En julio de 2020 la sentencia de la Corte Suprema de Justicia de la Unión Europea (CJUE), recordó que la protección de los datos de carácter personal, sin importar desde donde se acceda a ellos, debe ser igual o equivalente al del Espacio Económico Europeo.

La CJUE analizó puntualmente la certificación “Privacy Shield“, que hasta la fecha permitía transferir datos personales a Estados Unidos, pero que conforme su análisis y en tanto que la normativa local norteamericana permitiría dar acceso a los organismos públicos locales a dicha información, consideró que la protección de datos de los ciudadanos europeos no se veía salvaguardada por este mecanismo de certificación.

Por ello, el Comité Europeo de Protección de Datos (CEPD) ha promulgado unas recomendaciones (hasta la fecha en versión consulta pública) en las que intenta establecer cuáles son las medidas necesarias a tener en cuenta si es necesario realizar transferencias internacionales de datos.

¿Qué debemos tener en consideración para que la protección de los datos sea equivalente o similar a la de la Unión Europea? ¿Qué pasaría si la normativa local o práctica del tercer país no cumple con las exigencias del Reglamento General del Protección de datos (RGPD)?

La CJUE indica que tanto los responsables como los encargados de tratamientos de los datos de carácter personal son responsables de verificar, caso a caso, que las transferencias internacionales de datos que realicen cumplen con las exigencias y salvaguardas exigidas en GDPR.

Lo cierto es que hasta ahora no estaba nada claro qué podíamos hacer para poder garantizar el cumplimiento del Reglamento General de Protección de Datos, pero el CEPD ha salido a nuestro rescate recomendándonos implantar 6 pasos que consisten en:

1. Conoce tus transferencias

Es importante saber dónde están los datos de carácter personal o desde dónde acceden a ellos. ¿Cómo se sabe? Pues mapeando todas las transferencias a terceros países (incluyendo encargados y subencargados de tratamiento) y, asegurarse que cumplen la normativa en materia de protección de datos en cada caso, es decir, que la transferencia sea adecuada, relevante y limitada a propósito de la transferencia.

2. Verificar el método de transferencia

Una vez que sepas a dónde viajan o se almacenan los datos tendremos que analizar:

  • Si la transferencia se realiza a un país declarado de nivel adecuado por la Comisión Europea y, en ese caso, no se necesita ninguna acción adicional más que monitorizar que esta decisión no ha sido revocada o invalidada o,

  • Si la transferencia se realiza a través de alguna de las medidas de salvaguarda: “garantías adecuadas” que indica la norma1 como: códigos de conducta, cláusulas tipos, mecanismos de certificación, normas corporativas vinculantes, o cláusulas contractuales que hayan sido aprobadas por los organismos correspondientes.

  • Si la transferencia se realiza excepcionalmente para situaciones específicas, como proteger los intereses vitales del interesado u otras personas cuando el interesado esté incapacitado para dar su consentimiento o la transferencia es necesaria por razones de interés público o para formular el ejercicio o defensa de las reclamaciones, etc.2

3. Verificar la normativa del tercer país

Si se ha identificado que la transferencia se realiza (o realizará) mediante garantías adecuadas, tendremos que validar que el nivel de protección de los datos es equivalente a la de la Unión Europea.

¿Cómo? En este caso, se plantean algunas soluciones como (i) realizar un análisis de la normativa local a donde se va a transmitir el dato, particularmente aquellas que permitan a las autoridades locales revelar información de datos de carácter personal o que garanticen dicho poder a autoridades locales (por ejemplo, la aplicación de la ley penal o supervisión regulatoria y propósito nacional) y (ii) que el importador de los datos proporcione la información de las normas que le aplican además de analizar otras fuentes3.

4. Identificar y adoptar medidas suplementarias para asegurar que se cumple con el nivel adecuado en materia de protección de datos, siendo equivalente al de la UE.

Si del análisis del paso 3 se puede comprobar que el método de transferencia no es efectivo, será necesario analizarse caso a caso cada una de las transferencias e implantar medidas suplementarias, teniendo en cuenta cada circunstancia particular.

