El Comité Europeo de Protección de Datos (CEPD) publicó el viernes 24 de julio de 2020 unas primeras respuestas a las preguntas más comunes relacionadas con la Sentencia Schrems II, del Tribunal de Justicia de la Unión Europea y de la que ya escribimos en este blog.
Aunque ya se hayan pronunciado varias autoridades de control europeas sobre las repercusiones de la Sentencia Schrems II, las orientaciones que pueda establecer el CEPD cobran especial relevancia, al estar integrado por representantes de, entre otros, todas las autoridades de control europeas, y reflejar el consenso existente entre ellas.
Así pues, el CEPD aclara las siguientes cuestiones:
El Escudo de Privacidad no proporcionaba un nivel adecuado de protección debido a la existencia de normas en Estados Unidos que limitaban los derechos de protección de datos de los ciudadanos europeos. Por ello, la Sentencia Schrems II declaró el Escudo de Privacidad contrario al Derecho de la Unión Europea.
En consecuencia, el CEPD aclara que desde la fecha de la Sentencia Schrems II, las transferencias de datos personales a los Estados Unidos bajo las garantías del Escudo de Privacidad, son ilegales. Los responsables del tratamiento tienen la obligación de buscar garantías alternativas que consigan establecer un nivel adecuado de protección para poder seguir realizando transferencias de datos personales a los Estados Unidos o, alternativamente, deberán suspender el flujo de datos a los Estados Unidos.
Adicionalmente, el CEPD ha clarificado que no existe un periodo de gracia para que los responsables del tratamiento se adapten a esta circunstancia.
La Sentencia Schrems II declara que, en principio, las CCT son válidas para la transferencia de datos personales fuera del Espacio Económico Europeo. No obstante, como se trata de un mecanismo contractual que no vincula al tercer país en el que se tratarán los datos personales, las partes deberán analizar si la normativa de ese país contiene estipulaciones que hagan imposible la ejecución de las CCT, como podrían ser normas de vigilancia que permitan a las autoridades el acceso a los datos sin las garantías adecuadas.
En este sentido, el CEPD especifica que, en el caso de transferencias de datos personales a los Estados Unidos, será necesario analizar si el receptor de los datos en los Estados Unidos está sujeto a la sección 702 de la Foreign Intelligence Surveilance Act (FISA) o a la Orden Ejecutiva 12333 o a otras normas que impidan el cumplimiento de las garantías establecidas en las CCT. En caso de estar el receptor de los datos sujeto a normativa de este tipo, las CCT tampoco proveerán las garantías suficientes debido a la imposibilidad de su cumplimiento en todos sus extremos.
Este análisis es aplicable siempre que se transfieran datos personales fuera del Espacio Económico Europeo y no solo cuando se transfieran a los Estados Unidos.
El CEPD está analizando qué medidas adicionales podrían implementarse para garantizar un nivel adecuado de protección cuando no sea suficiente con las CCT.
EL razonamiento de la Sentencia Schrems II sobre las CCT es también aplicable a las demás garantías que ofrece la normativa para proveer a las trasferencias de datos personales fuera del Espacio Económico Europeo con un nivel adecuado de protección.
Es así que el responsable del tratamiento deberá analizar si las Normas Corporativas Vinculantes que utiliza para la transferencia de datos personales dentro de su grupo de empresas crea un nivel adecuado de protección y es plenamente aplicable en todos los países de destino de los datos. No será posible utilizar este mecanismo para transferir datos personales a un tercer país cuya normativa impida un nivel adecuado de protección.
El CEPD también menciona la posibilidad de transferir datos personales fuera del Espacio Económico Europeo de forma excepcional y siempre que sea para transferencias ocasionales. Para ello, el artículo 49 RGPD habilita realizar estas transferencias ocasionales siempre que (i) se recabe el consentimiento explícito del interesado; (ii) la transferencia sea necesaria para la ejecución de un contrato; (iii) la transferencia sea necesaria por razones importantes de interés público establecidas por la normativa de la Unión Europea o de un Estado miembro; (iv) la transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones; (v) la transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento; o (vi) la transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.
El CEPD especifica para estos supuestos que la mayoría de los casos en los que se analice la aplicación del artículo 49 RGPD será bajo alguna de las tres primeras excepciones. La adecuación de estas trasferencias a la normativa deberá de analizarse caso por caso y cobrará especial relevancia el deber de información del responsable, que deberá indicar de forma transparente al afectado que la transferencia de datos no se realiza bajo garantías que permitan un nivel adecuado de protección.
