Schrems II

Panorama post Schrems II: ocho notas y una «solución»

 

Para la sentencia Schrems II, «una solución quiero»…

 

1         La defensa de la Unión Europea: un desastre haciendo el fuera de juego

  • La Comisión Europea estaba pendiente del caso Schrems II, pero resulta obvio que no esperaba este pronunciamiento (de otro modo, el nuevo kit de Cláusulas Tipo hubiera sido publicado inmediatamente después).
  • El TJUE, aun consciente del gran impacto de su fallo, al contrario de lo que ocurrió con la anulación del Safe Harbour, no ha previsto ninguna moratoria, al entender que no se creaba ningún vacío legal: el párrafo 202 de la sentencia apunta expresamente a las “derogaciones” o “excepciones” del art 49 RGPD como salida jurídica al entuerto creado.
  • Lamentablemente, parece que en el TJUE no se molestaron en estudiar primero las guidelines del CEPD sobre la aplicación de ese art 49. En ellas, el CEPD repite hasta la saciedad la obligación de aplicar puntualmente e interpretar restrictivamente sus excepciones, reiterando que estas excepciones en ningún caso pueden legitimar flujos recurrentes de datos entre empresas o grupos de empresas. Volveremos aquí en un momentín.

 

Schrems II

2        Adios al Bifrost

 

El Privacy Shield es nulo desde la fecha de la sentencia.

Es importante digerir que no hay moratoria: tu empresa está expuesta.

 

 

3        Aquí no hay quien viva

 

Pero la sentencia “Schrems II” impacta en todos, repito: todos los mecanismos previstos en el capítulo V del RGPD: cláusulas tipo, normas corporativas vinculantes, declaraciones de adecuación anteriores a su fecha, están TODAS sujetas a revisión y bajo sospecha.

 

No hay ningún motivo por el que los exportadores de datos deban considerarse exentos de aplicar la misma dinámica de revisión de adecuación, revisión del concreto mecanismo utilizado y determinación y aplicación de medidas complementarias.

 

Por poner un ejemplo, si uno estudia las “medidas complementarias” previstas en las normas corporativas vinculantes aprobadas tras la aplicación del RGPD en relación con contingencias como las detectadas en la normativa norteamericana, comprobará que resultan irrisorias, cosméticas…

 

Conclusiones:

1.- No copies de ahí.

2.- Veremos lo que duran. Siendo rigurosos -veremos-, no mucho.

 

4        Las cláusulas tipo son válidas pero no te putopilles

 

Las Cláusulas Tipo se declaran expresamente válidas.

No hacía falta: las cláusulas tipo están ahí, por definición, para compensar o asegurar lo que el RGPD asegura, y en cambio, la normativa del estado importador de datos no.

Peeero se concretan ahora las ya conocidas nuevas cargas al exportador:

  • Analizar junto con el importador -antes de iniciar el flujo- las minusvalías normativas concretas del país de destino de datos.
  • Idear y pactar con el importador «medidas adicionales» para apañar o mitigar esas minusvalías.
  • En caso de que las medidas previstas se incumplan o resulte imposible cumplirlas iniciado el flujo de datos, las transferencias de datos deben cesar.

Tales medidas pueden ser técnicas (ojo aquí, que la solución no es simplemente reubicar o cifrar datos) o jurídicas, y el problema con las medidas jurídicas viene cuando te enfrentas a…

Schrems II

5        …Lo imposible

En relación con la normativa USA, mientras que el resto de minusvalías puestas de manifiesto por el TJUE tienen un pasar, la falta de legitimación activa de los ciudadanos europeos para denunciar ante tribunales estadounidenses infracciones de sus derechos cometidas por el Gobierno USA, tiene una solución que manifiestamente escapa a la autonomía contractual de exportador e importador.

Se pueden plantear soluciones (léase «apaños») paralelas, pero es evidente que lo que falta, sólo puede venir de un cambio normativo en la legislación USA. Y voces autorizadas ya han señalado exactamente dónde.

No compren humo: la efectividad de cualquier idea feliz agostí va a depender por completo del (inminente, esperamos) pronunciamiento del EDPB (ver más abajo).

