Legal Alert

Artículo

Medidas adicionales para transferencias internacionales de datos

Legal Alert

La Sentencia del Tribunal de Justicia de la Unión Europea (TJUE), de 16 de julio de 2020 (Asunto C-311/18) supuso la anulación del Acuerdo Privacy Shield como garantía para realizar transferencias internacionales de datos de carácter personal por parte de responsables de tratamiento ubicados en el Espacio Económico Europeo (EEE) a aquéllos encargados o responsables de tratamiento ubicados en los Estados Unidos. La propia sentencia sugería que el uso las «cláusulas contractuales tipo» de la Comisión Europea, como garantía adecuada y alternativa al Privacy Shield, necesariamente debería combinarse con medidas adicionales, para poder realizar dichas transferencias.

Con el fin de definir y concretar esas medidas adicionales a las que se refería la sentencia, el pasado 10 de noviembre de 2020 el Comité Europeo de Protección de Datos (CEPD) publicó las «Recomendaciones 1/2020, sobre las medidas complementarias a las garantías para realizar una transferencia internacional con el fin de acreditar el cumplimiento en materia de protección de datos». Este documento se encuentra en fase de consulta pública.

En ellas, el CEPD establece un procedimiento para evaluar la necesidad de implementar dichas medidas adicionales, de acuerdo con las garantías contempladas en el Reglamento General de Protección de Datos (RGPD).

El primer paso consiste, a grandes rasgos, en la identificación de las transferencias a realizar, verificando que los datos son relevantes, adecuados y necesarios para el cumplimiento de los fines del tratamiento a que se refiere esa transferencia internacional de datos. A continuación, debe constatarse si las garantías aplicadas para transmitir los datos son adecuadas de acuerdo con el RGPD (p.e.: se basan en Cláusulas Contractuales Tipo). El tercer paso exige analizar la regulación del país tercero y su posible afectación a los derechos de los interesados, todo ello considerando las Garantías Esenciales Europeas establecidas por el CEPD en las Recomendaciones 2/2020, sobre las Garantías Europeas Esenciales en relación con medidas de vigilancia (igualmente sometido a fase de consulta pública).

Si no concurriera el anterior requisito, será necesario implementar medidas adicionales, a cuyo efecto se propone una lista no exhaustiva de posibles medidas:

  • Las medidas técnicas se basan, principalmente, en el cifrado o la seudonimización de los datos personales que se transfieran, antes del envío de dichos datos, tanto en la propia transmisión hacia el país tercero como en su posterior almacenamiento en el país de destino.
  • Las medidas contractuales pasan por imponer a la entidad ubicada en el país tercero, y receptora de los datos, la obligación contractual de implementar medidas técnicas adecuadas. También se recomienda exigir a dicho tercero que evalúe la afectación a los derechos en materia de Privacidad en la legislación de su país, o que informe sobre las solicitudes de autoridades para acceder a los datos personales en un periodo de tiempo. Se recomienda que esta información se facilite a quien pretenda llevar a cabo la transferencia, como parte cedente, a través de cuestionarios estructurados.
  • Las medidas organizativas se basan en la elaboración de Políticas que definan los roles y responsabilidades específicas, dentro del tratamiento que supone, en sí, la realización de la transferencia internacional. 

El CEPD es tajante al indicar que, en caso de que la implementación de las medidas no resulte suficiente para salvaguardar los derechos de los interesados, la transferencia internacional no deberá realizarse o, en su caso, deberá suspenderse.

En último caso se tendrían que respetar las formalidades necesarias para asegurar que la implantación de las medidas. Por ejemplo, si las medidas requieren modificar las Cláusulas Contractuales Tipo, debe solicitarse autorización a la autoridad de control competente.

Todo lo anterior debe completarse con una reevaluación periódica del funcionamiento de las medidas implementadas.

En conclusión, estas Recomendaciones, que aportan una cierta seguridad jurídica que resultaba necesaria a la luz de la sentencia del TJUE, obligan a revisar -de nuevo- las transferencias internacionales de datos que toda empresa esté llevando a cabo, para, cuando sea preciso, completar las garantías adecuadas con otras medidas complementarias que puedan corresponder.

Accede al documento aquí