Transferencia internacional de datos. Recomendaciones 1/2020
Indice
Transferencias internacionales de datos en las Recomendaciones 1/2020: «menos lobos»
El pasado 18 de junio el EDPB (El Consejo Europeo de Protección de Datos) aprobó una tranquilizadora versión definitiva de sus Recomendaciones 1/2020 para la aplicación de medidas adicionales a los mecanismos de transferencia internacional de datos de acuerdo con el capítulo V del RGPD.
Recordemos que la versión inicial nos había dejado los Schrems como platillos.
Estas recomendaciones establecen desde noviembre de 2020 la necesidad de hacer una TIA («Transfer Impact Asessment»), es decir, una evaluación del impacto de la posibilidad de que, para entendernos, la NSA, el FBI u otra agencia de inteligencia de EEUU u otro estado a donde «exportemos» nuestros datos, pudiera obtener, conforme a su propia legislación acceso a los datos transferidos.
Resumiendo: cuando la legislación del estado importador permite a sus autoridades de inteligencia exigir (u obtener por sus propios medios) acceso a tus datos a la empresa importadora (la que tú contratas, p. ej: Google) sin transparencia, sin respetar los principios de necesidad y proporcionalidad, sin sujeción a la revisión de una autoridad independiente, y sin que los interesados puedan obtener tutela de sus derechos en caso de infracción, esa legislación será «problemática».
Como veremos, lo importante es cómo interpretemos esto de «la posibilidad de acceso». Llevamos tantos meses mareando con el tema que es normal que el sector no datístico (y también buena parte de la profesión haya tirado la toalla).
The roadmap para la transferencia internacional de datos en las Recomendaciones 1/2020
Las Recomendaciones 1/2020 platean un procedimiento en seis etapas. Estas:
Hay mucha, pero mucha tela que cortar en esta versión definitiva de las Recomendaciones 1/2020, pero lo más interesante es:
- El EDPB se ha visto forzado a recular dramáticamente desde su posición inicial, y «a cambio», obliga al exportador a un esfuerzo de racionalización y documentación que dé la medida de su responsabilidad y aporte seguridad al conjunto.
- Se da ahora mucha relevancia el factor de la “aplicación en la práctica” de la “legislación problemática” de vigilancia del estado importador.
- Y sin embargo, la clave de bóveda de la «TIA» no es esa. Es (siempre fue) si la legislación problemática aplica o no a tu transferencia. Y por qué.
Grandes novedades en la etapa 3
La etapa 3 del procedimiento es la más importante, y la que más cambios ha sufrido.
Responde al principio general que infiere todo el RGPD en general, y su Capítulo V en particular: los mecanismos de transferencia en la práctica, deben garantizar que los datos personales de los interesados están tan protegidos en los estados importadores como bajo el imperio directo del RGPD.
En este sentido, son los cambios introducidos en esta sección los que más ha llamado la atención: ha cobrado mucha relevancia el factor de la “aplicación en la práctica” de la “legislación problemática”.
Este factor puede jugar a favor o en contra del resultado de la TIA, como vemos a continuación.
Dentro de los cambios introducidos se distinguen tres casos o situaciones. Los dos primeros casos son similares y sólo dejan dos opciones al exportador. El novedoso es el tercero.
Pero veámoslo con dibujitos:
Primer caso:
La normativa del estado importador no parece problemática en términos de respeto a derechos fundamentales, necesidad y proporcionalidad, pero su aplicación en la práctica de inspección y requerimientos de acceso por parte de las autoridades del estado importador manifiestamente transgrede dicha normativa. Como ejemplo, piense en la primera dictadura que le venga a la cabeza.
Opciones: La organización exportadora (hablamos de la suya) en este caso debe o bien suspender la transferencia internacional de datos o bien aplicar salvaguardias adicionales suficientes como para garantizar que el mecanismo elegido de transferencia sea efectivo en la práctica (fundamentalmente: cifrado sólido y custodia de claves criptográficas fuera del alcance del importador).
