¿Cuál ha sido la decisión del Tribunal de Justicia de la Unión Europea?
El pasado día 16 de julio el Tribunal de Justicia de la Unión Europea (TJUE) dictó en el asunto C-311/18 la sentencia conocida como Schrems 2, con graves repercusiones para la transferencia internacional de datos personales a Estados Unidos.
En ella el Tribunal de Justicia invalida, con efectos inmediatos, el llamado Escudo de Privacidad (Privacy Shield), que no es más que el marco legal que permitía las transferencias internacionales a EE.UU., pero únicamente a aquellas entidades norteamericanas adheridas y que cumplieran los principios de ese esquema de seguridad, al amparo de la Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016.
La decisión de invalidar el Escudo de Privacidad (tal y como en 2015 se invalidó su predecesor, el Safe Harbor o Puerto Seguro), trae causa de la constatación por el TJUE de la imposibilidad de proporcionar a los ciudadanos europeos un nivel de protección de sus derechos a la privacidad y a la protección de datos equivalente al que disfrutan en la Unión.
En concreto, se incide en la posibilidad de que las autoridades públicas estadounidenses puedan, por motivos de seguridad pública, acceder y tratar los datos personales de ciudadanos europeos en bloque, lo que sería contrario al principio de proporcionalidad, sin ningún control judicial, lo que vulnera el derecho a la tutela judicial efectiva establecido por el artículo 47 de la Carta de Derechos Fundamentales de la UE.
En este sentido, el TJUE considera que la supervisión que puede ejercer el llamado Defensor del Pueblo (Ombudsman) en el ámbito de la protección de datos, previsto en la Decisión del Escudo de Privacidad, no equivale a la tutela judicial, pues el Defensor del pueblo no es un órgano independiente (forma parte del Departamento de Estado, es nombrado por el Secretario de Estado y no se prevén garantías sobre su posible destitución) y, además, no existe garantía legal alguna del carácter vinculante de sus decisiones.
Ahora bien, aunque el TJUE invalida el Privacy Shield, en cambio, salva las cláusulas contractuales tipo (art.46.2 c) RGPD), respecto de las cuales afirma que proporcionan un nivel de protección de los datos personales equivalente al dispensado por el RGPD dentro de la UE.
Sin embargo, el TJUE hace notar que las cláusulas tipo incluidas en el contrato que regule la transferencia internacional de datos vincularán a los firmantes de dicho contrato, pero no obligan a las autoridades públicas del estado de destino, que no son parte contratante. Por tanto, lo previsto en dichas cláusulas puede resultar inútil, pues las mencionadas autoridades podrían tratar los datos sin más restricción que las que les imponga su propia ley nacional.
En consecuencia, para evaluar el nivel de protección de cada concreta transferencia de datos deberá tenerse en cuenta no sólo las cláusulas tipo incluidas en el contrato entre el responsable o encargado europeo y el destinatario de la transferencia de datos, sino también las circunstancias señaladas por el artículo 45.2 RGPD, que incluyen la posibilidad de acceso a los datos por parte de las autoridades públicas del país de destino y la posibilidad de ejercer, por los ciudadanos europeos, acciones judiciales efectivas en defensa de sus derechos.
Y ahora, ¿qué?
Ahora que el Privacy Shield, el marco legal que permitía las transferencias internacionales de datos a EE. UU., ha sido invalidado, es normal que surjan múltiples dudas acerca de cómo proceder en el futuro inmediato. Especialmente, teniendo en cuenta las graves sanciones que podrían afrontar los responsables o encargados del tratamiento de los datos personales si realizan transferencias internacionales ilegales, responsabilidades que pueden alcanzar los 20 millones de euros o el 4% del volumen de negocio anual.
Además, la sentencia del TJUE no sólo tiene efectos respecto de las transferencias dirigidas a los Estados Unidos, sino que sus repercusiones se extienden a todas las transferencias internacionales amparadas en cláusulas contractuales tipo, ya se dirijan a los EE.UU. o a otro país.
La primera recomendación que ha de hacerse es la de prestar atención a cualquier consejo u orientación que hagan la Agencia Española de Protección de Datos (AEPD) o el Comité Europeo de Protección de Datos (CEPD) en relación con la reciente sentencia. Teniendo en cuanta la experiencia de la anterior sentencia Schrems (la que invalidó el Safe Harbor), parece probable que estas instituciones se pronuncien en los próximos días aclarando las consecuencias de esta última resolución del Tribunal de Justicia.
