Artículo 49 del RGPD: ¿un antídoto para las transferencias internacionales de datos en la era post Privacy Shield?
Tras la Sentencia del Tribunal de Justicia de la Unión Europea, de 16 de julio de 2020 en el asunto C-311/18 (“Schrems II”), la consecuente anulación de la decisión de adecuación de la Comisión Europea denominada Privacy Shield y el cambio de tendencia interpretativa del European Data Protection Board (“EDPB”) respecto de las transferencias internacionales de datos, la incertidumbre desatada en el mercado no ha hecho sino crecer paulatinamente.
La cuestión fundamental que se plantea es: ¿cómo efectuar diligentemente transferencias internacionales de datos personales cuando estas son imprescindibles? Si bien es cierto que no se puede hablar con propiedad de vacío legal, es evidente que la situación se complica sustancialmente cuando (como en la gran mayoría de los supuestos) nos encontramos ante transferencias de datos desde la Unión Europea hacia los Estados Unidos.
Por un lado, tenemos al EDPB disponiendo que no basta con aportar salvaguardas contractuales como las Standard Contractual Clauses de la Comisión Europea (ni siquiera las actualizadas), sino que resulta preciso aportar garantías materiales (técnicas y organizativas) que aseguren que los datos personales de ciudadanos europeos sean provistos de un nivel equivalente de protección en los Estados Unidos. Aunque la interpretación del EDPB, por el momento, no es vinculante, la extensa acogida que tienen sus decisiones entre los operadores del mercado (autoridades y responsables) le otorgan un carácter tangencialmente normativo. Del otro lado tenemos el controvertido Federal Intelligence Surveillance Act (“FISA”) que, en su artículo 702, autoriza los programas de vigilancia sobre los datos transferidos hacia los Estados Unidos y resulta de obligado cumplimiento para todos los operadores de datos americanos.
Expuestos estos hechos, se puede comprender que un operador europeo que necesite transferir datos a los Estados Unidos puede encontrarse, de facto, entre la espada y la pared. Es por ello que esta actualidad jurídica, al margen de las múltiples especulaciones (a futuro) sobre las soluciones que traerá la nueva administración presidencial americana, obliga a buscar soluciones parcialmente creativas entre las herramientas que habilita el Reglamento General de Protección de Datos (“RGPD”).
En aquellos supuestos en que no se puedan basar las transferencias en las Standard Contractual Clauses y en ausencia de una decisión de adecuación, cabe dirigir nuestra atención hacia el art. 49 del RGPD.
Tradicionalmente este artículo ha sido tratado con extremada cautela, dado el carácter ciertamente excepcional del que parece estar dotado (“Excepciones para situaciones específicas”). Además, pudiera parecer que el empleo de estas excepciones puede manifestar cierta falta de diligencia o de voluntad proteccionista por parte del responsable. Sin embargo, dada la excepcionalidad de la actualidad en la materia, con ausencia de soluciones fácticas claras, mediante las cuales el responsable diligente pueda materializar su voluntad cumplidora de la norma, nos encontramos ante una situación ideal para la aplicación pacífica del precepto. La propia redacción del artículo parece reforzar esta postura: “En ausencia de una decisión de adecuación de conformidad con el artículo 45, apartado 3 (decisión de la Comisión), o de garantías adecuadas de conformidad con el artículo 46 (garantías adecuadas), incluidas las normas corporativas vinculantes, una transferencia o un conjunto de transferencias de datos personales a un tercer país u organización internacional únicamente se realizará si se cumple alguna de las condiciones siguientes (…)”. Puede desprenderse de su redacción que la ausencia incluye imposibilidad aplicativa; por lo tanto, hay que entender que, en determinadas circunstancias y como ultima ratio, se podría legitimar las transferencias de datos a los Estado Unidos en estas excepciones que establece el art. 49 del RGPD.
En este sentido, el Doctor von Danwitz (magistrado del Tribunal de Justicia de la Unión Europea partícipe de la citada Sentencia “Schrems II”) manifestó el pasado 28 de enero durante un acto de celebración de los 40 años de Día de la Protección de Datos, en el Ministerio de Justicia de Alemania, lo siguiente: “En mi opinión, las oportunidades otorgadas por el art. 49 aún no han sido exploradas en profundidad, creo que no son tan estrechas que restrinjan cualquier tipo de transferencia, especialmente, cuando estamos hablando de transferencias dentro de una corporación o grupo de empresas”. Si bien se trata de la opinión particular de un magistrado, dado el origen de la misma no puede tomarse como un criterio baladí.
Admitiendo eventualmente su aplicabilidad, el art. 49 ofrece soluciones prácticas que pasan, entre otras, por el consentimiento explícito del interesado (informado de los riesgos del tratamiento), la ejecución de un contrato o precontrato y la formulación o la defensa ante reclamaciones. Con carácter esporádico y excepcional, el art. 49 abre incluso la puerta al interés legítimo como base legitimadora de los tratamientos en estos mismos supuestos de hecho.
Esta búsqueda de soluciones alternativas en supuestos excepcionales trae a la memoria ese dicho popular español que predica “la necesidad agudiza el ingenio”. Pero más allá de cualquier ingenio jurídico, lo trascendental es centrar el foco de atención en la mera existencia de la necesidad. Al margen del noble espíritu de salvaguarda del derecho fundamental a la protección de datos perseguido por la Sentecia Schrems II, no se puede desestructurar el equilibrio jurídico de intereses normativos de tal forma que se suprima, casi al completo, el amparo normativo a problemas tan sumamente cotidianos como los aquí planteados. Dicho lo cual, esperemos que los repetidos toques de atención a la nueva tendencia proteccionista calen en legisladores e intérpretes, brindándonos así soluciones jurídicas más equilibradas para estas situaciones de hecho.
Luis Rojas, Legal team, Legal Army