¿Pero cómo empezó todo esto?

La sentencia Schrems II anuló el Escudo de Privacidad como posibilidad para realizar transferencias internacionales de datos personales a EE.UU. debido a la legislación que permite acceder a datos personales transferidos desde la UE con fines de seguridad nacional. La Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera (FISA, Foreign Intelligence Surveillance Act) permite llevar a cabo investigaciones de vigilancia de personas extranjeras ubicadas fuera de EE.UU. con la ayuda de los proveedoresde servicios de comunicación, y la Orden Ejecutiva 12333 habilita a la Agencia de Seguridad Nacional para obtener datos en tránsito antes de que lleguen a Estados Unidos.

La Comisión Europea adoptó, tras una ardua negociación con EE.UU., la decisión de adecuación el 10 de julio de 2023, el Marco de Privacidad de Datos UE-EE.UU., que pone a las empresas norteamericanas que se adhieran al Marco de Privacidad en igualdad de condiciones con las que se encuentren en países que tienen reconocido un nivel de protección adecuado por la Comisión. En ambos casos no resultará necesario acudir a ninguno de los instrumentos contemplados en punto 2 del artículo 46 RGPD.

La Decisión de la Comisión Europea 2021/914 puso a disposición de las organizaciones el nuevo conjunto de cláusulas contractuales tipo, que abordaron ciertas deficiencias de las cláusulas anteriores, y abordan transferencias de datos que involucran a múltiples partes, respondiendo también a la sentencia Schrems II.

En lo básico, la situación es parecida a la anterior: las organizaciones disponen de las decisiones de adecuación en el caso de ciertos países, entre los que ya se encuentran los EE.UU., y los instrumentos del artículo 46 RGPD, una vez modificadas las cláusulas contractuales tipo propuestas por la Comisión Europea.

Cómo llegamos a la necesidad de evaluar el impacto de las transferencias internacionales

La sentencia Schrems II no solo anuló el Escudo de Privacidad, sino que también cuestionó el uso de las cláusulas contractuales tipo, ya que solo son obligatorias para las partes firmantes, pero no para el país tercero en el que se encuentra la organización que importa los datos personales procedentes del Espacio Económico Europeo. En este caso, la legislación de ese país tercero puede permitir a sus autoridades públicas acceder a esos datos personales y llevar a cabo injerencias en los derechos de los interesados relativos a esos datos. No ocurre lo mismo en el caso de las transferencias a los países cuyo nivel de protección ha sido declarado equivalente por la Comisión, porque este tipo de decisiones sí que se adopta solo si se ha constatado que la legislación del país tercero sí que tiene todas las garantías exigibles, como establece el artículo 45 RGPD en su punto 3.

Vemos entonces que en el caso de las cláusulas contractuales tipo anteriores, al no examinarse en particular la legislación del país de destino, el responsable o el encargado debían ofrecer las garantías adecuadas, y conforme a los considerandos 108 y 114, “deben tomar medidas para compensar la falta de protección de datos en un tercer país mediante garantías adecuadas para el interesado” y que “esas garantías deben asegurar la observancia de requisitos de protección de datos y derechos de los interesados adecuados al tratamiento dentro de la Unión, incluida la disponibilidad por parte de los interesados de derechos exigibles y de acciones legales efectivas (…) en la Unión o en un tercer país”.

El responsable o el encargado deben entonces proporcionar medidas adicionales para garantizar el respeto del nivel de protección exigido por el Derecho de la Unión Europea.

Para solucionar esta situación, el 10 de noviembre de 2020 el Comité Europeo de Protección de Datos (CEPD) publicó y sometió a consulta púbica las Recomendaciones 01/2020 sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento de nivel de protección de los datos personales de la UE. Transcurrido el plazo de consulta, el 18 de junio se publicaron las definitivas, disponibles en el sitio web del SEPD.

Así que tenemos que las organizaciones se enfrentan al reto de tener que evaluar caso por caso las transferencias internacionales que realizan para comprobar el nivel de protección de datos en los países de destino.  Esto es lo que se conoce como una evaluación de impacto de transferencias internacionales (EITI), evaluación que ha de contemplar diferentes aspectos, como veremos en la segunda parte.

Félix Haro, CIPM, CIPP/e, CIPP/us

CdC Internacional part of Telefonica Tech.