Читать книгу La protección de las transmisiones de datos transfronterizas - Elena Rodríguez Pineau - Страница 27
VI. CONCLUSIONES
ОглавлениеEl tráfico transfronterizo de datos, incluidos los datos personales, es inherente al desarrollo del comercio digital. Mientras que el derecho humano a la privacidad está universalmente reconocido, su alcance en lo que concierne a la protección de datos personales no cuenta con una lectura uniforme pues, si bien en algunos lugares constituye un derecho fundamental, en otros carece de esta consideración. En este contexto, la regulación nacional de la protección de la privacidad y de los datos personales, como la de cualquier objetivo legítimo de interés público nacional, está ligada a los valores constitucionales y éticos que persiguen los diferentes Estados. Sus respectivos ordenamientos internos pueden limitar o condicionar la transferencia o “exportación” de estos datos a terceros países de forma que las restrinjan, o incluso las bloqueen, dando lugar a obstáculos al comercio internacional de bienes y, fundamentalmente, de servicios que, eventualmente, podrían llegar a constituir infracciones de los compromisos adquiridos en virtud de los acuerdos de la OMC o, incluso, de otros acuerdos de libre comercio.
En el caso de la UE, los asuntos Schrems ilustran claramente la situación que, por lo demás, ya reconocía y anticipaba el Convenio de Estrasburgo y distintas iniciativas desarrolladas en el marco de organizaciones internacionales. Estas actuaciones se centran en el establecimiento de estándares mínimos que, sentando un sustrato común, tienen como objetivo facilitar el tráfico transfronterizo de datos sin sujetarlo, salvo en circunstancias excepcionales, a requisitos o condiciones de localización que limiten u obstruyan el comercio internacional. No obstante, el grado de armonización no acaba con las diferencias normativas y el recurso a las excepciones para la protección de intereses públicos legítimos ofrece márgenes de maniobra, tanto en el Convenio de Estrasburgo como en los acuerdos de la OMC y en los de liberalización comercial/regional del comercio (existentes y en negociación), cada uno en distinta medida.
El inicio de las negociaciones multilaterales sobre comercio electrónico en la OMC con una elevada y diversa participación de Estados miembros –con diferentes niveles de desarrollo económico y tecnológico– así como con la implicación de organizaciones de la sociedad civil, ofrece nuevas perspectivas para abordar la cuestión. Parece obvio que las experiencias e información acumuladas en los distintos acuerdos regionales deben contribuir a facilitar cierta aproximación de manera que se favorezca el acercamiento y la profundización en cuanto a los estándares mínimos de protección de los consumidores, su privacidad y sus datos personales, así como mecanismos para hacer efectivos sus derechos. En este sentido, aunque las propuestas no entren a tratar directamente esta cuestión, no puede dejarse de notar que la aplicación territorial de las normas nacionales no resulta discutida si bien, paralelamente, para el tratamiento de los datos personales de los no residentes el criterio de la lex originis parece abrirse camino. Por lo demás, es importante ser conscientes de que la propia tecnología tendrá un papel paralelo y definitivo en la fijación de estándares (privacy by design). Asimismo, los mecanismos de certificación y control podrían llegar a constituir una herramienta útil. Todo ello, sin perjuicio de salvaguardias excepcionales, que, en todo caso, cubrirían la principal preocupación común de los Estados; esto es, el acceso indiscriminado y/o injustificado a los datos por las autoridades públicas extranjeras.
Tras Schrems I se señaló que, aunque en 2013 el Supervisor europeo de Protección de Datos escribiera que la normativa europea sobre la transferencia internacional de datos se basa “en un grado razonable de pragmatismo con el fin de permitir la interacción con otras partes del mundo”, esta regulación no busca un equilibrio razonable entre los estándares propios y los de terceros países sino la afirmación unilateral de los valores de la UE, siendo poco realista esperar soluciones internacionales sin que los Estados estén dispuestos a hacer concesiones148. En este sentido, más allá del compromiso de todos los miembros de la OMC con la liberalización del comercio internacional, la expansión tecnológica y de las comunicaciones globales resulta imparable en el día a día de la economía digital. Si no se encuentran soluciones pragmáticas que protejan la privacidad de los consumidores y sus datos, la fuerza de los hechos termina imponiendo esta expansión, debilitando la protección real de los derechos de los particulares. La búsqueda de mecanismos que, sin renunciar a esa protección, no bloquee el desarrollo del comercio digital debe continuar.
1. TAPSCOTT, D., La Economía Digital: Promesa y peligro en la Era de la Inteligencia en redes, 1995. La economía digital se entiende como una nueva forma de producción y consumo que resulta de un proceso complejo de cambios en la organización social, económica y política de los países. La economía digital se constituye como un ecosistema en el que convergen la infraestructura de las redes de comunicación, los servicios de procesamiento y las tecnologías web, y los usuarios finales (individuos, empresas, gobierno). El nivel de avance de cada país se define por el grado de desarrollo y complementación de estos componentes, UN.CEPAL Economía Digital para el cambio estructural y la igualdad. CEPAL, 2013, p. 9.
2. MANYIKA, J., LUND, S., BUGHIN, J., WOETZEL, J., STAMENOV, K. y DHINGRA, D., Digital globalization: The new era of global flows, Report, 24 de febrero de 2016, McKingsey Digital, https://www.mckinsey.com/business-functions/mckinsey-digital/our-insights/digital-globalization-the-new-era-of-global-flows.
3. Los datos generados automáticamente para procesos industriales y no directamente por las personas, con información personal relativa a los mismos o que permita su identificación, forman parte del big data. En todo caso, puede resultar dudosa la consideración de las “huellas” o datos anónimos. Sobre su calificación en la UE, vid. FINK, M. y PALLAS, M. “They who must not be identified – distinguishing personal from non-personal data under the GDPR”, IDPL, 2020, vol. 10 núm. 1, pp. 11-36.