¿Qué tipo de medidas son válidas para poder realizar una transferencia?

Las medidas puedes ser de naturaleza contractual, técnica u organizacional, si bien es posible que sea necesario que se implanten varias de ellas para poder garantizar que se cumple con el nivel adecuado de seguridad.

Según el CEPD, medidas contractuales y organizacionales generalmente no garantizarán por sí mismas que se pueda prohibir el acceso a datos personales de autoridades de terceros países, por lo que será necesario implantar medidas técnicas adicionales que impidan o hagan inefectivo el acceso a los datos. Algunos ejemplos son los siguientes:

Medidas técnicas

Almacenar datos con la finalidad de back up u otro propósito que no requiere acceso a datos en claro, a través de un proceso de encriptado robusto antes de la transmisión y durante el almacenamiento o acceso a la información.

Pseudoanonimizar la información cuando la finalidad del tratamiento es fines analíticos o investigación. Ahora bien, deberá tenerse en cuenta también si las autoridades públicas pueden tener acceso a otra información adicional de la persona que podría llegar a identificarla (por ejemplo, información física, genética, etc.).

Encriptar la información meramente durante el tránsito en el país al que se transfieren los datos, siempre que el dato viaje temporalmente a una jurisdicción que no se la considere segura.

Deber de Secreto: si se transfieren datos a un país no seguro para proteger al interesado, por ejemplo, con el fin de proporcionar conjuntamente tratamiento médico a un paciente o servicios legales a un cliente, en tanto que la ley del tercer país exime al receptor de infringir la normativa de privacidad en virtud del derecho profesional que se le aplica.

En este aspecto que será necesario adoptar medidas de cifrado en su transmisión que garanticen que el descifrado no será posible sin el conocimiento de la clave de descifrado (cifrado de extremo a extremo) durante todo el tiempo que los datos necesitan ser protegido.

Procesamiento de datos divido o multipartito, procesando los datos por dos o más proveedores independientes ubicados en diferentes jurisdicciones sin revelarles el contenido de los datos. De esta forma, en la transmisión de información se dividen los datos de tal manera que ninguna parte recibe información suficiente para identificar a los interesados.

El exportador de datos recibe el resultado del procesamiento de cada uno de los procesadores de forma independiente y fusiona las piezas recibidas para llegar al resultado final que puede constituir datos personales o agregados.

Asimismo, más allá de las medidas, indica que no debe existir evidencia de colaboración entre las autoridades ubicadas en las respectivas jurisdicciones donde se encuentra cada uno de los procesadores, para evitar reconstituir y explotar el contenido de los datos personales de forma clara.

Medidas contractuales

Teniendo en cuenta que estas medidas, dada la naturaleza de las mismas y, en tanto que generalmente no pueden obligar a las autoridades de ese tercer país, deberán combinarse con otras medidas técnicas y organizativas para proporcionar el nivel de protección de datos requerido. Algunos ejemplos son:

Obligación contractual de usar medidas técnicas específicas que se acuerden entre las partes para reforzar y garantizar el cumplimiento de las mismas.

Transparencia en las obligaciones, reforzando contractualmente las obligaciones entre las partes, como por ejemplo: agregar al contrato anexos con información que el importador proporcionaría, en base a sus mejores esfuerzos, sobre el acceso a los datos por parte de las autoridades públicas, enumerar leyes y regulaciones que pudieran aplicar o la ausencia de las mismas, jurisprudencia, medidas que se toman para evitar el acceso a los datos transferidos (si corresponde), etc.

Capacitar a los interesados para que ejerzan sus derechos, estipulando contractualmente que los datos personales transmitidos solo se pueden acceder con el consentimiento expreso o implícito del exportador y/o el sujeto de los datos.

Medidas organizacionales

Políticas internas para la gobernanza de transferencias especialmente con grupos de empresas, estableciendo clara designación de responsabilidades, procedimientos de notificación en caso de solicitudes de autoridades públicas, equipos responsables en cada caso, etc.

