Regulación de Transferencias internacionales de datos
En PwC le ayudamos con la LOPD en las transferencias internacionales
- El Tribunal de Justicia de la Unión Europea (TJUE) anuló el 16 de julio el Escudo de Privacidad UE-EE.UU. como método de transferencia de datos personales de la UE a EE.UU. Su razonamiento abre numerosas incógnitas sobre el futuro de las transferencias de datos personales de la Unión Europea a jurisdicciones fuera del Espacio Económico Europeo (EEE) en un entorno de inseguridad jurídica para las relaciones entre empresas y proveedores de servicios ubicados fuera de la UE.
- Las empresas de todo el mundo se preguntan: ¿qué "salvaguardas adicionales" debemos aplicar para seguir operando con Europa?
- Las empresas afectadas deben centrarse en demostrar su adecuación operativa, adoptando medidas legales, organizativas y técnicas para reducir la exposición de sus datos a la vigilancia de cualquier gobierno.
Todas las multinacionales deben demostrar que pueden proteger adecuadamente los datos personales cuando los transfieren desde la Unión Europea a países fuera de la UE y el EEE. Para ello, cerca de 5.400 empresas estadounidenses se ampararon en el marco del Escudo de Privacidad UE-EE.UU.
No obstante el 16 de julio de 2020 el Tribunal de Justicia de la Unión Europea (TJUE) invalidó dicho Escudo de Privacidad debido a las preocupaciones existentes por el acceso del gobierno estadounidense a los datos personales con fines de seguridad nacional, sin opciones de mitigación para los ciudadanos de la UE.
El máximo Tribunal de la UE también puso en duda la viabilidad a largo plazo del resto de mecanismos -aparte del Escudo de Privacidad-, como las cláusulas contractuales tipo que las empresas utilizan para transferir datos personales de la UE a sus países y que la UE no considera adecuados, por lo que dicha incertidumbre no se limita únicamente a las transferencias realizadas a EEUU
De la respuesta que den las multinacionales a esta sentencia histórica dependen cerca de 3 billones de dólares en exportaciones de bienes y servicios de la UE a países de fuera del EEE que requieren datos personales de la UE para procesar estas transacciones.
Empresas que se basaban en el marco del Escudo de Privacidad UE-EE.UU.
Las casi 5.400 compañías estadounidenses que utilizaban el Escudo de Privacidad deben adoptar inmediatamente un mecanismo de transferencia de datos diferente. Los otros mecanismos de que disponen son las excepciones enumeradas en el RGPD, las cláusulas contractuales tipo entre exportadores e importadores de datos, las normas corporativas vinculantes o los códigos de conducta sectoriales. Hasta la fecha, el mecanismo más habitual en todos los sectores han sido las cláusulas contractuales tipo (CCT).
Multinacionales que utilizan proveedores con certificación del Escudo de Privacidad
Las multinacionales deben identificar a todos los proveedores que procesen datos personales de la UE en cualquier parte del mundo fuera del EEE, confirmar qué mecanismo de transferencia de datos utilizan y evaluar caso por caso si los proveedores deben adoptar junto con las nuevas versiones de las CCT, "salvaguardas adicionales" para remediar los compromisos específicos de cada país. Las multinacionales cuyos proveedores se cuentan por cientos podrían enfrentarse a un importante ejercicio de transferencia de datos.
Las compañías deberán actualizar y/o adoptar a la hora de regular las transferencias internacionales de datos las nuevas cláusulas contractuales. En aquellos casos en los que las mismas pueden no ser suficientes para garantizar la ausencia de injerencia por parte de un gobierno, o el proveedor o destinatario de los datos personales no sea capaz de garantizar que puede cumplir con las medidas recogidas en las cláusulas tipo, deberá llevarse a cabo un análisis o evaluación de impacto de la transferencia que se pretende acometer.
Dicho análisis debe evaluar los riesgos de privacidad de la transferencia de datos teniendo en cuenta las leyes locales, y el marco normativo en materia de protección de datos del país de destino y, en particular, las circunstancias específicas de la transferencia (como el contenido y la duración, la naturaleza de los datos a transferir, el destinatario, la finalidad del tratamiento) y cualquier salvaguarda implementada adicional a las cláusulas (incluidas las técnicas y organizativas pertinentes).
Esta evaluación legal debe documentarse y podrá ser exhibida ante la autoridad de control si fuese necesario acreditar la inexistencia de riesgo.
Proveedores B2B de servicios cloud y compañías del sector tecnológico
Los proveedores de servicios cloud, en su gran mayoría con sede en EE.UU. , y que tienen más probabilidades de estar sujetos a las exigencias del gobierno estadounidense en materia de datos personales en el contexto de la seguridad nacional, son uno de los colectivos a los que las compañías deberán exigir la adopción de garantías adicionales, como resultado de la decisión del TJUE, a pesar de que ya están sometidos a un importante control por parte de los reguladores de la UE.
Si una empresa ya cifra los datos personales de la UE que transfiere, ¿habrá cumplido las "salvaguardas adicionales"?
Probablemente no
El pasado 4 de junio, la Comisión Europea publicó dos nuevos conjuntos de documentos relativos a la suscripción de las Cláusulas Contractuales Tipo que, junto con lo establecido en las Recomendaciones 01/2020 sobre medidas que complementan los instrumentos de transferencia y (ii) las Recomendaciones 02/2020 sobre Garantías Esenciales publicadas por el European Data Protection Board, han de ser tomadas en consideración en supuestos en los que pueda producirse una divulgación de los datos transferidos como consecuencia de una solicitud por parte de un Gobierno.