4. OCDE Recommendation Concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data, 11.7.2013, (“Privacy Guidelines”), revisa la versión original de 1980; para. 22 señala la problemática y recomienda a los Estados que trabajen para resolverla, tanto en lo que concierne a la competencia judicial internacional como a la ley aplicable. En este sentido, el informe explicativo indica que, dadas las dificultades, se resolvió no proponer soluciones específicas en este instrumento; paras. 74-76, https://www.oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm#memorandum. No obstante, en relación con la ley aplicable vid. notas 28, 111 y para. 51.
5. El comercio digital abarca las transacciones digitales de bienes y servicios que pueden entregarse de manera digital o física, lo que comprende las transacciones de comercio electrónico, incluyendo los servicios prestados de manera digital, independientemente del medio por el que se soliciten. La comunidad internacional de estadística utiliza actualmente esta categorización para medir este comercio y la contribución de la transformación digital al producto interior bruto (PIB). Panorama del comercio electrónico: políticas, tendencias y modelos de negocio; OCDE, 2019, pp. 18 y 25.
6. Así lo describe expresamente el art. 4.20 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, DOUE L 119 de 4 de mayo de 2016 (en adelante, RGPD).
8. Considerando 101 del RGPD.
9. El período transitorio concluyó el 31 de diciembre 12 de 2020. Los datos, transmitidos o procesados en el Reino Unido antes de esta fecha relativos a individuos localizados fuera de este país; así como los realizados después sobre la base del Acuerdo de Retirada (art. 7.1), continuaron siendo tratados conforme al Reglamento. Notice to Stakeholders; Withdrawal of the UK and EU Rules in the Field of Data Protection, Bruselas, 6 de julio de 2020 REV1.
10. BRADFORD, A., Brussels Effect; How the European Union Rules the World, OUP, 2019.
11. STJUE de 16 de julio de 2020, as. C-311/18, Data Protection Commissioner c. Maximillian Schrems y Facebook Ireland; (Schrems II) (ECLI:EU:C:2020:559). En consecuencia, el 14 de diciembre de 2020, el TJUE dictó auto de sobreseimiento en el as. T-738/16, La Quadrature du net, (ECLI:EU:T:2020:638), en el que se planteaba expresamente su compatibilidad con la CDFUE. En la misma línea, el 8 de septiembre de 2020, la Federal Data Protection and Information Commissioner (FDPIC) suiza, estableció la contrariedad del Swiss-U.S. Privacy Shield Framework con la Ley federal suiza de protección de datos (FADP) por no dar un nivel de protección adecuado a las transferencias de datos desde Suiza a EE.UU. https://www.edoeb.admin.ch/edoeb/en/home/latest-news/media/medienmitteilungen.msg-id-80318.html.
12. Decisión de ejecución 2016/1250 de la Comisión, de 12 de julio de 2016 con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU, DO L 209, de 1 de agosto de 2016.
13. Título V del RGPD, regula el flujo de datos fuera del Espacio Económico Europeo (EEE), que extiende el mercado interior a los países de la Asociación Europea de Libre Comercio (AELC-EFTA); Islandia, Liechtenstein y Noruega. El art. 44 señala como principio general “Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado”.
14. Decisión 2010/87 UE de la Comisión, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, DOUE L 39, de 12 de febrero de 2010.
15. La Decisión 2021/914 UE de la Comisión, de 4 de junio de 2021, DOUE L 199, de 7 de junio de 2021, deroga la Decisión 2010/87 UE a partir del 27 de septiembre de 2021, fijando un período transitorio de 15 meses en el que las cláusulas contractuales conforme con la Decisión derogada podrán continuar utilizándose bajo ciertas condiciones (art. 4). El mismo día, la Comisión adoptó la Decisión 2021/915 UE, relativa a las cláusulas contractuales tipo entre responsables y encargados del tratamiento contempladas en el art. 28.7 del RGPD y en el art. 29.7 del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos.
16. STJUE, as. C-311/18 Schrems II, cit. supra nota 11, paras. 94 y 105.
17. Así como en algunas constituciones nacionales, como en el caso de la española (art. 18).
18. Partiendo de la sentencia del TEDH (Gran Sala) de 4 de diciembre de 2008, S. and Marper v. United Kingdom, en la que se reconoce que “…para determinar si la información personal retenida por las autoridades implica cualquier …(aspecto) de la vida privada…, el Tribunal prestará debida atención al contexto específico en el que ha sido grabada y retenida, la naturaleza del expediente, la forma en que se utiliza y se procesa y los resultados que pueden ser obtenidos …”. La doctrina del TEDH ha establecido que el respeto a la vida privada y familiar resulta infringido cuando se accede o se utilizan datos de un individuo sin su consentimiento salvo si este uso está amparado por la ley y, además, resulta necesario y proporcional al objetivo perseguido y se ha garantizado al interesado la oportunidad de obtener revisión judicial de la actuación. Sentencia del TEDH de 8 de febrero de 2018, Ben Faiza v. France. Recientemente, en Centrum För Rättvisa v. Sweden y Big Brother Watch and Others v. the United Kingdom, con sentencias (Gran Sala) de 21 de junio de 2021, en las que se estableció la existencia de sendas violaciones del art. 8, el Tribunal ha desarrollado este test en lo que concierne a los sistemas de intercepción masiva de datos: 1. la norma interna debe señalar con suficiente claridad y detalle los casos en los que cabe autorizar la intercepción de los datos y de las comunicaciones; 2. dado el riesgo de abuso y la legitimidad del secreto, la supervisión y de la revisión debe ser mayor; 3. debe tenerse en cuenta el grado de intromisión en los derechos de los individuos durante las distintas fases de intercepción y análisis de los datos, de forma que las necesidad de las salvaguardas va incrementándose progresivamente y, por lo tanto, en cada fase debe hacerse una evaluación de la necesidad y proporcionalidad de la medida; 4. la intercepción de los datos debe estar sujeta a autorizaciones previas –cuando el objeto y alcance de la operación se definen– y toda la operación debe quedar sujeta a supervisión y evaluación independientes ex post.
19. Comunicación de la Comisión al Parlamento Europeo y al Consejo de 24 de junio de 2020, La protección de datos como pilar del empoderamiento de los ciudadanos y del enfoque de la UE para la transición digital: dos años de aplicación del Reglamento General de Protección de Datos, COM/2020/264 final, p. 15.
