El pasado 10 de julio se produjo un cambio en el marco regulatorio de las transferencias internacionales de datos personales que, quizás no tuvo demasiada repercusión mediática, pero que tiene una gran repercusión en el día a día de cualquier organización, y es que la Comisión Europea aprobaba el nuevo tratado bilateral de transferencias de datos con Estados Unidos, validado, días después, por el Comité Europeo de Protección de Datos (EDPB), lo que ha dado lugar a un nuevo marco regulador de este tipo de transferencias de datos denominado Data Privacy Framework (DPF).
Nuevo marco jurídico, el “DPF” ha llegado.
Este nuevo marco regulador permite que compañías no europeas pueden enviar datos personales de ciudadanos comunitarios a los servidores ubicados en territorio estadounidense con las suficientes garantías de protección de la privacidad ya que se concluye que, a través de este nuevo marco regulador, EE.UU. garantizará un nivel adecuado de protección, comparable al existente en la UE.
Seguramente, llegado a este punto os preguntaréis: ¿en qué os afecta este rollo de las transferencias internacionales, si yo no hago nada de esto y esto está pensado para grandes compañías o multinacionales?
Pues error, porque muy probablemente sí que afecta a tu organización más de lo que crees, pero lo que seguramente esté ocurriendo es que no eres del todo consciente del alcance que puede llegar a tener en el día a día de tu negocio o actividad.
Por ejemplo, solamente con usar tecnologías y servicios tan populares, a nivel empresarial, como son Gmail, Microsoft Teams, Zoom, DropBox, WeTransfer, GoogleDrive, Mailchimp, o simplemente mediante la utilización de perfiles en redeS sociales, ya se deberían tener en cuenta todas las implicaciones legales que tienen las transferencias internacionales de datos según la normativa actual de protección de datos, puesto que el mero hecho de utilizar estos servicios y/o tecnologías supone, en un alto porcentaje, que tu organización está realizando transferencias internacionales de datos.
Situación previa al nuevo DPF.
La situación legal previa de este tipo de transferencias internacionales, antes del nuevo marco legal, no era muy halagüeña, puesto que el TJUE había anulado los dos acuerdos anteriores existentes para realizar este tipo de transferencias internacionales de datos con compañías norteamericanas, denominados Safe Harbour (Puerto Seguro), anulado en el año 2000 por el alto tribunal europeo, y el Privacy Shield (Escudo de Privacidad) anulado en el año 2016, a raíz de una demanda interpuesta por el activista austriaco Max Schrems, presidente de la asociación en defensa de la privacidad Noyb, entre otras cuestiones porque EE.UU. disponía de una ley de vigilancia de inteligencia extranjera (FISA), que garantiza que sólo un juez puede autorizar a las agencias gubernamentales norteamericanas a acceder a los datos de ciudadanos norteamericanos ubicados en servidores de compañías norteamericanas, pero no así en el caso de los extranjeros (entre ellos los datos de ciudadano europeos) a los que se podría acceder en cualquier momento sin necesidad de ningún tipo de garantía judicial, ni necesidad de información o consentimiento alguno por parte de los interesados, una situación que chocaba frontalmente con el sistema de protección de datos europeo, especialmente a raíz de la aprobación del famoso RGPD en el mismo año 2016.
Esto ha implicado que, durante los últimos años, haya sido extremadamente difícil para la mayoría de las organizaciones, desde la óptica de la normativa de protección de datos, poder utilizar ciertas aplicaciones, servicios online y/o tecnologías disponibles en internet que, por pertenecer a compañías norteamericanas, implicaba entrar de lleno en esta problemática legal de difícil solución.
Hay que tener en cuenta que tanto el Safe Harbour y el Privacy Shield, en su momento, como el DPF ahora, no dejan de ser decisiones de adecuación de la Comisión Europea (artículo 45 RGPD) que lo que hacen, en la práctica, es simplificar, desde un punto de vista legal, las posibles transferencias internacionales que se realizan, tanto desde el punto de vista del importador de los datos (compañía norteamericana de turno), que solamente tendrá que adherirse al marco correspondiente y comprometerse a cumplir con los requisitos exigidos por el marco legal, como desde el punto de vista del exportador de los datos (organización europea que hace uso de este tipo de servicios y/o tecnologías), cuya principal obligación sería verificar que el importador de sus datos se encontrase adherido a alguno de estos marcos legales.
