En el presente número de Breves de Regulación Digital, analizamos las preguntas y respuestas frecuentes del Comité Europeo de Protección de Datos en el Asunto C-311/1 (Data Protection Commissioner v. Facebook Ireland Ltd and Maximillian Schrems) por el que el TJUE declaró inválido el ‘Privacy Shield’. Además, esta semana, la Agencia Española de Protección de Datos ha publicado la nueva Guía sobre el uso de cookies, cuyas novedades abordamos en segundo lugar.
Tras la resolución del TJUE por la que se declaró inválida la Decisión que permitía la realización de transferencias internacionales de datos basadas en el Escudo de Privacidad (‘Privacy Shield’), el European Data Protection Board (EDPB o CEPD) ha dado respuesta a las preguntas más frecuentes recibidas por las autoridades de supervisión sobre el caso C-311/18. Destacamos algunas de las preguntas y respuestas más relevantes para la operativa de las compañías.
Las transferencias internacionales de datos basadas en el ‘Privacy Shield’ han pasado a ser consideradas como ilegales, por lo que dichas transferencias deberán realizarse con otros mecanismos de los contemplados en el RGPD.
Dado que la normativa interna de EEUU es de aplicación a cualquier transferencia de datos a los Estados Unidos por medios electrónicos, que esté en el ámbito objetivo de esta legislación, afecta a éstas transferencias, con independencia del instrumento utilizado para realizar dicha transferencia.
No, no se ha establecido ningún periodo de gracia para adecuar la base legal que sustente la transferencia internacional.
El TJUE establece que la legislación de Estados Unidos no garantiza un nivel de protección suficiente. Por tanto, deberá evaluarse dicha transferencia caso por caso y las medidas complementarias que se hayan adoptado.
Si dicha evaluación revela que la transferencia de datos sobre la base de las Cláusulas Contractuales Tipo (CCT) no asegura las salvaguardas adecuadas, la compañía estará obligada a suspender o poner fin a tales transferencias internacionales de datos, mientras que si tiene la intención de seguir efectuando estas transferencias a pesar de la conclusión alcanzada lo deberá notificar a la autoridad competente.
Esta evaluación aplica también a las Binding Corporate Rules (BCR), en la medida en que la legislación estadounidense también tendrá primacía sobre este mecanismo.
El TJUE ha indicado que, por regla general, tanto las CCT como las BCR pueden seguir siendo utilizadas para realizar transferencias de datos a un tercer país.
No obstante, ha puntualizado el Tribunal, el umbral establecido para las transferencias internacionales de datos a los Estados Unidos aplica igualmente a cualquier tercer país, tanto en lo relativo a las CCT como a las BCR.
Por lo tanto, del mismo modo, para determinar si las garantías que proporcionan las CCT y las BCR pueden, en definitiva, cumplirse en la práctica, corresponde al exportador de los datos y al importador de los mismos evaluar, en cada caso concreto, si en el tercer país se garantiza el nivel de protección requerido por la normativa europea.
Para ello, las compañías deben contactar con el importador del país de destino, para verificar la legislación aplicable en su país y colaborar en la evaluación oportuna.
Como sucede con los EEUU, en caso de que tal evaluación revele que los datos transferidos usando las CCT o las BCR no reciben un nivel de protección esencialmente equivalente al garantizado en Europa, tales transferencias deberán ser inmediatamente suspendidas. En caso de no suspenderse, deberá notificarse a la autoridad competente.
Sostiene igualmente el EDPB que, antes de transferir datos personales a un tercer país las autoridades de supervisión tendrán asimismo un papel fundamental que desempeñar al hacer cumplir el Reglamento y al emitir nuevas decisiones sobre las transferencias internacionales.
Esta semana, la AEPD ha publicado la nueva Guía sobre el uso de cookies, relativa a los supuestos en los que resulta aplicable el apartado segundo del artículo 22 de la LSSI, y como la anterior Guía, se aplica a cualesquiera dispositivos de almacenamiento y recuperación de datos (cookies y tecnologías similares) en cualesquiera equipos terminales de los destinatarios.
La Guía se ha actualizado y revisado atendiendo a las aclaraciones realizadas por el Comité Europeo de Protección de Datos, sobre la condicionalidad del consentimiento y el consentimiento inequívoco.
En relación con el análisis acerca del modo en que se puede recabar el consentimiento del usuario para la utilización de cookies, establece que, el consentimiento puede obtenerse mediante fórmulas expresas, también de forma inferida de una inequívoca acción realizada por el usuario, en un contexto en el que se le haya facilitado información clara y accesible sobre las finalidades de las cookies y si van a ser utilizadas por el mismo editor y/o por terceros. En ningún caso por inactividad del usuario.
La principal novedad reside en determinar, como habían hecho las autoridades de control de otros países del entorno UE, que “seguir navegando no es una forma válida de prestar el consentimiento. Del mismo modo, la consulta de la segunda capa informativa si la información se presenta por capas, así como la navegación necesaria para que el usuario gestiones sus preferencias en relación con las cookies, no es una conducta activa de la que pueda derivarse la aceptación de cookies.”
También siguiendo las directrices del Comité Europeo “no podrán utilizarse los denominados “muros de cookies” que no ofrezcan una alternativa al consentimiento”. Los servicios de ambas alternativas deberán ser genuinamente equivalentes, y además no será válido que el servicio equivalente lo ofrezca una entidad ajena al editor.
El plazo para adecuar los mecanismos de obtención de consentimiento y las Políticas de cookies finaliza el 31 de octubre de 2020.
Consecuencia de los dos temas anteriores, las compañías deberán:
Artículo de Periscopio Fiscal & Legal : https://periscopiofiscalylegal.pwc.es/el-edpb-resuelve-dudas-acerca-de-la-resolucion-del-tjue-sobre-el-privacy-shield-y-la-aepd-publica-una-nueva-guia-sobre-cookies/
Socia responsable de Regulación Digital