20. Sobre el régimen de transferencia internacional de datos de la UE vid. CORDERO ÁLVAREZ, C.I., “La transferencia internacional de datos con terceros Estados en el nuevo Reglamento Europeo: especial referencia al caso estadounidense y la Cloud Act”, REDE, núm. 70, abril-junio 2019, pp. 49-108 y su contribución en esta obra, “Transferencia de datos personales fuera del EEE en el nuevo marco del reglamento general: especial referencia al caso estadounidense y el Reino Unido tras el Brexit”.
21. STJUE, as. C-311/18 Schrems II, cit. supra nota 11, apdo. 183, al menos respecto de algunos programas de vigilancia.
22. Ibid., apdo. 187. Además, el mecanismo del Defensor del Pueblo no proporciona vías de recurso ante un órgano que ofrezca garantías sustancialmente equivalentes a las del DUE, que puedan asegurar su independencia ni su autoridad para adoptar decisiones vinculantes para los servicios de inteligencia estadounidenses, apdo. 168. En la STJUE 15 de junio de 2015, as. C-362/14, Schrems c. Comisario de Protección de Datos (Schrems I) (ECLI:EU:C:2015:650), apdos. 87-98 (anulación de base jurídica del “puerto seguro”) y 93-95 (normas claras sobre acceso de los gobiernos a los datos y recurso judicial). Esto último también en Dictamen 1/15, apdos. 141 y 154.
23. STJUE, as. C-362/14, Schrems I, cit. supra nota 22, en lo que concierne a la Decisión 2000/520 de la Comisión, de 26 de julio, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes publicadas por el Departamento de Comercio de EE.UU. (“Puerto Seguro”), DOUE 2000, L 215, p. 7.
24. Otras Decisiones de adecuación adoptadas por la Comisión se refieren a Suiza (26 de julio de 2000); Canadá (20 de diciembre de 2002); Argentina (3 de junio de 2003); Guernsey (21 de noviembre de 2003); Isla de Mann (28 de abril de 2004); Jersey (8 de mayo de 2008); Islas Feroe (5 de marzo de 2010); Andorra (19 de octubre de 2010); Israel, (31 de enero de 2011); Uruguay (21 de agosto de 2012); Nueva Zelanda (19 de diciembre de 2012), Japón (23 de enero de 2019) y Reino Unido (28 de junio de 2021).
25. STJUE de 6 de octubre de 2020, en los asuntos La Quadrature du net y otros, asuntos ac. C-511/18, C-512/18 y C-520/18 (ECLI:EU:C:2020:791), apdo. 118. En la misma fecha y sentido, as. C-623/17, Privacy international c. Secretary of State for Foreign and Commonwealth Affairs and others (ECLI:EU:C:2020:790), apdo. 72.
26. STJUE, as. C-311/18 Schrems II, cit. supra nota 11, apdo. 134.
27. Ibid., apdo. 135.
28. Art. 3 RGPD y Directrices 3/2018 de la EDPB, relativas al ámbito territorial del RGPD; versión 2.1, de 7 de enero de 2020. Vid. también, STJUE de 1 de octubre de 2015, en el as. C-230/14, Weltimmo s.r.o. c. Nemzeti Adatvédelmi és Információszabadság Hatóság (ECLI:EU:C:2015:639).
29. Vid. nota 25.
30. A lo que se suma, en el caso de España las demandas presentadas contra distintas empresas; “La RAE, Freepik o eDreams, entre las decenas de entidades denunciadas por permitir las transferencias de datos de sus usuarios a EEUU después de que una sentencia del TJUE las invalidara”, Business Insider, 18 de agosto de 2020, https://www.businessinsider.es/5-empresas-espanolas-denunciadas-enviar-datos-usuarios-eeuu-493151.
31. EDBS, Strategy for EU institutions to comply with “Schrems II” Ruling, 29 de octubre de 2020, p. 2, https://edps.europa.eu/press-publications/press-news/press-releases/2020/strategy-eu-institutions-comply-schrems-ii-ruling_en.
32. En el caso de Rusia, la ley de Protección de Datos de 2015 requiere el almacenamiento local de los datos de los residentes en el país. Víd. MIHAYLOVA, I., “Could the Recently Enacted Data Localization Requirements in Russia Backfire?”, JWT, vol. 50, núm. 2, 2016, pp. 313-334.
33. En particular, 4 (educación), 5 (igualdad de género), 8 (crecimiento económico), 10 (reducir las desigualdades entre países y dentro de ellos) y 16 (paz y justicia) https://www.un.org/sustainabledevelopment/es/sustainable-development-goals/; tal y como lo reconoce, al plantear los Datos como primera línea temática de actuación en 2020 el Internet Global Forum de las Naciones Unidas, https://www.intgovforum.org/multilingual/content/igf-2020-thematic-track.
34. OECD, The impact of digitalisation on trade, https://www.oecd.org/trade/topics/digital-trade/.
35. Art. 44 RGPD, así como las comunicaciones ulteriores desde ese tercer país u organización a otro tercer país. Las que tienen lugar entre Estados miembros de la UE y con respecto a Liechtenstein, Islandia y Noruega (EEE), se denominan transferencias transfronterizas (art. 4.23). En España el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RLOPD) define las transferencias internacionales de datos como transmisiones de datos fuera del territorio del EEE, independientemente de si se hacen a otro responsable del tratamiento o a un encargado (art. 5.1).
36. El Convenio para la protección de los individuos en lo que concierne al procesamiento automático de datos personales; Estrasburgo, de 28 de enero de 1981 (en vigor desde el 1 de octubre de 1985, Tratado núm. 108), modificado el 15 de junio de 1999 (Tratado núm. 108+ “modernizado”; en vigor desde 2001). El 10 de octubre de 2018 se adoptó el Protocolo que modifica el convenio (T núm. 223), aún no en vigor; define controller y processor (art. 2.e y f). En esta línea, el art. 4.7 y 8 del RGPD (Dictamen 1/2010 del GT art. 29 sobre los conceptos de responsable del tratamiento» y «encargado del tratamiento, WP169, de 6 de febrero de 2019) señala que mientras el responsable determina los fines y los medios relacionados con el tratamiento de los datos personales, el encargado los trata por cuenta del responsable (suele ser un tercero externo o, dentro de grupos de empresa, una de ellas para las demás). Conforme al RGPD (art. 4.2) actividades de tratamiento de datos son el traspaso o la comunicación, entrega, consulta, interconexión, transferencia o “cualquier otra forma de acceso a los datos”; habla también de captura, clasificación, almacenamiento, uso, tratamiento, destrucción. El art. 5.1 RLOPD menciona también la cesión.
