Schrems II: El traje nuevo del Emperador
Sentencia Schrems II, 16/07/2020 del Tribunal de Justicia de la Unión Europea: conclusiones de urgencia:
I.- Se han impugnado, pero no se han anulado, las cláusulas contractuales tipo,
Siguen siendo válidas PERO:
- Se imponen como nuevas cargas al Responsable exportador de datos (i) el análisis y valoración del nivel de adecuación de la normativa del país de destino (en la práctica esto supone una especie de “due diligence” sobre la normativa del país de referencia: el importador de datos debe colaborar y asesorar sobre este punto) y (ii) la obligación de estipular medidas de seguridad adicionales hasta alcanzar el estándar europeo.
- Además las Autoridades competentes también podrán cuestionar la validez de estas cláusulas tipo en relación con países concretos, y ordenar la paralización de flujos de datos autorizadas con base en las mismas.
- Por último los modelos actuales están adaptados a la antigua Directiva, no al RGPD y serán sustituidas muy pronto. De inmediato volveremos sobre este punto.
II.- Se ha anulado el Privacy Shield sin período de transición ni moratoria alguna (el marco pactado entre la Comisión Europea y los EEUU para garantizar que los datos personales de los europeos tratados en territorio USA fueran protegidos con unas garantías análogas a las europeas): El tribunal declara que las medidas adicionales acordadas no alcanzan el estándar europeo de protección de DFs.
Consecuencias prácticas de Schrems II:
Todos los flujos amparados en el Privacy Shield se han quedado sin soporte legal y, en rigor, deberían suspenderse.
No se ven ahora mismo alternativas de cumplimiento plenamente satisfactorias :
- Asegurarse de que los datos personales se “mueven” a servidores ubicados en territorio europeo (cambiando o no de proveedor). Somos conscientes de las dificultades operativas de hacer esto rápidamente en la mayoría de los casos.
- Recabar el consentimiento explícito a todos y cada uno de los titulares de datos tratados, en relación con el tratamiento de sus datos en un país cuya normativa no los protege igual que la UE. Lo cierto es que el consentimiento que se obtengas en estas circunstancias no está nada claro que sea “libre”, como exige el RGPD.
- Suscribir con el importador clausulas tipo “nuevas”: Esperar y ver el siguiente movimiento de la UE: se anuncia un nuevo formato de cláusulas tipo que se espera tenga en cuenta el contenido de esta sentencia. Estas cláusulas no están aún disponibles y, cuando lo estén, se deberán firmar con la empresa importadora de datos.
- Suscribir con el importador clausulas tipo “mejoradas”: Tratar de negociar y firmar con la empresa importadora de datos un acuerdo basado en las actuales cláusulas tipo, pero mejoradas para “compensar” las “deficiencias” de la normativa norteamericana.
Esto, al menos, en la teoría. En el caso norteamericano, en la medida en que esas deficiencias radican en temas de seguridad nacional, no parece practicable que medidas acordadas entre empresas sean realmente efectivas en este sentido.
(Para que se entienda mejor: una empresa no puede pretender haber “compensado” la protección de los datos de clientes al acordar –si quisieran acordarlo, claro- con Zoom o Mailchimp que estos no entreguen datos personales de europeos si se los reclama la NSA o la CIA de acuerdo con la normativa norteamericana, o que los europeos puedan reclamar judicialmente esos accesos a datos y justo ese ha sido el problema con el Privacy Shield. Simplemente esas cláusulas aun firmadas sólo serían “papel mojado”).
Como formato base, están las cláusulas tipo generadas por la Agencia de Protección de Datos danesa y aprobadas por el Comité Europeo de Protección de Datos. No son la solución perfecta, santificada por la Comisión Europea, pero la anulación consecutiva del Safe Harbour y del Privacy Shield han demostrado que el “visto bueno” de la Comisión no garantiza absolutamente nada.
- Las “excepciones excepcionales” del art. 49 RGPD. (contratos puntuales, intereses imperiosos, ejercicio o defensa de acciones judiciales…) Ojo con estas: han sido previstas como excepcionales y sobre las que el CEPD ha advertido de forma clara que no pueden pretender amparar flujos de datos masivos y recurrentes: sólo puntuales y episódicos.
Nuestra valoración:
El Safe Harbour primero y el Privacy Shield después, han sido revelados por Snowden el TJUE como lo que siempre han sido: dos trajes nuevos para el emperador (donde el emperador en porretas hemos sido siempre los pobriños ciudadanos europeos).
Ahora que Schrems II ha puesto de manifiesto que la Comisión no se dejó exactamente los piños luchando por nuestros derechos, hay que desear que las autoridades de cumplimiento no se empleen a fondo ahora sancionando a las pobres empresas que ya no saben qué hacer para poder cumplir.
Cada día que pase sin hacer nada formalmente es un día de incumplimiento pero toda Europa está igual, y parece complicado que la Agencia se ponga a sancionar indiscriminadamente a todas las empresas «en pecado» (hoy el 99,9%).
Jorge García Herrero
Abogado y Delegado de Protección de Datos.