En aquest apunt faré una breu exposició de com ha quedat la regulació de les transferències internacionals de dades (TID) després de la sentència, del mes de juliol, del Tribunal de Justícia de la Unió Europea (TJUE) en l’assumpte C-311/18, Data Protection Comissioner contra Facebook Ireland i Maximilliam Schrems, l’anomenat "cas Schrems II".
És un tema força complex que requereix una anàlisi molt detallada i exhaustiva, que no és l’objecte d’aquest apunt, que només busca fer un breu recorregut pel “camí de carros” en què s’han convertit les TID.
En aquest context, les TID suposen una part molt important dels tractaments de dades personals realitzats per les organitzacions; sigui de forma directa quan es transfereixen dades a una tercera entitat perquè les utilitzi per a finalitats pròpies (un responsable del tractament), o sigui indirectament en contractar un encarregat del tractament que té els servidors ubicats fora de la Unió Europea.
El Reglament general de protecció de dades (RGPD), en el capítol IV, regula de manera exhaustiva i complexa els mecanismes per fer transferències internacionals; entre aquests, la possibilitat de transferir dades a un tercer país quan hi hagi una decisió d’adequació de la Comissió Europea (mecanisme que ja existia en la Directiva 95/46/CE).
En el cas dels Estats Units, la Comissió Europea, amb la Directiva 95/46/CE, va adoptar la Decisió 2000/520 sobre els principis de Safe Harbour, que servia de fonament per a les transferències a aquest país. Aquesta Decisió va ser declarada invàlida l’octubre del 2015, i va generar una situació força complicada, amb un alt grau d’inseguretat jurídica, per a les organitzacions que basaven les seves TID en aquest mecanisme. Finalment, al juny del 2016, la Comissió Europea va publicar la Decisió 2016/1250 sobre la protecció conferida pel Privacy Shield UE-EUA, que va obrir una nova via per a les TID als EUA. Aquesta nova eina va ser fortament criticada, ja que es considerava que no cobria el nivell de protecció que exigia el RGPD.
Així ho ha constatat la sentència Schrems II, que declara invàlid el Privacy Shield, que no atorga cap període de gràcia i genera, de nou, una gran confusió a escala mundial. Cal afegir-hi que, si bé la sentència es refereix a les transferències als EUA, afecta la resta de TID, ja que entra en l’anàlisi de la validesa de les clàusules contractuals tipus (CCT), regulades per la Decisió 2010/1987 de la Comissió Europea. Tot i que el TJUE les considera vàlides, exigeix a l'exportador i l'importador que efectuï una avaluació de la transferència concreta i que, tenint en compte les seves circumstàncies, determini si cal aplicar mesures complementàries i quines cal implementar, perquè les lleis del país de destí no afectin el nivell de la protecció atorgada. Per tant, apareix el principi de responsabilitat proactiva, també, en el moment de regular les TID mitjançant CCT; és a dir, cal que s’analitzi l’efectivitat pràctica de les garanties regulades més enllà de la lletra dels contractes.
Aquesta sentència ha estat considerada pel Comitè Europeu de Protecció de Dades (CEPD) un pas important per a la garantia del dret a la protecció de dades personals, i recorda i assumeix la necessitat de trobar un marc efectiu de garantia per als drets de les persones en el context de les TID.
El CEPD és també conscient de les dificultats que genera el cas Schrems II i, el mateix juliol, ja va publicar un llistat de preguntes freqüents sobre com aplicar els criteris establerts per la sentència.
En el cas dels EUA, la invalidació de la Decisió 2016/1250 comporta que les TID a aquest país s'han d'efectuar mitjançant un altre dels mecanismes regulats pel RGPD, com poden ser les clàusules contractuals tipus (CCT) que, com dèiem, el TJUE considera vàlides, però amb certs matisos.
El CEPD, conscient de la complexitat de l’avaluació que cal fer a partir de la sentència, acaba de publicar dues recomanacions: la Recomanació 1/2020 sobre mesures per complementar els mecanismes de TID i garantir que es compleix el nivell europeu de protecció de dades (en consulta pública fins al 30 de novembre) i la Recomanació 2/2020 sobre garanties europees essencials de les mesures de vigilància.
La Recomanació 1/2020, concretament, vol ajudar els exportadors (responsables o encarregats del tractament, entitats públiques o privades, etc.) en el procés d’anàlisi de la regulació de tercers països i en la determinació de les mesures complementàries que cal aplicar per garantir un nivell adequat de protecció de dades.
Per fer la valoració, ha establert una sèrie de passos i exemples a seguir:
- Identificar i precisar les TID (mapejar). Inclou també les TID ulteriors.
- Identificar el mecanisme legal que serveix de base a cada TID.
- Analitzar, en el context de la TID concreta, si existeix en el tercer país alguna norma que impedeixi a l'importador de complir les obligacions regulades en el mecanisme que fonamenta la TID, si es dona alguna circumstància que afecti l’efectivitat de les mesures de garantia establertes.
En aquest pas, es fa esment de la Recomanació 2/2020, per avaluar la llei del tercer país respecte de les mesures de vigilància, que proporciona elements per avaluar si el marc jurídic que regula l'accés a les dades personals per part de les autoritats públiques del tercer país és una ingerència justificable i no afecta els compromisos assumits.
- Identificar i implementar mesures complementàries. Aquestes mesures poden ser tècniques, jurídiques o organitzatives, per exemple, l'encriptació, la pseudonimització o regular obligacions de transparència específiques.
- Adoptar qualsevol procediment formal que exigeixi les mesures complementàries adoptades, per exemple, consultar l’autoritat de protecció de dades.
- Revaluar el nivell de protecció en intervals apropiats.
Aquestes recomanacions van ser publicades l'11 de novembre, així que caldrà analitzar-les amb deteniment per veure si, realment, serveixen als exportadors i importadors de dades en la tasca d’avaluació i de compromís amb els drets de les persones que el RGPD exigeix a qualsevol que tracti dades personals.