Entretanto, conviene determinar con precisión todas las transferencias internacionales de datos personales que se llevan a cabo en cada organización. Respecto de cada una de ellas deberá identificarse su país de destino y su base legitimadora. Conforme al Reglamento General de Protección de Datos (RGPD), tres son las posibles bases legitimadoras de una transferencia internacional de datos personales: una decisión de adecuación de la Comisión (como el Privacy Shield, ahora invalidado), el ofrecimiento de garantías adecuadas (como las cláusulas tipo o la adopción de normas corporativas vinculantes), o la inclusión en alguno de los supuestos excepcionales contemplados por el artículo 49 RGPD.
Respecto a las transferencias amparadas por decisiones de adecuación, las que tengan por destino los EE.UU. y se realicen en el marco del Privacy Shield, lógicamente, ya no podrán ser realizadas, al haber sido invalidada esta concreta decisión de adecuación.
Ahora bien, las restantes decisiones de adecuación que han venido siendo dictadas por la Comisión continúan vigentes y, por consiguiente, es perfectamente posible transferir datos personales a los países a los que se refieren sin sujeción a requisito adicional alguno. Aquí puede encontrarse la lista de los países respecto de los que la Comisión ha dictado decisiones de adecuación.
En cuanto a las garantías adecuadas, frente a la pretensión del demandante en el caso Schrems 2, la sentencia del TJUE salva la validez de las cláusulas contractuales tipo. Éstas son unas cláusulas contractuales previamente adoptadas por la Comisión cuya inclusión en el contrato firmado entre el responsable o el encargado del tratamiento de los datos personales en la Unión y el destinatario de los datos en el extranjero legitima su transferencia internacional.
Ahora bien, el Tribunal de Justicia señala que la inclusión de cláusulas contractuales tipo no es suficiente, por sí sola, para asegurar la legalidad de la transferencia internacional. Debe garantizarse que los derechos de los interesados cuyos datos son transferidos gozan en el país de destino de un nivel de protección equivalente al que disfrutan en la Unión Europea. Ello implica que será igualmente obligado valorar el garantismo de las instituciones del país de destino y, en particular, las posibilidades de acceso a los datos personales por sus autoridades públicas, y la existencia de acciones judiciales que permitan a los ciudadanos europeos hacer valer sus derechos.
Debe tenerse en cuenta, no obstante, que no toda restricción de derechos bastará para negar la legalidad de la transferencia internacional. Se tolera que la ley del país de destino imponga ciertas limitaciones a fin de salvaguardar la seguridad pública y la defensa, siempre y cuando tales restricciones no vayan más allá de lo necesario en una sociedad democrática. Del texto de la sentencia se desprende que será admisible la intervención restrictiva de las autoridades públicas del país de destino de los datos siempre que, primero, sea proporcionada, es decir, que la restricción a los derechos de los interesados resulte necesaria para proteger los intereses generales antes indicados y, segundo, que esté sometida a un control judicial independiente, pudiendo los interesados ejercer acciones efectivas en defensa de sus derechos.
Esta obligación de valorar si la legislación del país de destino ofrece las suficientes garantías recae tanto en el exportador de los datos personales (el responsable o encargado del tratamiento establecido en la UE), como en su destinatario. La valoración deberá hacerse antes de que la transferencia internacional tenga lugar.
Si una vez realizada la transferencia de datos personales se produjera una modificación legislativa en el país de destino que impida proporcionar una protección a los derechos de los interesados equivalente a la que disfrutan en la Unión, el destinatario tiene la obligación de notificárselo al exportador. Éste, a su vez, estará obligado a rescindir el contrato o, al menos, a suspender la transferencia de datos personales.
Evidentemente, las referidas obligaciones introducen un elemento de incertidumbre en las transferencias internacionales de datos realizadas al amparo de cláusulas tipo, ya que la responsabilidad de verificar que las instituciones del país de destino brindan la suficiente protección a los derechos de los interesados recae sobre responsables y destinatarios.
A la vista de lo anterior, y teniendo en cuenta que la sentencia del Tribunal de Justicia ha declarado inválido el Privacy Shield, precisamente porque la legislación norteamericana permite a las autoridades públicas, por motivos de seguridad, el acceso a los datos de los interesados europeos en bloque, es decir, de forma desproporcionada, y porque no les reconoce el derecho de ejercer acciones judiciales en defensa de sus derechos, parece claro que el nivel de protección de los derechos de los interesados en los Estados Unidos no es equivalente al europeo y, por consiguiente, no podrán realizarse transferencias de datos personales a EE.UU. sobre la base de cláusulas contractuales tipo.