Por ello, durante los años en los que no ha habido ninguna decisión de adecuación en vigor para las transferencias internacionales de datos realizadas desde la UE a EE.UU., las organizaciones han tenido que buscar otro tipo de soluciones legales para poder realizar estas transferencias internaciones de manera legal, como por ejemplo verificar que en las condiciones de contratación o en las condiciones del servicio se hayan incluido cláusulas contractuales tipo aprobadas por la Comisión Europea (artículo 46.2 del RGPD), verificar la existencia de normas corporativas vinculantes (BCR) que habilitasen dicha transferencia de datos (artículo 47 del RGPD), contar con alguna de las excepciones del artículo 49 del RGPD o incluso realizar una evaluación de impacto de la propia transferencia (TIA) que evidenciase que la transferencia internacional se estaba haciendo en unas condiciones y con unas garantías para los derechos y libertades de los interesados similares a lo exigido en la normativa de protección de datos, lo que ha supuesto, durante todo este tiempo, una complicación legal adicional para las organizaciones que han querido cumplir con esta normativa.
Pues bien, con el DPF, esto se ha simplificado bastante para las empresas y organizaciones, al menos de momento, y permitirá que, a nivel legal, las transferencias internacionales impliquen un esfuerzo legal menor para todas ellas.
Situación actual con el nuevo DPF “Data Privacy Framework”
Con el DPF se introducen todas las inquietudes planteadas por el TJUE, incluida la limitación del acceso a los datos de ciudadanos de la UE por parte de los servicios de inteligencia de EE. UU. a lo que sea necesario y proporcionado, y el establecimiento de un Tribunal de Revisión de Protección de Datos (DPRC) que velará por el cumplimiento de este nuevo requisito, además de velar por los derechos y libertades de los ciudadanos comunitarios que se vean afectados por este tipo de operaciones transfronterizas de datos.
El nuevo marco introduce mejoras significativas en comparación con el mecanismo que existía bajo el Escudo de Privacidad. Por ejemplo, si el DPRC determina que los datos se recopilaron en violación de las nuevas salvaguardas, podrá ordenar la eliminación de los datos en cuestión. Igualmente, las nuevas garantías, en el ámbito del acceso por parte de las agencias de seguridad gubernamentales de los EE.UU. a los datos personales implicados en la transferencia internacional, complementarán las obligaciones que tendrán que suscribir las empresas estadounidenses que importen datos de la UE.
Hay que recordar que en los últimos meses las principales sanciones de los reguladores europeos han venido por las transferencias internacionales de datos que incumplían este tipo de requisitos legales. Esto es lo que ha ocurrido en las sanciones millonarias impuestas por los reguladores de Italia, Francia o Austria.
¿Entonces puedo o no puedo utilizar los servicios y tecnologías en la nube que ofrecen las multinacionales norteamericanas?
Teniendo en cuenta las obligaciones legales que la normativa de protección de datos impone a este tipo de tratamientos transfronterizos, si tu organización se encuentra dentro de esta casuística, deberás cumplir con los requisitos fijados en los artículos mencionados del RGPD (artículos 45 a 49 del RGPD).
Pero, gracias al nuevo marco aprobado por el DPF, en muchos casos se podrán hacer sin problemas legales y de manera más sencilla, cumpliendo una serie de condiciones. Entre ellas, la más importante es verificar que la compañía norteamericana a la que se van a importar los datos se haya comprometido anual y públicamente a adherirse a este nuevo marco legal, para ello se deberá consultar el listado de entidades adheridas, de manera previa a realizarse la transferencia, para verificar que el importador va a cumplir con las nuevas medidas establecidas por el DPF para estas transferencias de datos.
Dicha verificación se podrá realizar en la siguiente dirección web habilitada, en el cumplimiento del nuevo marco legal, por el departamento de Comercio de los EE.UU.: https://www.dataprivacyframework.gov/s/participant-search , mediante la búsqueda del nombre de la compañía norteamericana titular del servicio o tecnología a la que se pueden llegar a exportar los datos personales implicados
En el caso de que la compañía a la que se pretende realizar la transferencia internacional de datos no se encuentre registrada en el referido listado, dicha transferencia se deberá basar en alguna de las otras opciones reguladas en la normativa de protección de datos comentadas y reguladas en los artículos 46 a 49 del RGPD, si no se quiere incurrir en una infracción que pueda llegar a implicar una potencial sanción de protección de datos.
Si te surgen dudas de si en tu organización se está llevando a cabo algún tipo de transferencia internacional y quieres verificar que todo se esté realizando conforme a los nuevos requisitos fijados por el marco legal actual, desde el área LegalTech de Softwariza3 disponemos de un equipo de consultores especializados en Derecho TIC, con amplia experiencia en detectar y verificar el cumplimiento de los requisitos exigidos para las transferencias internacionales para evitar incurrir en algún incumplimiento que pueda provocar una potencial sanción a tu organización. Si tienes cualquier duda al respecto no dudes en contactarnos para ayudarte a cumplir con estas exigencias legales y evitar exponerte a posibles sanciones.