37. En ellos no operan los responsables de la recogida ni del tratamiento de datos; tampoco se almacenan.
38. En la UE, STJUE de 6 de noviembre de 2003, as. C-101/01, Bodil Lindqvist, (ECLI:EU:C:2003:596), apdo. 71.
39. El UNCTAD Global Cyberlaw Tracker señala que, de un total de 194, los países que disponen de regulación sobre el comercio en Internet son 158 (82%), de los cuales 68 están en vías de desarrollo o son economías en transición y 30 son países menos desarrollados, Prácticamente todos los europeos (44 de 45), el 91% de los americanos mientras que en África solo 61%. https://unctad.org/page/e-transactions-legislation-worldwide.
40. Ibid., de un total de 194, 132 cuentan con legislación protectoras, África y Asia muestran similares niveles con un 55% de ellos con normas, de los cuales 23 son países de los menos desarrollados.
41. Vid. nota 34. Los compromisos son aplicables con independencia de la nacionalidad o residencia de los individuos (art. 1.1).
42. La exposición de motivos del Tratado 108+, nota 36, señala: “it is necessary to secure the human dignity and protection of the human rights and fundamental freedoms of every individual and, given the diversification, intensification and globalisation of data processing and personal data flows, personal autonomy based on a person’s right to control of his or her personal data and the processing of such data”. No obstante, también señala que “the right to protection of personal data is to be considered in respect of its role in society and that it has to be reconciled with other human rights and fundamental freedoms, including freedom of expression”.
43. Explanatory Report – ETS 108, de 28 de enero de 1981, nota 36, p. 12, &66.
44. Ibid. p. 3; &9; viene referido a la libertad de expresión, art. 10 CEDH y 19 de la Declaración Universal de los Derechos Humanos, p. 5, &19.
45. Ibid. p. 6; &25.
46. Art. 14 T 108+ (antiguo 12, modificado), nota 36: “A Party shall not, for the sole purpose of the protection of personal data, prohibit or subject to special authorisation the transfer of such data to a recipient who is subject to the jurisdiction of another Party to the Convention. Such a Party may, however, do so if there is a real and serious risk that the transfer to another Party, or from that other Party to a non-Party, would lead to circumventing the provisions of the Convention. A Party may also do so, if bound by harmonised rules of protection shared by States belonging to a regional international organisation”.
47. OCDE Recommendation Concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data, de 11 de julio de 2013, (“Privacy Guidelines”), revisa la versión original de 1980. Grupo de trabajo sobre seguridad y privacidad.
48. A título de ejemplo, baste señalar el CPTPP, notas 98 y 99, o el vigente acuerdo UE– México, nota 103.
49. Apartados 1, 16, 17 y 18.
50. Comenzó su actividad en el verano de 2008. https://www.privacyenforcement.net/. Action Plan for the Global Privacy Enforcement Network, de 15 de junio de 2012; Parte E, modificado el 22 de enero de 2013.
51. OECD Recommendation on Cross-border Co-operation in the Enforcement of Laws Protecting Privacy, adoptada en junio de 2007, http://www.oecd.org/internet/ieconomy/oecdrecommendationoncross-borderco-operationintheenforcementoflawsprotectingprivacy.htm.
52. En la actualidad, 65 Estados son parte de esta red. https://icpen.org/search?search=personal+data.
53. Recommendation on Consumer Protection in E-commerce, adoptada el 9 de diciembre de 1999 y actualizada en 2016, establece que “Businesses should protect consumer privacy by ensuring that their practices relating to the collection and use of consumer data are lawful, transparent and fair, enable consumer participation and choice, and provide reasonable security safeguards”; p. 17, para. 48.
54. UNCTAD Directrices para la protección del consumidor, aprobadas por la Asamblea General en su resolución 39/248, de 16 de abril de 1985, ampliadas posteriormente por el Consejo Económico y Social en su resolución 1999/7, de 26 de julio de 1999, y revisadas y aprobadas por la Asamblea General en su resolución 70/186, de 22 de diciembre de 2015.
55. https://www.intgovforum.org/multilingual/content/illustrative-policy-questions-data.
56. El Acuerdo sobre Obstáculos Técnicos al Comercio (OTC) de la OMC pretende que la prueba y certificación de las mercancías no creen obstáculos innecesarios al comercio reconociendo. El Acuerdo firmemente a los Miembros que basen sus medidas en normas internacionales (arts. 1.1 y 2).
57. International Standarisation Organisation; https://www.iso.org/home.html.
58. The 3rd Generation Partnership Project (3GPP) reúne a siete organizaciones para el desarrollo de estándares de telecomunicación (ARIB, ATIS, CCSA, ETSI, TSDSI, TTA, TTC) y facilita un entorno estable para producir informes y especificaciones en las tecnologías; https://www.3gpp.org/about-3gpp/about-3gpp.
59. World Economic Forum, White Paper, Exploring International Data Flow Governance Platform for Shaping the Future of Trade and Global Economic Interdependence, 2019, p. 9. “Privacidad mediante diseño” se diferencia de las tecnologías que incrementan la seguridad en que la primera es un requisito de la arquitectura de un sistema o producto mientras que las segundas se utilizan en un momento posterior, cuando la arquitectura ya se ha desarrollado.
60. https://www.apec.org/About-Us/About-APEC.
61. De los 21 Estados miembros, actualmente participan en el sistema EE.UU., México, Japón, Canadá, Singapur, República de Corea, Australia, Taipei Chino, y Filipinas.
