La Comisión ha vuelto a validar el Privacy Shield. ¿Sigue siendo el mejor mecanismo para las transferencias internacionales a los Estados Unidos?
Cristina Borrell
Ecix Group
La Comisión Europea publicó el pasado 24 de octubre de 2019 el Informe sobre la tercera revisión anual del funcionamiento del Privacy Shield entre la Unión Europea (UE) y los Estados Unidos. En esta ocasión, la Comisión ha avalado los esfuerzos realizados por parte de los Estados Unidos para cumplir con las mejoras exigidas por parte de la Unión Europea. Entre ellos destaca el nombramiento de los principales órganos de supervisión y recurso, tales como el del Defensor del Pueblo, Ombudsman, o la supervisión sistemática mediante controles mensuales a las empresas autocertificadas en el Privacy Shield. No obstante, la Comisión concluye que es necesario adoptar una serie de medidas concretas para garantizar el funcionamiento efectivo del Privacy Shield, tales como intensificar las investigaciones de conformidad con los requisitos sustantivos del Privacy Shield, reforzar el proceso de certificación o recertificación de las empresas que participen de este proceso acortando los plazos para el mismo, o elaborar directrices concretas para el tratamiento de datos relacionados con las actividades de recursos humanos.
Para toda empresa multinacional es vital tener presencia internacional a fin de ofrecer servicios y productos de forma global. En este sentido, resulta imprescindible poder compartir información y exponencialmente, datos personales, con las distintas sedes, filiales y sucursales, así como centralizar o descentralizar el tratamiento de esta información y utilizarla de forma conjunta o sectorial para mejorar la eficiencia e incluso obtener rédito de ésta. Además, cumplir con el marco regulatorio en esta materia abre las puertas del libre mercado, siendo así, realizar transferencias internacionales de datos de forma lícita supone la superación de una de las principales barreras en el acceso al mercado de un país.
En particular, del régimen jurídico de las transferencias internacionales de datos previsto en los artículos 44 a 49 del Reglamento General de Protección de Datos se desprende lo siguiente:
- Las Decisiones de adecuación adoptadas por la Comisión Europea persiguen el objetivo de abrir las puertas al comercio internacional facilitando las transferencias internacionales de datos respecto a los territorios consolidados como socios comerciales de la UE.
Aunque son revisadas anualmente por la Comisión, numerosos son los ejemplos que evidencian la falta de seguridad jurídica y la carencia de mecanismos para la protección del interesado, siendo el más sonado, el conocido caso Schrems.
- Por lo que concierne a las Cláusulas contractuales tipo adoptadas por la Comisión Europea, cabe decir que, si bien es un mecanismo que ya funcionaba en el régimen de la Directiva 95/46/CE, el mismo ha quedado sobrepasado por la magnitud de los flujos de datos de las compañías y que, a mayor abundamiento, no ha sido todavía actualizado a las exigencias del RGPD.
Además, el uso de cláusulas contractuales tipo presenta una estructura tremendamente rígida que no permite actualizarlas de una forma ágil según las necesidades del sector, nacimiento de nuevos tratamientos de datos, o cambios en la legislación nacional.
A mayor abundamiento, de la misma manera que las decisiones de adecuación, las cláusulas contractuales tipo se encuentran también en situación de entredicho habiendo sido cuestionadas recientemente en el marco del Caso Schrems II. Se prevé que su futuro se determinará por el Tribunal de Justicia de la Unión Europea, no antes de 2020. Siendo así, la posible invalidación de las mismas supondría un verdadero obstáculo, al ser el mecanismo más utilizado a la práctica para realizar transferencias de datos a terceros países fuera de la UE.
- Respecto a la elaboración de Códigos de conducta, cabe decir que suponen un mecanismo poco específico para la transferencia internacional de datos. Si bien es cierto que la Agencia Española de Protección de Datos ha establecido los elementos que deben abordar y que es un mecanismo propuesto por el RGPD como válido para regular tal situación, debe recordarse que el contenido de los códigos de conducta suele abordar muchas cuestiones que se escapan del ámbito de protección de datos. Por consiguiente, es poco probable que pueda abordar un elemento tan específico como son las transferencias internacionales de datos de forma exhaustiva. Además, actualmente, los códigos tipo tampoco están adecuados a las exigencias del RGPD.
- En cuanto a los Mecanismos de certificación, éstos deben ser adoptados por organismos de certificación debidamente acreditados conforme a lo establecido en el artículo 43 RGPD, o por la Autoridad de Control competente. La certificación otorgada tendrá una vigencia máxima de 3 años. Una vez transcurrido este período se deberá renovar la certificación. No obstante, de la misma manera que sucede con los mecanismos presentados antes, actualmente no existen certificaciones en materia de transferencias internacionales.
- Finalmente, cabe mencionar la alternativa que ofrece mayores garantías en el marco de las compañías multinacionales. Las Normas Corporativas Vinculantes (BCR por sus siglas en inglés) se sitúan como el mecanismo de transferencias internacionales más plausibles en compañías multinacionales en tanto son un mecanismo de autorregulación, lo cual permite actualizarlas a nuevos tratamientos, adaptarlas a nuevos usos de la tecnología, así como a los cambios de legislación nacional.
Asimismo, es destacable que no están sujetas a inseguridad jurídica, a diferencia de las decisiones de adecuación o las cláusulas contractuales tipo, y que se rigen por criterios jurídicos adoptados por el Comité Europeo de Protección de Datos, hecho que garantiza que son respetuosas con los derechos y libertades del interesado y no velan únicamente por los intereses de la compañía.
A modo de conclusión, a la vista de la revisión pendiente de las cláusulas contractuales tipo, la inseguridad ante una nueva revisión del Privacy Shield, los mecanismos de certificación y los códigos de conducta, se hace recomendable para las compañías multinacionales que exploren otras vías como las BCRs, en aras de conseguir seguridad jurídica, así como una estructura flexible que pueda adaptarse a la aparición de nuevos tratamientos de datos.
Documentos
-
Transformación Digital210.8828125 Kbpdf
Artículo 'La Comisión ha vuelto a validar el Privacy Shield. ¿Sigue siendo el mejor mecanismo para las transferencias internacionales a los Estados Unidos?'
Contacto
-
Departamento de Transformación Digital
-
Mallorca, 283
08037 Barcelona , Barcelona (España) - 93 601 12 39 / 93 496 18 80
- digitalicab@icab.cat
-
Mallorca, 283