Esta sería mi representación gráfica de esas dos opciones:
Recordemos que las propias Recomendaciones 1/2020 recuerdan a través de dos ejemplos prácticos que si tu organización:
Ninguna medida adicional permitiría compensar la aplicación de una «legislación problemática» si necesitas alojar en una nube de un estado importador datos para la prestación de un servicio que requiera la lectura de dichos datos (es decir, que en este caso el servicio no se puede prestar sobre datos cifrados, y el ejemplo es servicios de RRHH como la elaboración de nóminas), simplemente no habrá manera de que el Gobierno malote acceda a tus datos si se lo propone.
Segundo caso:
No existe normativa publicada o la que existe o está disponible, no es significativa o suficiente como para realizar nuestra TIA. De ahí el icono del muñeco que se encoge de hombros. El EDPB apunta que en este caso no se puede uno conformar con la «aparente bondad» del ordenamiento y se deben investigar las prácticas en la materia de las autoridades del estado importador. Y si este hace de su capa un sayo, estamos en las mismas.
Opciones: Las mismas opciones que antes (suspensión de la transferencia internacional de datos, o medidas adicionales eficaces para garantizar los derechos de los interesados).
Tercer caso:
La gran novedad de las Recomendaciones está en el tercer supuesto planteado, que es (y así lo ha explicado Ignacio Gómez Navarro desde la Secretaría del EDPB), aunque no se cite explícitamente en el texto, el de los EEUU de Norteamérica:
Existe indudablemente una “normativa problemática” en comparación o a la luz del nivel con la protección vigente en la UE (necesidad, proporcionalidad en los accesos a datos personales, posibilidad de solicitud de tutela de derechos ante una autoridad independiente).
Pero hete aquí que la normativa problemática prevé términos indeterminados potencialmente muy amplios en caso de interpretación extensiva.
En este caso, el exportador debe, con la ayuda del importador, investigar cómo se aplica dicha normativa en la práctica para poder concluir de forma objetiva y acreditable si tal normativa aplica o no a su transferencia internacional de datos.
Y caben tres opciones: (i) suspender o (ii) aplicar medidas adicionales como antes.
Pero además aquí se permite al exportador (iii) continuar el flujo de datos acogiéndose a un mecanismo de transferencia (típicamente, cláusulas tipo o normas corporativas vinculantes), sin medida adicional alguna, bajo su responsabilidad, siempre que su “overall asessment” (esta tercera etapa de la TIA) concluya que puede hacerlo.
Es muy significativo que la opción de “continuar tu transferencia comunicándolo a la autoridad competente” prevista en las FAQs de julio haya desaparecido, Esa opción venía a ser algo así como un «la Sentencia Schrems II no prevé moratoria PERO».
Y no se sabe muy bien qué pasa ahora con:
- Quien haya continuado y comunicado su transferencia (tendrá que seguir ahora estas Recomendaciones 1/2020 ¿retroactivamente?).
- Quien haya continuado y no comunicado su transferencia (tendrá que justificar ese gap y seguir las Recomendaciones 1/2020 ¿retroactivamente?).
Mis problemas con las TIAS
Como decíamos al principio, la clave de bóveda es (siempre fue) si la legislación problemática aplica o no a tu concreta transferencia.
Y por qué.
Y puede ser por muchas razones.
Algunas de ellas se desarrollan en las Recomendaciones. Otras sólo se mencionan sólo de pasada.
Entre ellas, a mi juicio la principal es de cajón: hay que estudiarse bien la “legislación problemática”. O contar con alguien que sea experto en el tema. Por aquí hemos hecho las dos cosas.
Si lo piensan ustedes con tranquilidad, casi nunca la «legislación problemática» va a afectar a todas tus transferencias de datos.
Este planteamiento les permite acotar drásticamente (quizá eliminar) su zona de riesgo. Y su inversión en cifrado robusto o reubicación de datos.
Se ponga como se ponga el EDPB.
Desarrollé este planteamiento en una charleta en el Club del DPD de la AEC el próximo 6 de julio (son unos 50 minutos, desde el minuto 12:25, pero no tireis la toalla todavía: el 90% de las slides son memes para dejar bien masticado el contenido).
Si necesitas ayuda es esta complicada materia, contáctanos.
Jorge García Herrero
Abogado y Delegado de Protección de Datos