Читать книгу La protección de las transmisiones de datos transfronterizas - Elena Rodríguez Pineau - Страница 11

En el asunto Schrems II, el Tribunal de Justicia de la Unión Europea (TJUE)11 declaró la invalidez, conforme al Derecho de la UE (DUE), de la Decisión de la Comisión 2016/1250 sobre la adecuación de la protección del Escudo de la Privacidad (privacy shield) UE – EE.UU.12, cuyo objeto era permitir la transferencia de datos personales a este tercer país conforme a las exigencias establecidas en la normativa comunitaria en la materia, entonces la Directiva 95/46 y, desde el 25 de mayo de 2018, el RGPD13. No obstante, la Decisión 2010/87 de la Comisión, relativa a la autorización de dichas transferencias mediante la inclusión de cláusulas contractuales tipo que obligan a los encargados del tratamiento establecidos en terceros países14, fue declarada conforme con dicha normativa15.

En síntesis, para las transferencias de datos personales a terceros países, el DUE requiere que éstos garanticen un nivel de protección adecuado (adequacy finding); esto es, “sustancialmente equivalente” al que se ofrece en la UE, “interpretado a la luz de la Carta de los Derechos Fundamentales”16 para evitar así su traslado a países “refugio de datos”, con menor nivel de protección (data havens). Como es sabido, la protección de datos personales es proclamada como derecho fundamental en la Carta de los Derechos Fundamentales de la UE (CDFUE, art. 8)17 así como considerada parte del contenido del derecho a la vida privada y familiar en el Convenio Europeo de Derechos Humanos y Libertados Fundamentales (CEDH, art. 8) sobre el que existe una abundante jurisprudencia del Tribunal Europeo de Derechos Humanos (TEDH)18.

A estos efectos la Comisión Europea puede, bien realizar una constatación de adecuación a la vista de la legislación interna o concertando acuerdos internacionales con el Estado en cuestión (art. 45 RGPD; base para la Decisión sobre el escudo de privacidad con EE.UU), o bien, reconociendo expresamente la importancia que el sector privado tiene en este ámbito, aprobar la suficiencia de cláusulas tipo que habrán de ser incorporadas en los contratos en los que participa el exportador comunitario de datos, siempre que se reconozcan a su titular los derechos y acciones legales para reclamarlos (art. 46.1 y 2.c del RGPD; base para la Decisión sobre cláusulas contractuales). Según indica la Comisión, esta es la herramienta para la trasferencia de datos más utilizada19. En su defecto, la normativa establece las condiciones para poder llevar a cabo la transferencia (art. 49 RGPD)20.

En definitiva, lo que el TJUE viene a confirmar en Schrems II es que el régimen de protección de datos personales de EE.UU., en contra de lo estimado por la Comisión al adoptar la Decisión 1250/2016 sobre el escudo de privacidad con EE.UU., no ofrece un nivel equivalente y, por lo tanto, adecuado, para la protección de los datos personales procedentes de la UE. Y ello porque la normativa interna estadounidense permite a sus autoridades acceder y utilizar los datos sin sujeción al principio de proporcionalidad21 y, además, no reconoce a los interesados derechos exigibles judicialmente frente las autoridades estadounidenses22. Esto llueve sobre mojado pues, ya en 2015, el TJUE llegó a la misma conclusión en el asunto Schrems I con respecto a la Decisión sobre el Puerto Seguro23, precedente de la del Escudo de Privacidad. Por lo demás, es razonable concluir que esta línea argumental del TJUE sería igualmente aplicable al resto de las Decisiones adoptadas por la Comisión que concierne a la transferencia de datos a otros países24 de forma que, en la medida en que las legislaciones nacionales de cada uno de ellos no permitan garantizar el respeto a estos estándares, la sentencia tendría un “efecto dominó”.

Abundando en este nivel de protección comunitario cabe destacar que el TJUE se ha pronunciado sobre la compatibilidad los derechos fundamentales con la recogida indiscriminada de datos así como el acceso a los mismos por razones de seguridad en el ámbito intracomunitario en el asunto Privacy International25. Concretamente, el TJUE ha establecido que el respeto a los derechos fundamentales exige que sólo excepcionalmente, con carácter extraordinario y limitado, la legislación nacional pueda permitir que sus agencias de seguridad e inteligencia requieran que los proveedores de servicios de la sociedad de la información les transfieran datos de manera general e indiscriminada (de tráfico y localización).