La decisión del TJUE impone a las empresas importantes cargas y responsabilidades para que consideren estas cuestiones caso por caso, dado que no han quedado cubiertas por estas nuevas CCT. Por tanto, no existe actualmente un mecanismo estándar que permita de forma ágil adherirse o suscribir unas cláusulas contractuales, sin que medie un ejercicio de ponderación.
Ello supone que a pesar de que existan estas nuevas Cláusulas Contractuales Tipo, las compañías se verán obligadas a analizar la injerencia que puede comportar la transferencia de datos a un tercer país en el que el importador de los datos no pueda garantizar el cumplimiento de las cláusulas contractuales tipo suscritas.
Se necesita un enfoque más amplio
En cualquier escenario, es probable que las multinacionales tengan que adoptar un enfoque integral a lo largo del ciclo de vida de los datos personales de la UE, de manera que incorporen requerimientos legales y normas de seguridad que en algunos casos resulten excesivas o inasumibles por el prestador de servicios o receptor de los datos.
¿Por qué las multinacionales de todo el mundo, no solo de Estados Unidos, están tratando de implantar "salvaguardas adicionales"?
- La recopilación de datos de inteligencia es omnipresente en todo el mundo
- No existe un acuerdo global sobre privacidad
- Se necesita una acción global
La recopilación de datos de inteligencia es omnipresente en todo el mundo
Los principales países cuentan con una agencia de control o de inteligencia nacional, muchas de ellas con autoridades que no ofrecen suficiente transparencia, ni recursos judiciales a las personas de la UE, como exige el TJUE.
No existe un acuerdo global sobre privacidad
Ninguno de los otros mecanismos aprobados por la UE para la exportación de datos personales de la UE, ni siquiera las nuevas CCT, impide la vigilancia gubernamental, incluida la que se realiza por parte de las propias agencias de inteligencia de la UE.
Se necesita una acción global
Como resultado de ello, todas las multinacionales que operan con Europa corren el riesgo de que las Autoridades de Control de la UE les ordenen la finalización de sus exportaciones de datos, a menos que adopten "salvaguardas adicionales".
¿Qué deben hacer las empresas afectadas?
El mensaje de Bruselas es claro: las empresas que tienen algún tipo de conexión con la UE -clientes corporativos, empleados o establecimiento- deben adoptar un enfoque con alcance a toda la empresa que incluya "salvaguardas adicionales" para mantener los flujos de datos transfronterizos.
Dicho enfoque de salvaguardas adicionales – que PwC denomina "regularización TID" – debe estar compuesto por tres vectores principales: (1) Evaluar el riesgo, probabilidad e impacto de la injerencia, frecuencia y relevancia del servicio, (2) minimizar, pseudonimizar, o encriptar los datos personales de la UE en tránsito y en destino; y (3) actualizar el régimen contractual con un mecanismo sólido y transparente frente a las solicitudes de datos de los gobiernos de forma que se proteja la privacidad y los derechos de los interesados.
Las empresas deben adoptar las siguientes medidas para su adecuación operativa:
1. Reemplazar los mecanismos basados en el Escudo de Privacidad UE-EE.UU. por mecanismos alternativos.
Si sus contratos con proveedores o con compañías importadoras de datos estaban sustentados en el Escudo de Privacidad UE-EE.UU., deberá adoptar un mecanismo alternativo. Identifique los servicios y a los encargados del tratamiento o receptores de sus datos ubicados fuera del EEE que dependían del Escudo de Privacidad y exíjales que se comprometan a adoptar mecanismos alternativos.
2. Realizar evaluaciones del impacto de la transferencia de datos.
Realice un inventario e identifique los casos en los que su empresa y sus proveedores sean exportadores o importadores de datos personales de la UE que dependan de mecanismos alternativos de transferencia de datos. Evalúe su posible exposición a interceptaciones de gobiernos, la sensibilidad de los tratamientos, y dependencia de ese tercero e identifique las posibles alternativas de reparación o mitigación que tenga a su disposición.
3. Mejorar los controles integrales de la confianza de los datos.
Diseñe una estrategia de transferencia transfronteriza de datos que aumente el valor de los datos personales de la UE de forma segura y ética. Identifique los datos que transfiere y el riesgo de su interceptación por un gobierno de un tercer país. Adopte protocolos de minimización, y cifrado de datos para las transferencias de datos personales fuera del EEE en proporción a los riesgos potenciales identificados en las evaluaciones de impacto de la transferencia llevadas a cabo.
4. Mejorar el proceso de solicitud de datos de parte de fuentes gubernamentales.
Defina un procedimiento formal para responder a un requerimiento judicial o de cualquier organismo público con su DPO al frente y responsables definidos, determinando motivos de oposición y rechazo legítimos, derechos vulnerados y medidas de minimización de datos.
5. Adoptar un enfoque de datos centrado en los interesados.
Tenga en cuenta que la decisión del TJUE ha surgido por la preocupación existente por los derechos de los ciudadanos de la UE. A medida que su empresa reevalúa el cumplimiento continuado del RGPD a la luz de estos avances, siga dando prioridad a los derechos de los interesados, así como al uso ético y adecuado de los datos en el marco de sus actividades diarias.