 

6        Pánico en el Edén

Las autoridades de cumplimiento han manifestado una respuesta dispar. Desde las autoridades alemanas que se apresuraron a recomendar que las empresas reubicaran sus datos personales en data centers europeos, hasta la ICO británica que recomendó inicialmente a las empresas afiliadas al Privacy Shield. Posteriormente, matizaría su comunicado.

La Agencia Española únicamente se ha adherido a lo comunicado por el CEPD (del que forma parte) y se ha manifestado de forma neutra.

La Agencia va a seguir trabajando conjuntamente con el resto de Autoridades europeas en una respuesta armonizada a nivel europeo y participará en las labores que se lleven a cabo para adoptar un enfoque común, garantizando así una aplicación consistente de la sentencia en todos los países de la UE.”

 

 

7         Parálisis permanente entre los exportadores de datos

La situación indisoluble en lo jurídico es la que ha provocado la parálisis en todas las empresas afectadas por la sentencia Schrems II (en la práctica: todas).

Todas mapean su árbol de proveedores y subcontratistas extranjeros y poco más, porque nadie ha encontrado la bala de plata.

Conejos hipnotizados por los faros del coche que viene a arrollarles. Un coche que conduce…

Schrems II

8        Mad Max Schrems II

Como guinda del pastel, Max Schrems, hasta ahora una especie de Robin Hood de los derechos de los europeos, ha decidido denunciar a las 101 webs europeas más importantes por tráfico –»curiosamente» excluyendo a los medios de comunicación-, por seguir enviando datos a Facebook y Google, a pesar de la famosa sentencia.

Es obvio, y no lo oculta, que sus objetivos directos no son esas 101 empresas, sino los dos gigantes de la publicidad Google y Facebook y las propias instituciones europeas -que ¡ay! se habían ido tranquilamente de vacaciones dejando la oficina en llamas-.

Pero también es obvio que el movimiento le convierte en prota de una película completamente distinta. Una de esas en las que un grupo de fulanos te ofrecen protección y te sueltan aquello de que o estás con ellos o contra ellos.

Será que, casualmente, Mad Max ha acertado con uno de mis clientes en la denuncia. Será que me ha dado el veranito. Pero no: ya anunció su intención a finales de julio y ya entonces me pareció que, si su objetivo seguía siendo la defensa de los derechos de los europeos, era una estrategia completamente equivocada.

 

9        EDPB que estás en los cielos

Cualquier solución operativa practicable a corto está exclusivamente en manos del EDPB (el TJUE no puede deshacer lo hecho, y la Comisión Europea, más allá de sacar el nuevo kit de cláusulas tipo, tardará muchos meses, ya si eso, en negociar un nuevo Hood Privacy Umbrella en el 21, con el anciano ganador de las elecciones de noviembre en USA).

El EDPB ha anunciado que se pronunciará sobre las “medidas adicionales” plausibles que puedan introducirse como complemento en la negociación de las cláusulas tipo que se firmen en adelante.

Pero: para posibilitar vías operativas de cumplimiento inmediato –digamos, en septiembre- creo que sólo puede hacer una cosa: flexibilizar su lectura de las excepciones del art. 49 RGPD reinterpretando sus guidelines enlazadas en el primer apartado.

Una posibilidad (léase: “mi propuesta”) sería reinterpretar la excepcionalidad de la aplicación de los apartados 49.1.b) y c) RGPD –recordemos: la habilitación excepcional de flujos internacionales necesarios para el cumplimiento de contratos entre responsable e interesado, o entre responsable y tercero-, flexibilizándolas temporalmente: permitir aplicar estos apartados excepcional pero transitoriamente hasta la negociación y firma de unas cláusulas tipo (las actuales o las nuevas que apruebe la Comisión, ya conformes al RGPD) con las medidas adicionales ya visadas por el EDPB, para sustituir al anulado Privacy Shield y resto de mecanismos del capítulo V que caigan en desgracia.

 

10     Su anhelo, deseo o propuesta para el EDPB [aquí]

 

Feliz rentrée!!

 

Jorge García Herrero

Abogado y Delegado de Protección de Datos