Medidas de transparencia y responsabilidad proactiva, por ejemplo documentando y registrando las solicitudes de acceso recibidas de las autoridades públicas y la respuesta , junto con el razonamiento legal y las personas involucradas (por ejemplo, si el exportador ha sido notificado y su respuesta, la evaluación del equipo a cargo de atender dichas solicitudes, etc.) Estos registros deben ponerse a disposición del exportador de datos, quien a su vez debe proporcionarlos a los interesados afectados cuando sea necesario.

Métodos de organización y medidas de minimización de datos, que deberán ir acompañadas de medidas técnicas para garantizar que los datos no estén sujetos a acceso no autorizado. Por ejemplo, la implementación de mecanismos seguros de computación de múltiples partes y la difusión de conjuntos de datos encriptados entre diferentes entidades de confianza pueden prevenir por diseño que cualquier acceso unilateral conduzca a la divulgación de datos identificables.

Adopción de estándares y mejores prácticas, por ejemplo a través de políticas estrictas de seguridad y privacidad de los datos, basadas en la certificación de la UE o códigos de conducta o en estándares internacionales (por ejemplo, normas ISO) y mejores prácticas (por ejemplo, ENISA) con la debida consideración al estado de la técnica, de conformidad con el riesgo de las categorías de datos procesados y la probabilidad de intentos de las autoridades públicas de acceder a ellos.
En todo caso, más allá de las posibles medidas suplementarias que se mencionan, deberán ser llevadas a cabo con una due diligence y estar documentadas.

5. Adoptar las medidas necesarias. Procedimiento para garantizar las medidas suplementarias

Si se han identificado medidas complementarias efectivas, será necesario siempre establecer un procedimiento para implantar dichas medidas.

6. Monitorización de las medidas

Se deberá evaluar en intervalos adecuados las transferencias de datos que puedan afectar el cumplimiento de la normativa ya que el principio de responsabilidad proactiva requiere una vigilancia continua del nivel de protección de datos adecuado.

Esto, sin perjuicio de que las autoridades de protección de datos continúen ejerciendo su orden de monitorizar y hacer cumplir la normativa pudiendo suspender o prohibir las transferencias de datos en aquellos casos en los que, tras una investigación o denuncia, encuentren que no se puede garantizar un nivel de protección esencialmente equivalente.

¿Entonces qué?

Es momento de ponerse a trabajar y asegurar que los datos de los interesados que se transfieren internacionalmente siempre tengan un nivel adecuado de protección en materia de protección de datos.

Deberemos esforzarnos y analizar caso a caso cada uno de los tratamientos y procedimientos, adoptando medidas técnicas, contractuales u organizacionales para poder cumplirlas, pero principalmente debemos esforzarnos para poder comprobar la efectividad de dichas medidas constantemente, estableciendo siempre planes de acción y, terminado el servicio o impidiéndolo si no podemos garantizar el cumplimiento de la norma.

El camino no parece nada fácil, ¿estás listo para el reto?

Publicado el 3 de diciembre de 2020

1Art. 46 RGPD. Transferencias mediante garantías adecuadas.
2Art 49. RGPD. Excepciones para situaciones específicas.
3Como por ejemplo: Jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE) y del Tribunal Europeo de Derechos Humanos (TEDH), decisiones de adecuación en el país de destino si la transferencia se basa en una base jurídica diferente; resoluciones e informes de organizaciones intergubernamentales, como el Consejo de Europa, otros órganos regionales; y organismos y agencias de la ONU (por ejemplo, el Consejo de Derechos Humanos de la ONU, el Comité de Derechos Humanos 9495); jurisprudencia nacional o decisiones adoptadas por autoridades judiciales o administrativas independientes competentes en materia de privacidad y protección de datos de terceros países o informes de instituciones académicas y organizaciones de la sociedad civil (por ejemplo, ONG y asociaciones comerciales).

iA la fecha son Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Andorra, Israel Uruguay, Nueva Zelanda y Japón. https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/transferencias-internacionales