Por otro lado, en principio las cláusulas tipo siguen siendo base legal suficiente para la realización las transferencias de datos personales a otros países distintos de los Estados Unidos, pero con todas las cautelas que impone la obligación del responsable de cerciorarse de que el país de destino ofrece un nivel de protección de los derechos de los interesados análogo al europeo.
Así pues, cuando se plantee la posibilidad de realizar transferencias internacionales amparadas en cláusulas contractuales tipo, el responsable del tratamiento (o el encargado, en su caso) deberán preguntarse si en el país de destino existen leyes que permiten el acceso de las autoridades públicas a los datos y en qué forma: ¿se trata de un acceso puntual o en bloque? Igualmente, habrá que examinar si en dicho país los interesados europeos podrán defender sus derechos ejerciendo acciones ante autoridades judiciales verdaderamente independientes. Sólo cumpliéndose estos requisitos, y en tanto sigan cumpliéndose, podrán llevarse a cabo las transferencias de datos personales.
Otro de los instrumentos que han venido empleándose para legitimar la transferencia internacional de datos es la adhesión a normas corporativas vinculantes. La sentencia Schrems 2 no se refiere a ellas, pero, teniendo en cuenta que se tratan de garantías adecuadas reguladas en el artículo 46 RGPD junto con las cláusulas tipo, parece que su tratamiento debe ser análogo al de éstas últimas. Es decir, no sería suficiente la adhesión a dichas normas, sino que responsables y encargados deberán asegurarse de que el país de destino ofrece un nivel de garantía de los derechos de los interesados equivalente al europeo.
Como última opción legitimadora de las transferencias internacionales quedan los supuestos excepcionales del artículo 49 RGPD (consentimiento explícito, necesidad para la ejecución de un contrato…). Sin embargo, debe tenerse en cuenta que, precisamente al tratarse de excepciones, su interpretación debe ser restrictiva y el cumplimiento de las condiciones para su aplicación estricto.
Conclusiones
La última sentencia del TJUE abre un tiempo de incertidumbre que aconseja prudencia, especialmente teniendo en cuenta el calibre de las responsabilidades que se derivarían de una hipotética transferencia ilegal de datos personales.
En primer lugar, la sentencia del TJUE no sólo invalida el Privacy Shield, sino que lo hace porque entiende que el marco legal estadounidense resulta inapropiado para ofrecer el nivel de protección exigido para los derechos de los interesados europeos. Así pues, este marco legal también será insuficiente para ofrecer el nivel de protección equivalente al europeo que exigen las transferencias amparadas en cláusulas contractuales tipo o en normas corporativas vinculantes. Por consiguiente, la primera consecuencia de la sentencia Schrems 2 parece ser la imposibilidad de realizar transferencias de datos personales a los Estados Unidos.
Por otro lado, la obligación de asegurarse de que el país de destino ofrece un nivel de protección equivalente al europeo también es aplicable a las transferencias a otros países (distintos de EE.UU.). Así pues, esta obligación constituye una nueva carga de la que deberán responsabilizarse los exportadores e importadores de los datos personales.
Es de esperar que, tal y como ocurrió a raíz de la pasada sentencia Schrems 1, la Agencia Española de Protección de Datos (AEPD) y el Comité Europeo de protección de Datos (CEPD) hagan públicas recomendaciones acerca de cómo pueden y cómo no pueden realizarse las transferencias internacionales de datos personales, a la luz de la última resolución del TJUE.
Hasta entonces, lo más prudente es evitar realizar transferencias que se dirijan a países respecto de los que no se haya dictado una decisión de adecuación, lo cual puede conllevar la necesidad de cambiar los proveedores de determinados servicios.
Si esto fuera imposible o muy dificultoso, a menos que se tenga la certeza de que las instituciones y la ley del país de destino protegerán los derechos de los interesados de forma análoga a la legislación europea, lo más sensato será consultar previamente a la AEPD la transferencia de datos que pretenda llevarse a cabo, y subordinar su efectiva realización a la autorización de dicha autoridad de control.
En resumen, ante las consecuencias de la sentencia Schrems 2 lo aconsejable es que los responsables y encargados del tratamiento de datos personales adopten políticas de minimización de riesgos como las indicadas, a la espera de que la previsible actuación de las autoridades de control clarifique la situación.
[Artículo escrito por Luis Mª Benito Cerezo]
