si quiero poner mis propias cláusulas hay que pedir permiso ante a la Agencia Española de Protección de Datos.
Las medidas técnicas 1/2020 es una herramienta importante para analizar el posible cumplimiento de la transferencia internacional de datos. El Comité Europeo de Protección de Datos realiza estas recomendaciones con las cuales trabajar este área.
Las salvaguardas de las Recomendaciones del EDPB 1/2020, son herramientas de trabajo, al margen de del art.44 a 49 de RGPDUE. Los protocolos tienen que aplicarse antes de realizar la transferencia internacional de datos.
Tener un conocimiento sobre el impacto de la transferencia de datos es necesarios: nubes, accesos en remoto… Además, hay que validar constantemente la transferencia internacional de datos. Conocer la legislación del país de destino que limite o comprometa la efectividad de la protección otorgada por el RGPDUE. Siempre, aunque sea favorable la transferencia internacional de datos, hay que diseñar medidas complementarias, ya que la privacidad corre riesgos serios.
La trazabilidad es fundamental para demostrar la diligencia y proactividad.
Las recomendaciones 2/2020 . Hay que analizar la regulación del país, los derechos de los interesados. Incluso implementar medidas adicionales.
¿Existen certificaciones que garanticen la transferencia internacional de datos?
La aplicación de las normas son garantías vinculantes. Podrían llegar a existir certificaciones para la transferencia internacional de datos. El Art. 49 RGPDUE está previsto para excepciones, supuestos muy concretos.
¿Qué pasos podríamos seguir para encontrar garantías del cumplimiento de la transferencia internacional de datos?
- Estudiar si el país de destino está adecuado al RGPDUE
- Analizar si existe algo respecto al RGPDUE. Si está actualizado. Si no es viable la transferencia a ese país
- Conocer las condiciones y las limitaciones
- Conocer las vulnerabilidades de derechos fundamentales.
- Conocer la cadena de subcontratación y cesión de datos
- Si los destinatarios cumplen RGPD
- Cláusulas contractuales tipo son medidas complementarias (CEC)
- Excepciones para situaciones excepcionales
- Hay que garantizar la Triada CID
- Aplicar las recomendaciones del Comité Europeo 1/2020
- Definir el sistema jurídico
- Analizar los artículos del 44 al 49 del RGPDUE
- Preguntarse si ¿CEC es legítimo? ¿Se puede aplicar?
- Contar con un mapping legislativo y saber si se cumple o si se suspende la transferencia internacional de datos
- Realizar un checking a todos los proveedores de prestaciones de servicios
- Hay que pedir los contratos a las subcontratas, al menos los textos legales RGPDUE, las cláusulas de protección de datos
- ¿Hasta dónde nos van a acreditar que se cumplen con RGPDUE?
- ¿Llevamos los riesgos a la compañía? con posibles sanciones o ¿Cancelamos la transferencia internacional de datos? La Alta Dirección tiene que decidir
- Las leyes están muy cambiantes, hay que trabajar con vigilancia, diligencia y proactiva porque lo que hoy funciona, mañana cambia en las propias tecnologías de hecho estos días
- Siempre es mejor trabajar con compañías en la UE, con un Hub tecnológico en la UE, un representante cumpliendo el Art.27
La libertad de comercio es necesaria. Sin embargo, la transferencia internacional de datos es complicada. Hemos de cumplir con el deber de diligencia a la hora de contratar y darle seguimiento. Siempre que salimos con datos personales fuera de Europa, hemos de garantizar que quedan protegidos.
¿Qué problemas encontramos? Si tienes un hosting en Reino Unido y transfieres datos personales de la UE a UK, pero UK a su vez transfiere a EEUU y Colombia y estos dos países no cumplen con RGPDUE actualmente. Entonces estamos descuidando la cadena de transferencia de datos de las subcontratas y no hay garantías. Además, habré tomado una base legitimadora para que empleados (que ya son la parte más vulnerable de la cadena de mando de una empresa) y los clientes estén informados de que realizamos transferencia internacional de datos personales. Sin tener que ir al consentimiento, ya que este sería el último recursos. Siempre informar del cumplimiento, riesgos o no cumplimiento de la transferencia internacional de datos.
Si me voy a Estados Unidos de viaje, transfiero mis datos personales porque compro un viaje, tendrán mis datos, mi reserva y aplica el Art.49 RGPDUE pero es una decisión empresarial o personal. No estoy cediendo datos personales de terceros: empleados y clientes, además, la parte más vulnerable en materia de protección de datos.
El flujo de los datos personales además se ha de interpretar con La Carta de Derecho Fundamental de la UE, RGPDUE, Directiva 95, Grupo de Trabajo Art.26 y 29.
Fuente: AEPD
Transferencia Internacional del Datos
Formaciones realizadas en cuanto a la tranferencia internacional de datos. Enseñanza-Apredinzaje de HUELLA, Consultora de protección de datos para ayudar a mejorar en la reflexión, comprensión de la protección de datos.
¿Qué es lo grabe en la transferencia internacional de datos?
Los países que no cumplen con la privacidad según la normativa europea, RGPDUE están utilizando la información comercial y los datos personales e interceptando las comunicaciones extranjeras para vigilar, obtener información de forma ilícita de cómo pensamos, vivimos y trabajamos. Se puede entender como un espionaje por el mero hecho de que las empresas, su empresa, esté depositando esta información en las tecnologías que contrata como son nubes, hosting… La información confidencial, los secretos profesionales, el know how de las empresas y todo lo que tiene valor, que es el conocimiento, los datos y la información se ponen a disposición y se podrían llegar a escenarios de destrucción masivos para los países afectados, en este caso España. Son guerras, ciberguerras donde las empresas tienen que poner de su parte y por este motivo, las sanciones, a favor de salvaguardar la ciberdefensa de nuestro país, de España y de los estados miembros.