A vueltas con las transferencias internacionales de datos
Tras la anulación del Privacy Shield, la pregunta es ¿y ahora qué? Las cláusulas contractuales son la mejor solución a corto plazo
Hemos vivido una suerte de déjà vu al conocer la sentencia del Tribunal de Justicia de la UE; un viaje al pasado cuando, cinco años atrás, quedaba invalidado el Safe Harbour. En aquel momento, como hoy, el alto tribunal ponía de manifiesto, entre las principales carencias, la ponderación a favor de cuestiones tales como la seguridad nacional o la normativa estadounidense por encima de la protección de los datos de las personas y, por tanto, de su privacidad e intimidad.
Este aspecto ya había sido objeto de debate tras la adopción del Privacy Shield y cuando fue evaluado, concluyéndose que, si bien aportaba más garantías que su predecesor, no solucionaba los problemas de fondo, derivados de la propia idiosincrasia de EE UU. Las exigencias del último instrumento invalidado, que las autoridades estadounidenses debían respetar, no eran correlativas ni proporcionales a los derechos conferidos a los propios interesados y la forma en que ejercerlos.
Así las cosas, si bien el conflicto no es nuevo, la realidad ante la que se encuentran las diferentes empresas a ambos lados del océano vuelve a ser compleja. Aquellas entidades que no optaron por otros mecanismos para regularizar sus transferencias, más allá del Privacy Shield, deberán hacerlo a la mayor brevedad, pendientes de posibles moratorias de las autoridades de control.
Esta decisión impacta tanto en las entidades sujetas al reglamento europeo y los posibles incumplimientos (una transferencia sin las necesarias garantías podría conllevar sanciones y la inmovilización de datos), como los propios prestadores de servicios en EE UU y la posibilidad de que sigan prestando servicios en Europa.
La pregunta es ¿y ahora qué hacer? A priori las cláusulas contractuales parecen la solución más adecuada en el corto plazo. Una temporalidad que es importante resaltar, ya que, basadas en una directiva anterior, se encuentran pendientes de revisión. Pese a aportar garantías suficientes, precisan una actualización al RGPD, que se va posponiendo en el tiempo y que solo ha sido abordada parcialmente por alguna autoridad nacional.
A nadie escapa que uno de los aspectos en los que podrían evolucionar estas cláusulas es la posibilidad de establecerse mecanismos de verificación entre autoridades internacionales, un aspecto que aportaría más garantías en el país de origen y en el receptor.
Las normas corporativas vinculantes, la adhesión a códigos o mecanismos como los propios sellos contemplados en el RGPD parecen marcar la senda en las transferencias internacionales de datos. Las empresas, deben realizar un análisis profundo sobre los flujos entre países y cómo acometer una apuesta clara por un instrumento que sea duradero y aporte estabilidad jurídica a nivel corporativo, pero fundamentalmente a sus propios empleados, clientes y potenciales, sin olvidar otras vías de legitimación del RGPD como podría ser el consentimiento.
Mientras EE UU lleva años hablando de la posibilidad de contar con una normativa en materia de privacidad a nivel federal, a la fecha no deja de ser un anhelo. Solo encontramos normas que hacen mención a esta materia o Estados que sí han avanzado en este sentido, pero aún queda camino.
Finalmente, no debemos olvidar en el ámbito internacional otra fecha clave, final de 2020, cuando debamos de aplicar nuevos mecanismos para regularizar los flujos internacionales a y desde el Reino Unido. Con la vista puesta en un posible reconocimiento como país con nivel adecuado de protección. Por todo ello, se avecinan meses importantes para responsables y encargados del tratamiento, dentro de la responsabilidad activa y la necesidad de cumplir con la norma europea, aportando garantías suficientes.
Daniel López, socio del área de IT, privacidad y protección de datos de Ecija.