Transferencia internacional de datos: ¿a la tercera va la vencida?

El acuerdo entre la Comisión Europea y EEUU parece dar solución a las cuestiones que planteaba la justicia europea

Logo de Google en sus nuevas oficinas de Berlín (Alemania). AFP
Logo de Google en sus nuevas oficinas de Berlín (Alemania). AFP

Recientemente hemos conocido el principio de acuerdo entre la Comisión Europea y Estados Unidos sobre el futuro marco transatlántico de protección de datos, un nuevo paso a hacia la regularización de las transferencias internacionales de datos entre ambas orillas del Atlántico.

No debemos olvidar que los instrumentos que anteriormente fueron adoptados fueron invalidados por el Tribunal de Justicia de la Unión Europea en pronunciamientos sobre los casos Schrems I y II, relativos al Safe Harbor y al Privacy Shield.

En el último caso, el Tribunal de Justicia de la Unión Europea (TJUE) entendía que no cumplía con los requisitos exigidos por el Reglamento General de Protección de Datos (RGPD), toda vez que no se reconocía a los interesados sus derechos en determinados casos (por ejemplo, acceso, rectificación y supresión); no se establecían canales eficaces para la interposición de recursos y acciones judiciales; existían limitaciones al cumplimiento de los principios esenciales sobre la protección de los datos (los requerimientos de las autoridades estadounidenses primaban sobre los principios establecidos en el RGPD); y se entendía que, figuraras como la del defensor del pueblo, no eran suficientes para garantizar la protección legal de los derechos ni contaba con independencia.

En este marco, la Unión Europea (UE) avanzó en la adopción de una decisión que facilitase la regularización de las transferencias internacionales, teniendo en cuenta que el TJUE cuestionaba la efectividad de las anteriores clausulas contractuales tipo que, además, estaban basadas en la Directiva 95/46/CE. En junio de 2021 se publicaba la Decisión de Ejecución (UE) 2021/914, relativa a las cláusulas contractuales tipo para la transferencia de datos a terceros países conforme al RGPD.

No obstante, tal y como se han pronunciado las diferentes autoridades de control (por ejemplo, recientemente la Commission Nationale de l'Informatique et des Libertés de Francia o la Österreichische Datenschutzbehörde de Austria), la citada decisión no es una solución absoluta. Los exportadores de datos deben analizar el impacto de la normativa y las prácticas vigentes en el país al que van a transferir los datos con el fin de poder concluir si existe un nivel de protección equiparable al marco europeo y poder adoptar medidas suplementarias. ¿Podrían esas medidas ser eficaces cuando la normativa del tercer país obligaba a determinadas cuestiones como se ha analizado?

En este punto, exportadores e importadores volvían a encontrarse con el mismo problema de forma cíclica. Un problema cuya solución estaba fuera de su alcance y que, en el fondo, no podía darse ni desde ellos ni desde las autoridades de control y que sólo podía resolverse desde un acuerdo entre la Unión Europea y Elstados Unidos (EEUU). No nos encontrábamos ante un problema de seguridad de la información ni contractual (cuyo objeto podía ser imposible al no contar con un marco legal que facilitase el cumplimiento de las exigencias del RGPD), si no de falta de convergencia entre ambas normativas. Todo aquello que no pasase por ésta serían soluciones parciales, no exentas de riesgos, tanto para los interesados como las empresas (cabe reseñar las últimas sanciones conocidas).

El futuro marco, aunque ya cuestionado por algunos sectores antes de conocerse su detalle, parece que sí aportaría soluciones a las cuestiones por las que se anulaban los mecanismos anteriores. Por lo que hemos conocido, incluiría nuevas garantías y salvaguardas en relación con las normas estadounidenses con carácter vinculante para su efectividad (necesidad y proporcionalidad sobre los objetivos legítimos para la seguridad nacional), evitando el impacto desproporcionado sobre la privacidad de los ciudadanos, la definición de procedimientos para garantizar la supervisión efectiva de las exigencias del acuerdo en relación con los tratamientos de datos, un sistema de recursos en dos niveles para investigar y resolver las reclamaciones de los ciudadanos europeos sobre el acceso a sus datos por las autoridades de estadounidenses, pudiendo darse las compensaciones que correspondiesen, y la creación de un tribunal de revisión para la protección de los datos personales. Cuestiones que convivirán con el mantenimiento del sistema de auto certificación y la adhesión a los principios esenciales en materia de protección de datos conforme al RGPD, junto con mecanismos de control y revisión que faciliten la estabilidad y evolución del sistema.

El principio de acuerdo podría ser la solución al problema que afectaba a los tratamientos de los datos, los derechos de interesados y al crecimiento de la economía digital, pudiendo dar continuidad a las transferencias de datos, que sustentan 7,1 billones de dólares, como indicaba la Casa Blanca.

Lo que hemos conocido parece dar solución a las cuestiones que planteaba el TJUE, adoptando garantías conforme al RGPD para las transferencias internacionales entre la UE y EEUU y seguridad jurídica a los interesados y empresas que se adhieran a un mecanismo que no sea un parche o invalidado de forma periódica. En los próximos meses conoceremos el detalle del nuevo marco, pero, a priori, desde la información que se ha publicado, parece que, en esta ocasión, a la tercera puede ir la vencida.

Daniel López Carballo, socio del Área de IT, Privacidad y Protección de Datos de Ecija

Normas
Entra en El País para participar