En cuanto a las cláusulas contractuales, más allá del análisis de su adecuación, que corresponde realizar a la Comisión y que el Tribunal confirma en este caso, el TJUE señala que no puede dejar de tenerse en cuenta la necesidad de evaluar, junto a la cláusula, las posibilidades de acceso a los datos por parte de las autoridades públicas del Estado al que se han transferido conforme al sistema jurídico de dicho país26. El riesgo, bien de que tales autoridades públicas accedan o usen los datos transferidos de manera conforme a su propia normativa pero sin alcanzar el estándar de protección del DUE, o bien de que los contratantes no puedan cumplir los términos de la cláusula contractual, debe ser valorado por las autoridades de control de la UE (protección de datos) y, en caso de existir, habrán de prohibir o suspender dichas transferencias27.

En síntesis, la regulación en materia de protección de datos en la UE tiene carácter imperativo aplicándose las normas territorialmente28. Esto explica que no se regule la “importación” o entrada de datos personales de un país tercero puesto que, naturalmente, su protección quedará sujeta al DUE. Sí se regula en cambio el régimen de “exportación” o salida de los datos a terceros países sometiéndolo a condiciones para que sean protegidos en el extranjero de manera equivalente a la de la Unión. A la vista de la jurisprudencia del TJUE, los mecanismos previstos para velar por el mantenimiento del estándar comunitario en las exportaciones de datos son profundamente garantistas, como cabía esperar dado el carácter de derecho fundamental de su protección en la UE.

Así, desde el momento que la legislación de un tercer país contemple la posibilidad de que sus autoridades públicas puedan acceder a los datos, incluso por razones de interés o seguridad, sin las salvaguardas contempladas por el DUE (y, desde luego, de forma indiscriminada), las Decisiones que la UE haya adoptado respecto de transferencias de datos a terceros países resultarían nulas29. Del mismo modo, las operaciones que fueran a realizarse sobre la base de contratos con cláusulas autorizadas deberán ser prohibidas puesto que, por más empeño de adaptación a las exigencias comunitarias que realizaran los operadores económicos, no podrían (no está en su mano) modificar la legislación extranjera que, en la medida que permita a las autoridades públicas el acceso a los datos sin las garantías comunitarias, será considerada como un riesgo para la protección de los datos conforme al DUE. En definitiva, las empresas que pretendan desarrollar su actividad contando con el mercado comunitario se verían abocadas, no sólo a una adaptación al RGPD, sino a no exportar datos y únicamente someterlos a tratamiento y almacenarlos dentro de la UE a través de instalaciones locales.

Por lo tanto, aunque formalmente no se formule así, el efecto de esta situación es, de hecho, que frente a la movilidad de los datos personales (“deslocalización”), parezca necesario, con el fin de garantizar su protección, contar con almacenamiento y tratamiento local de los mismos (“localización”) en la UE para poder operar con ellos. Sirva como prueba que, en la situación de desconcierto e incertidumbre para todos los operadores generada tras Schrems II30, la reacción del Supervisor Europeo de Protección de Datos (SEPD) fue recomendar vivamente a las instituciones, agencias y oficinas de la UE que, mientras se desarrollaba la estrategia para cumplir con la sentencia, evitaran las transferencias de datos a EE.UU. para nuevas operaciones de procesamiento o nuevos contratos con proveedores de servicios31.

En definitiva, más allá de lo que señala el texto del RGPD, los casos Schrems ilustran cómo, frente a Estados que no cuenten con un régimen normativo equiparable al comunitario, la UE incorpora de facto la exigencia de almacenamiento y de tratamiento local de los datos con el fin de garantizar su protección. Más allá de la UE, hay otros sistemas nacionales que, ya sea por razón de protección de la privacidad, para promover la economía nacional o por ciberseguridad32, imponen por ley o como consecuencia de una serie de medidas, la localización de los datos personales, con carácter general o en determinados sectores (por ejemplo, el sanitario), haciendo imposible su transferencia internacional. No cabe duda de que estas medidas constituyen barreras no arancelarias al comercio que tienen como consecuencia un incremento de costes para los operadores económicos. La cuestión es ¿cómo encaja esta situación con el contexto y regulación jurídico-internacional del comercio?