62. Cross Border Privacy Rules, https://www.apec.org/About-Us/About-APEC/Fact-Sheets/What-is-the-Cross-Border-Privacy-Rules-System. El APEC Privacy Framework, que fue adoptado inicialmente el 2005 y actualizado en 2015, se hace eco de la Guía de Privacidad de la OCDE, p. 3 &5.
63. Por ejemplo, a través de sistemas de intercambio electrónico de datos; Electronic Data Interchange (EDI).
64. OECD, nota 34.
65. Mientras que las mercancías, al igual que, los servicios pueden ser producidos, consumidos, comprados y vendidos; los datos, pueden, además, ser duplicados, compartidos y “absorbidos” (saber qué hacer con ellos; interpretarlos y aplicarlos). En esta línea, las Directrices 2/19 del CEPD, sobre el tratamiento de datos personales en virtud del artículo 6, apartado 1, letra b), del RGPD en el contexto de la prestación de servicios en línea a los interesados https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines-art_6-1-b-adopted_after_public_consultation_es.pdf, para. 54 nota a pie, señalan que “el tratamiento de los datos personales difiere de los pagos monetarios desde el punto de vista conceptual. Por ejemplo, el dinero se puede contabilizar, es decir, los precios pueden compararse en un mercado donde rija la libre competencia, y, en general, los pagos monetarios solo pueden realizarse con la participación del interesado. Además, los datos personales pueden ser explotados por varios servicios a la vez. Una vez que una persona pierde el control sobre sus datos personales, es posible que no pueda recuperar dicho control”.
66. ZUBOFF, S., The Age of Surveillance Capitalism; the fight for the future at the new frontier, Profile Books, London, 2019.
67. Directrices 2/2019 del CEPD, nota 67, para. 54 señala que “(H)abida cuenta de que la protección de los datos es un derecho fundamental … y de que uno de los principales objetivos del RGPD es ofrecer a los interesados el control sobre la información que les afecta, los datos personales no pueden considerarse una mercancía. Aunque el interesado pueda prestar su consentimiento al tratamiento sus datos personales, no puede comerciar con sus derechos fundamentales en virtud de dicho acuerdo”.
68. LITMAN, J., “Information Privacy/Information Property”, Standford Law Review, vol. 52, May 2020, pp. 1283-1313, censura el tratamiento de los datos como propiedad y promueve otro basado en la responsabilidad extracontractual (tort).
69. En EE.UU., la privacidad de los datos no se considera como parte del derecho fundamental a la intimidad. La privacidad de los datos se protege en función de las situaciones. En algunos casos la normativa obliga a las a las empresas que recogen datos a introducir medidas de protección y salvaguarda (entre ellos, los sectores sanitarios –HIPAA–, financieros –GLBA y FCR– y comerciales –TCPA, TSR y CAN-SPAM–). Fuera de estos casos, no hay normas explícitas para la protección de la privacidad de los datos. La empresa informa a los consumidores de la recogida de datos y del uso que se hará de ellos permitiéndoles no aceptar. Si se continúa navegando, se acepta implícitamente. A partir de ese momento, los datos quedan en manos de la empresa.
70. En el caso del GATS, “… encompasses any measure of a Member to the extent it affects the supply of a service regardless of whether such measure directly governs the supply of a service or whether it regulates other matters but nevertheless affects trade in services”; Communidades Europeas –Régimen de la importación, venta y distribución de bananos, para. 7.285. En el caso del art. XX GATT, en China– Medidas que afectan a los derechos comerciales y los servicios de distribución respecto de determinadas publicaciones y productos audiovisuales de esparcimiento, WTO/DS363, informe del GE y del OA, adoptados el 19 de enero de 2010, mantuvieron, “should weigh not only the restrictive impact the measures at issue have on imports of relevant products, but also the restrictive effect they have on those wishing to engage in importing, in particular on their right to trade”, para. 7.788.
71. En lo que concierne a los aranceles de las transacciones electrónicas, Declaración sobre el comercio electrónico mundial, WT/MIN(98)/DEC/2, de 25 de mayo de 1998; sobre la “moratoria”. Tras varias prórrogas bienales, la aprobación de una nueva prórroga debía haberse realizado durante la Conferencia Ministerial en junio 2020, pospuesta 2021. Vid. supra. nota 123.
72. BURRI, M., “The Governance of Data and Data Flows in Trade Agreements: The Pitfalls of Legal Adaptation”, Californa Davis Law Review, 2017, pp. 93-99, señala que el sistema de la OMC no ha sido capaz de adaptarse a las necesidades del comercio digital y de la protección de datos y defiende la absoluta necesidad de adoptar normas específicas.
73. WTO/DS363, nota 70. El asunto hace referencia a las medidas discriminatorias para la venta, distribución y uso de similares productos audiovisuales extranjeros. El recurso a la excepción general (art. XX) sólo es posible cuando la medida infractora resulta necesaria y proporcionada. El OA recordó que “una medida es necesaria cuando está más cerca de ser ‘imprescindible’” que, simplemente, de “realizar una contribución al” objetivo de que se trate; Corea – Medidas que afectan la importación de carne fresca, refrigerada y congelada, WT/DS161/AB/R, de 11 de diciembre de 2000, para. 161.
74. RUOTOLO, G.M., “The EU data protection regime and the multilateral trading system: Where dream and day unite”; QIL Zoom– in, núm. 51, 2018, pp. 15-16.
75. El término “servicios” comprende todo servicio de cualquier sector, excepto los suministrados en ejercicio de facultades gubernamentales.
76. En síntesis, los Estados se obligan a que la aplicación de sus normas relativas al comercio de servicios se realice de forma razonable, objetiva e imparcial.
77. En síntesis, los Estados se comprometen a facilitar, sin discriminación, un marco adecuado para el reconocimiento de los títulos requeridos para la prestación de servicios.
78. Lista de clasificación sectorial de servicios de la OMC, MTN.GNS/W/120, de 10 de julio de 1991.
79. Suministro de un servicio: a) del territorio de un Miembro al territorio de otro (transfronterizo); b) en el territorio de un Miembro a un consumidor de cualquier otro (consumo en el extranjero); c) por un proveedor de servicios de un Miembro mediante presencia comercial en el territorio de otro (presencia comercial); d) por un proveedor de servicios de un Miembro mediante la presencia de personas físicas de un Miembro en el territorio de otro (presencia de personas físicas).
