Las recomendaciones 01/2020

El Comité Europeo de Protección de Datos (CEPD) elaboró las recomendaciones 01/2020 sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de los datos personales de la UE, para ayudar a los exportadores de datos personales (responsables o encargados) a evaluar a terceros países y tomar medidas complementarias para mantener un nivel de protección esencialmente equivalente al garantizado en el Espacio Económico Europeo.

Es importante resaltar que estamos ante recomendaciones, lo que implica la posibilidad de adaptar el método que proponen para optimizarlo aún más, mediante la incorporación de más fases o medidas adicionales, siempre y cuando estemos seguros de su efectividad y podamos respaldar su utilidad mediante pruebas sólidas.

El método

El método propuesto por el CEPD tiene como objetivo principal que el exportador sepa si tiene que tomar medidas complementarias para poder transferir los datos y la implementación de estas si procediese. Consta de cinco pasos:

1º. Conocer la transferencia

2º. Determinación del instrumento de transferencia

3º. Evaluación de eficacia del instrumento de transferencia

4º. Adopción de medidas complementarias

5º. Procedimiento de aplicación de medidas complementarias

En la ejecución del método habremos de documentar de un modo exquisito las fuentes en las que nos apoyemos, la colaboración recibida por parte del importador de los datos, las medidas que se ponen en marcha antes de realizar la transferencia y cualquier decisión que se tome junto con los parámetros que han llevado a ella. En mi opinión, es recomendable formar un “expediente” específico para cada transferencia, en el que incluyamos toda la información referente a ella. No podemos perder de vista que la autoridad de control puede solicitar esta documentación, con la que demostraremos que hemos actuado con la diligencia debida a la hora de realizar la transferencia, cumpliendo con el principio de responsabilidad proactiva.

 Conocer la transferencia… ¿fácil?

El primer paso en esta evaluación de impacto es conocer la transferencia. Las recomendaciones sugieren partir del registro de actividades de tratamiento, que ha de contener una descripción de la transferencia y de las garantías adecuadas, en su caso. Aquí nos encontramos con el primer reto, porque tal y como apunta el CEPD, “registrar y catalogar todas las transferencias puede ser un ejercicio complejo para las entidades que participan en transferencia múltiples, diversas y periódicas con terceros países y que utilizan una serie de encargados y subencargados”.

La inmensa mayoría de las transferencias internacionales se producen cuando el exportador de datos utiliza los servicios de empresas de soluciones de software. Es altamente probable que estas empresas, en la configuración de los sistemas que ponen a disposición del exportador, dispongan de subencargados que intervienen de una forma u otra en la gestión de la información o en la gestión del mismo software, siendo auxiliares necesarios en esa transferencia.

Vamos a poner un ejemplo sencillo. Imaginemos que el software de la empresa norteamericana HAPPY PEOPLE (obviamente nombre ficticio) sirve para gestionar el nivel de felicidad de los empleados de una empresa situada en España, que la contrata y será la empresa exportadora de datos. Conforme a la información proporcionada por HAPPY PEOPLE, el software hará los análisis de felicidad en los Estados Unidos y los datos personales de los empleados de la empresa española se alojarán y analizarán allí. Sin embargo, las copias de seguridad se llevan a cabo por una empresa india en sus propias instalaciones en Nueva Delhi, y la asistencia técnica en caso de errores de los usuarios o en el mismo software se lleva a cabo en Costa Rica desde un centro de llamadas y de recepción de peticiones de ayuda por correo electrónico. En este caso nos encontramos con que al menos tenemos dos empresas más, la india y la costarricense, como subencargadas, y además, no están situadas en países que tengan reconocido un nivel equivalente de protección de datos al del EEE.

Pero la historia puede no terminar aquí, ¿qué ocurre si a su vez, esas empresas subencargadas, para prestar sus propios servicios recurren a otras empresas también de software no situadas en países con equivalente nivel de protección al del EEE? Pues sí, exactamente eso: que nos encontramos con que todas las transferencias ulteriores que se realicen han de estar sujetas al mismo régimen de protección equivalente, y consecuentemente, habremos de evaluar el impacto de la transferencia teniéndolas en cuenta.

En este primer paso, las recomendaciones también nos recuerdan el principio de la minimización de los datos. La transferencia deberá restringirse únicamente a los datos adecuados, pertinentes y limitados en relación con las finalidades para las que serán tratados. Recordemos los flujos de datos personales necesarios para usar el software de HAPPY PEOPLE: unos datos personales son los que son enviados desde la empresa exportadora española a Estados Unidos para análisis de felicidad, y otros son los que deberían ser transferidos por ésta posteriormente para las copias de seguridad que se hacen en India, o los que se han de enviar para la asistencia técnica telefónica o por correo electrónico desde Costa Rica… ¿Qué datos específicos van a cada empresa y para qué?

Sirva el ejemplo para ilustrar la posible complejidad del primer paso que, a pesar de parecer inocente, esconde bastantes dificultades.

Félix Haro, CIPM, CIPP/e, CIPP/us

Govertis part of Telefónica Tech