80. Programa de Trabajo sobre el Comercio Electrónico – Informe de Situación al Consejo General, adoptado por el Consejo del Comercio de Servicios el 19 de julio de 1999, S/L/74, de 27 de julio de 1999, para. 4: “… la opinión general fue que el AGCS es tecnológicamente neutro, en el sentido de que no contiene ninguna disposición que haga una distinción entre los distintos medios tecnológicos a través de los cuales puede suministrarse un servicio”. En este sentido también, WT/DS285 Estados Unidos – Medidas que afectan al suministro transfronterizo de servicios de juegos de azar y apuestas; reclamación presentada por Antigua y Barbuda; Informe del Grupo Especial, 10 de noviembre de 2004, (confirmado por el OA, 7 de abril de 2005), señala que, salvo que se especifique otra cosa en la lista, los compromisos relativos a la prestación de un servicio se aplican a todos los medios; incluido Internet; para. 6.285.
81. “A reserva de que las medidas enumeradas a continuación no se apliquen en forma que constituya un medio de discriminación arbitrario o injustificable entre países en que prevalezcan condiciones similares, o una restricción encubierta del comercio de servicios, ninguna disposición del presente Acuerdo se interpretará en el sentido de impedir que un Miembro adopte o aplique medidas: A) necesarias para proteger la moral o mantener el orden público (únicamente podrá invocarse cuando se plantee una amenaza verdadera y suficientemente grave para uno de los intereses fundamentales de la sociedad) … C) necesarias para lograr la observancia de las leyes y los reglamentos que no sean incompatibles con las disposiciones del presente Acuerdo, con inclusión de los relativos a: i) la prevención de prácticas que induzcan a error y prácticas fraudulentas o los medios de hacer frente a los efectos del incumplimiento de los contratos de servicios; ii) la protección de la intimidad de los particulares en relación con el tratamiento y la difusión de datos personales y la protección del carácter confidencial de los registros y cuentas individuales; iii) la seguridad …”.
82. RUOTOLO, G.M., “The EU data protection regime…”, op. cit., p. 20.
83. WT/DS285, nota 80, Informe del GE para. 6.331. Confirmando que la prohibición total puede ser el efecto de un conjunto de medidas, y que éstas deben estar debidamente identificadas, Informe del OA, paras. 124-126.
84. La actual lista de compromisos específicos de la UE, GATS/SC/157, de 7 de mayo de 2019, p. 123 servicios de telecomunicaciones; p. 150 y 176 (particularidades de países) y 190, servicios financieros.
85. Lista de compromisos específicos UE, p. 75. Salvo Eslovaquia, Letonia y Malta.
86. Lista de compromisos específicos UE, p. 123. Con la excepción de Chipre y Malta en el comercio transfronterizo.
87. Lista de compromisos específicos UE, p. 75, con excepción de Malta.
88. Lista de compromisos específicos UE, p. 123. En el caso de las telecomunicaciones, con la excepción de Chipre y Malta en el comercio transfronterizo.
89. RUOTOLO, G.M., “The EU data protection regime…”, op. cit., p. 26 y IRION, K., YAKOLOEVLA, S. y BARTI, M., Trade and Privacy: Complicated Bedfellows? How to Achieve Data Protection-proof Free Trade Agreements?, IVIR, 2016, p. 30.
90. WT/DS285, supra, en el ámbito de la protección de la moral y el orden público (art. XIV.a GATS). Mientras que el Informe del Grupo Especial aceptó la existencia de necesidad y consideró suficiente a estos efectos la invitación a celebrar de consultas entre Antigua y EE.UU., el OA, ratificando la existencia de necesidad, no aceptó que esta última constituyera una medida alternativa “porque las consultas, por definición, constituyen un proceso cuyos resultados son inciertos”, para. 317 y, no habiéndose propuesto ninguna otra medida alternativa, se cumplió con el requisito de necesidad.
91. Ibid. Mientras el Grupo Especial señaló la existencia de discriminación, el OA, introduciendo correcciones por razón del alcance de la conclusión, confirmó (parcialmente) la existencia de tal discriminación; para. 369.
92. IRION, K., YAKOLOEVLA, S. y BARTI, M., Trade and Privacy…, op. cit., pp. 38-39.
93. Las medidas deben ser i) relativas al suministro de servicios destinados directa o indirectamente a asegurar el abastecimiento de las fuerzas armadas; ii) relativas a las materias fisionables o fusionables o a aquellas que sirvan para su fabricación; iii) aplicadas en tiempos de guerra o en caso de grave tensión internacional.
94. Rusia – medidas relativas al tráfico en tránsito, WT/DS512/r adoptado el 26.4.2019, paras. 97.108-97.109.
95. Arts. 3.4 y 7, y 11 del Entendimiento sobre Solución de Diferencias (ESD).
96. En el asunto WT/DS567 (actualmente en apelación), Arabia Saudita – Medidas relativas a la protección de derechos de propiedad intelectual, Informe del GE de 16 de junio de 2020, alegó esta circunstancia, pero la insuficiencia de los fundamentos de la pretensión, en la que se incluían argumentos relativos a la infracción de normas de la OMC, llevó a considerar el asunto como enjuiciable; para. 7.17 y 18. El Informe del GE del GATT (no adoptado), Estados Unidos – Comercio nicaragüense, L/6053, 13 de octubre de 1986, se negó a formular recomendaciones por no esgrimirse infracción del Acuerdo en una situación de embargo comercial bilateral.
97. Vid. nota 62.
98. https://ustr.gov/trade-agreements/free-trade-agreements/trans-pacific-partners-hip/tpp-full-text. El actual Comprehensive and Progressive Agreement for Trans-Pacific Partnership (CPTPP), 8 de marzo de 2018, del que forman parte Australia, Brunei Darussalam, Canadá, Chile, Japón, Malasia, México, Perú, Nueva Zelanda, Singapur y Vietnam; http://www.sice.oas.org/Trade/TPP/CPTPP/Spanish/CPTPP_Index_s.asp. Vietnam se unió en enero 2019 y cuenta con un período de 2 años antes de que el capítulo de solución de diferencias en materia de comercio electrónico le sea aplicable.
99. https://ustr.gov/trade-agreements/free-trade-agreements/trans-pacific-partnership/tpp-full-text.
100. https://ustr.gov/trade-agreements/free-trade-agreements/united-states-mexico-canada-agreement/agreement-between.
101. http://cbprs.org/. Vid. también notas 60 a 62.
102. U.S.-Japan Digital Trade Agreement, de 7 de octubre de 2019, https://ustr.gov/sites/default/files/files/agreements/japan/Trade_Agreement_between_the_United_States_and_Japan.pdf.
103. Nuevo acuerdo de asociación (partenariado económico) UE-México (que sustituirá al del año 2000); https://trade.ec.europa.eu/doclib/press/index.cfm?id=1833; pendiente de la culminación del proceso de ratificación para su entrada en vigor; Acuerdo UE-Australia, actualmente en negociación, art. 6.4 (capítulo II) https://trade.ec.europa.eu/doclib/press/index.cfm?id=1865. Sin embargo, el Acuerdo Económico y Comercial Global entre Canadá y la UE y sus EM (CETA), DO L 11, de 14 enero de 2017, no incluye estas definiciones.
104. Por ejemplo, en el UE-Canadá, art. 16.1, nota 103. En la era digital, los proveedores de servicios de telecomunicación han expandido su actividad alcanzando a los servicios de Internet. De ahí que se haya señalado la conveniencia de revisar y reforzar esta regulación con el fin de asegurar la competencia, FEFER, R. F., Internet Regimes and WTO E-Commerce Negotiations, US Congressional Research Service, R.46198, January 2020, p. 4.
105. Acuerdo de asociación económica UE-Japón, en vigor desde el 1 de enero de 2019, http://trade.ec.europa.eu/doclib/press/index.cfm?id=1684.
106. No se hace, sin embargo, referencia al art. XIV GATS. Esta excepción aparece en los mismos términos en el Acuerdo UE-Mercosur, de 28 de junio de 2019, pero ubicada el título sobre comercio de servicios y establecimiento, sección de disposiciones finales y excepciones (4). La sección sobre comercio electrónico (6) no contiene referencias a los datos personales. https://trade.ec.europa.eu/doclib/press/index.cfm?id=2048.
107. Vid. nota 24.
108. Acuerdo de libre comercio y promoción de inversiones, firmado el 19 de octubre de 2018, DO L 294, de 14 de noviembre de 2019, en vigor desde el 21 de noviembre de 2019.
109. DO L 186/44, de 12 de junio de 2020, en vigor desde el 1 de agosto de 2020.
110. Vid. nota 103.
111. Se trata de la determinación de la ley aplicable a la transferencia de datos personales (lex originis). En esta línea, el capítulo 10, sobre entrada temporal establece las partes se facilitan la información sobre entrada temporal de empresarios siempre conforme a sus propias normas en materia de privacidad y protección de datos (art. 10.4.2).
112. Así, por ejemplo, art. 10.4.1 (para entrada temporal).
113. Acuerdo de comercio y cooperación UE-Reino Unido, DO L 149, de 30 de abril de 2021. https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX%3A22021A0430%2801%29&from=EN.
114. Vid. nota 24.
115. Vid. nota 103. https://trade.ec.europa.eu/doclib/press/index.cfm?id=1833. El actualmente vigente Acuerdo de asociación económica, DO L 276, de 28 de octubre de 2000, contempla la protección de datos (art. 51) conviniendo establecer un marco de cooperación para “prevenir los obstáculos a los intercambios que requieran la transferencia de datos personales” (arts. 20 y 41) conforme a los estándares internacionales y los marcados por el Derecho de la UE (Anexo V).
116. Ibid. En esta línea, el Anexo X-7 sobre comercio transfronterizo en materia de servicios financieros señala expresamente que los datos personales de las informaciones y datos financieros serán tratados conforme a la ley mexicana que los regule. Por lo demás, el Acuerdo excluye ciertos sectores de los compromisos adquiridos en materia de comercio digital (art. 1.4).
117. Vid. nota 103.
118. https://trade.ec.europa.eu/doclib/docs/2018/december/tradoc_157581.pdf. Nueva Zelanda cuenta con la autorización de la Comisión para la transferencia de datos desde la UE, vid. nota 24.
119. Como en el caso del de México, nota 103, excluyen ciertos sectores de la conclusión de contratos por medios electrónicos (art. 9.2). Vid. también el caso de las negociaciones con Australia, nota 103, y Nueva Zelanda, nota 117.
120. The Parties are committed to ensuring cross-border data flows to facilitate trade in the digital economy. To that end, cross-border data flows shall not be restricted between the Parties by: a) requiring the use of computing facilities or network elements in the Party’s territory for processing, including by imposing the use of computing facilities or network elements that are certified or approved in the territory of the Party; b) requiring the localisation of data in the Party’s territory for storage or processing; c) prohibiting storage or processing in the territory of the other Party; d) making the cross-border transfer of data contingent upon use of computing facilities or network elements in the Party’s territory or upon localisation requirements in the Party’s territory.
121. Comunicado de Prensa del 15 de junio de 2021, La UE y los Estados Unidos ponen en marcha el Consejo de Comercio y Tecnología para liderar la transformación digital mundial basada en valores, https://ec.europa.eu/commission/presscorner/detail/es/IP_21_2990.
122. FERENCZ, J., Digital Services Trade Restrictiveness Index (STRI), OECD Trade Policy Papers, núm. 221, 2019, que identifica, cataloga y cuantifica barreras al comercio digital de servicios de datos en 44 países, entre 2014 y 2018, pp. 6-10.
123. Information Technology Agreement (ITA), Declaración Ministerial sobre Comercio y Productos de las Tecnologías de la Información, WT/MIN(96)/16, 13 de diciembre de 1996. Como resultado de la Conferencia Ministerial de Nairobi, 2015, se amplió el número de productos. Actualmente, 82 miembros de la OMC han suscrito este acuerdo y, desde 2000 (G/IT/19, de 13 de noviembre de 2009; Programa de trabajo sobre medidas no arancelarias) se debate sobre su extensión a las barreras no arancelarias (declaraciones de conformidad, etiquetado y transparencia). Vid, Informe (2019) del Comité de Participantes sobre la Expansión del Comercio de Productos de Tecnología de la Información, G/L/1334, de 5 de noviembre de 2019. La UE ha solicitado la celebración de consultas con India en el marco del procedimiento de arreglo de controversias de la OMC pues comenzó a imponer tarifas a algunos productos de tecnologías de la información y comunicación; WTO/DS582. Otros países se han sumado (EE.UU. y otros cinco más).
124. Vid. nota 74. Además de algunos países en desarrollo como Indonesia, India y Sudáfrica se oponen a la prórroga. WT/GC/W/747, de 13 de julio de 2018. La situación actual de la moratoria es, cuando menos, dudosa.
125. WT/L/274, de 30 de septiembre de 1998. Se encargan de su aplicación: el Consejo del Comercio de Servicios; el Consejo del Comercio de Mercancías; el Consejo de los ADPIC; y el Comité de Comercio y Desarrollo.
126. WUNSCH-VINCENT, S., WTO, E-commerce, and Information Technologies: From the Uruguay Round through the Doha Development Agenda, A Report for the UN ICT Task Force, MCINTOSH, J., Ed. Markle Foundation, 2004, pp. 1-2, agrupa los bienes y servicios tecnológicos en cinco categorías: 1) bienes tecnológicos; 2) servicios de infraestructuras; 3) servicios prestados electrónicamente; y 4) productos digitales.
127. WT/MIN(17)/60, de 13 de diciembre de 2017.
128. WT/L/1056, de 25 de enero de 2019.
129. Inicialmente, 71. A julio de 2021, son 86, contando los 27 Estados miembros de la UE. A título ilustrativo, participan tanto Guatemala, Colombia, Filipinas, Costa de Marfil, Kenia, etc. Los patrocinadores de la negociación son Australia, Japón y Singapur.
130. India no apoya la continuación de la “moratoria”, vid. nota 124, y, además, el 14 de mayo de 2019, Japón inició contra ella una disputa por imponer aranceles a productos tecnológicos en violación del ITA; WT/DS584.
131. Entre otros, JOB/GC/94 US; /97 EU; /98 Brasil; /99 países MIKTA (México, Indonesia, Corea del Sur, Turquía y Australia); /110 China y Pakistán. Por su parte /96 Japón et al. y /101/Rev.1, Singapur et al., no incorporan referencia alguna a la privacidad.
132. YAKOVLEVA, S., “Privacy Protection(ism): The Latest Wave of Trade Constraints on Regulatory Autonomy”, U. Miami L. Rev. vol. 74, 2020, p. 416, https://repository.law.miami.edu/umlr/vol74/iss2/5.
133. FEFER, R.F., Internet Regimes and WTO…, op. cit., pp. 10-11.
134. Consejo de la UE, Una nueva agenda estratégica 2019-2024, junio 2019, p. 4, https://www.consilium.europa.eu/media/39964/a-new-strategic-agenda-2019-2024-es.pdf: “La transformación digital se seguirá acelerando y tendrá repercusiones de gran alcance. Debemos garantizar que Europa … obtenga la parte del beneficio que le corresponde en esta evolución. … Para ello, la UE debe trabajar en todos los aspectos de la revolución digital y la inteligencia artificial: infraestructuras, conectividad, servicios, datos, reglamentación e inversión. Ello debe ir acompañado por el desarrollo de la economía de los servicios y por la integración de los servicios digitales”.
135. FEFER, R.F., Internet Regimes and WTO…, op. cit., p. 11. Se entiende por autoritarismo digital una forma de controlar a la población nacional; el “gran cortafuegos” (Great Firewall), que bloquea o censura páginas web extranjeras.
136. Ibid, p. 9.
137. United States, Joint Statement on Electronic Commerce, WTO/INF/ECOM/23, de 26 de abril 2019. JOB/GC/94, de 4 de julio de 2016.
138. China, Declaración conjunta sobre el comercio electrónico; WTO/INF/ECOM/19, de 23 de abril de 2019, paras. 3.9 y 4.1, y WTO/INF/ECOM/40, de 23 de septiembre de 2019 (acceso restringido).
139. Propuesta de la UE sobre Disciplinas y Compromisos relativos al comercio electrónico, INF/ECOM/22, de 26 de abril de 2019, paras. 2.7-2.8.
140. Vid. notas 103 y 118, en concreto, Australia y Nueva Zelanda.
141. Vid. nota 96.
142. Vid. por ejemplo, Brasil, Declaración conjunta sobre el comercio electrónico, WT/INF/ECOM/27, de 30 de abril de 2019, secciones VII y VIII.
143. Civil society letter against digital trade rules in the WTO; de 1 de abril de 2019, https://www.somo.nl/civil-society-letter-against-digital-trade-rules-in-the-world-trade-organization-wto/.
144. KILIC, B. y AVILA, R. Opening Spaces for Digital Rights Activism; report, 30 de enero de 2019, y Statement de Public citizen digital rights program, 31 de octubre de 2019. Bureau Européen des Unions de Consummateurs (BEUC), Recommendations on WTO e-Commerce Negotiations, BEUC/AISBL, de 29 de marzo de 2019, pp. 6-7.
145. Summary of points raised by consumers groups, https://www.wto.org/english/news_e/news19_e/summary_of_points_raised_trdia_06may19_e.pdf.
146. FEFER, R.F., Internet Regimes and WTO…, op. cit., p. 13.
147. En esta línea, servicios de alojamiento en la nube como Gaia-X, proyecto francoalemán (políticos, empresarios y científicos) que cuenta con la participación de otros Estados y la UE; https://www.data-infrastructure.eu/GAIAX/Navigation/EN/Home/home.html; y Nextcloud, https://nextcloud.com/about/.
148. KUNER, C., “Reality and Illusion in EU Data Transfer Regulation Post Schrems”, German Law Journal, vol. 18, núm. 4, 2017, pp. 881-918, p. 917.