Volver

Las complicaciones derivadas de Schrems II.

Publicaciones
21-Jan-21

Habiendo transcurrido seis meses desde que el Tribunal de Justicia de la Unión Europea dictase sentencia en el Asunto C- 311/18, en la comúnmente conocida como «Sentencia Schrems II», la perspectiva temporal nos permite analizar las repercusiones que dicho pronunciamiento han tenido en el mercado.

La consecuencia principal e inmediata de la Sentencia Schrems II fue la invalidación de la certificación de la Comisión Europea que situaba al Privacy Shield como un mecanismo válido para transferir datos personales de ciudadanos de la Unión Europea a los Estados Unidos. Naturalmente, esta decisión tuvo una enorme repercusión en el mercado pues, a grandes rasgos, basta con considerar que la principal exportación de datos de la Unión Europea se produce hacia los Estados Unidos. A pesar de la incertidumbre creada por la sentencia, los fundamentos aportados por el Tribunal eran irrefutables. Nadie puede discutir que la protección de datos, consagrada como Derecho Fundamental de los ciudadanos de la Unión, se hallaba seriamente amenazada por las intromisiones de las agencias públicas de inteligencia estadounidenses. Ahora bien, tampoco es fácil argumentar en contra de las actuaciones de dichas agencias, dado que sus acciones están sobradamente fundadas en su Derecho nacional. En particular, las refrenda el artículo 702 de «FISA» (Foreign Intelligence Surveillance Act), y la legitimidad de esta norma cuenta con sólido apoyo entre gran parte de la población estadounidense.

La primera reacción del mercado fue refugiarse en el RGPD y amparar las transferencias de datos a los Estados Unidos en las Standard Contractual Clauses («SCC») de la Comisión Europea. En aquel momento el uso de este mecanismo era considerado como buena praxis y otorgaba garantías más que suficientes de cumplimiento normativo. Sin embargo, a pesar de lo que señalaron algunas figuras relevantes en materia de protección de datos, pocos pudieron prever que verdaderamente estábamos ante un cambio de tendencia en la lógica de protección de datos. Lo que el Tribunal ponía de relieve, a partir de esa sentencia, es que la protección de los datos que exige el art. 8 Carta de Derechos Fundamentales de la Unión Europea es una protección efectiva y material, no simplemente una protección formal o normativa.  No se trata de un reconocimiento legislativo de derechos, hay que asegurar y defender la privacidad de los ciudadanos europeos de toda clase de injerencias, internas y externas, propias y ajenas, amistosas y nocivas. Esta tendencia proteccionista coincide con un momento de cierto distanciamiento de las relaciones entre los Estados Unidos y las principales potencias europeas (comercial, diplomática y militar). Desde esta perspectiva no es de extrañar que las organizaciones de la Unión acusen cierta desconfianza de sus homónimos estadounidenses.

En noviembre del pasado año, este proteccionismo en materia de protección de datos dio una nueva vuelta de tuerca con las recomendaciones que emitió el Comité Europeo de Protección de Datos («EDPB» por sus siglas en inglés). En concreto, la Recomendación EDPB 1/2020 establece que el uso de las SCC no es suficiente, por sí mismo, para el cumplimiento normativo. Más allá de las medidas contractuales (SCC) los responsables se verán ahora obligados a la adopción de cuantas medidas técnicas u organizativas sean necesarias para asegurar la integridad de los datos personales una vez salgan de las «fronteras» de la Unión. Hay que tener en cuenta que estas directrices son de aplicación no sólo a las transferencias de datos a Estados Unidos, sino también a cualquier otro tercer estado. Las complicaciones que esto plantea para los operadores de datos en las Unión son sustanciales. Cualquier sociedad que desee transferir datos a terceros países deberá proporcionar mecanismos técnicos suficientes (anonimización, cifrado, salvaguarda de las claves de cifrado, etc.) como para asegurar que una eventual interceptación de los datos exportados no implicaría una exposición de los datos personales de interesados de la Unión. Es decir, se debe asegurar materialmente que los datos personales contarán un nivel de protección equivalente al que se le otorga en la Unión Europea. Resulta manifiestamente claro que la gran mayoría de los operadores del mercado ni cuenta con dichos medios técnicos, ni tiene capacidad alguna de alcanzarlos. Es necesario tener en cuenta que no sólo estamos hablando de grandes envíos de datos a Estados Unidos, sino que incluso los trabajos que se desarrollan en los servidores de cloud o en programas universalmente conocidos y utilizados como Google Drive constituyen transferencias internacionales de datos. Esto se debe a que los datos son almacenados en servidores localizados fuera del territorio de la Unión Europea. ¿Qué posibilidades tiene una start up española de superar tecnológicamente a la National Security Agency?

A esto hay que añadir que la Comisión Europea publicó el 12 de noviembre de 2020 un proyecto de nuevas Standard Contractual Clauses para adaptarlas a las novedades introducidas por la Sentencia Schrems II.

La interpretación estricta de estas directrices dejaría una única solución posible dentro del cumplimento normativo: abandonar las transferencias internacionales de datos siempre y cuando no se puedan proveer garantías suficientes. Al margen de las interpretaciones rigurosas, que en rara ocasión resultan acertadas, una interpretación de estas directrices a la vista de los principios que consagra el RGPD revela que el cumplimiento de la normativa, más allá de las indicaciones del Comité, pasa por entender que se alcanzará a través del empleo del mayor grado de diligencia posible, es decir, el empleo de todos los medios que se encuentren al alcance del responsable.

Por todo lo expuesto hay que concluir señalando que, si bien la intención del Tribunal de Justicia de la Unión Europea debería ser compartida ( o al menos comprendida) por la gran mayoría de ciudadanos de la Unión, la cierta deriva proteccionista de los organismos de la Unión no solo ataca considerablemente a la competitividad de las empresas europeas en el mercado internacional sino que puede afectar negativamente a la protección de datos personales. Esto se comprende desde la perspectiva de que, si el cumplimiento de la normativa se hace excesivamente perjudicial, el grado de cumplimiento normativo se verá mermado de una manera estrictamente proporcional a dicho exceso. Es por ello que hay que evitar que una buena voluntad de proteger la privacidad de los ciudadanos, por exceso, devengue en una disminución sustancial de su privacidad.

Luis Rojas Jiménez, Legal Team, Legal Army

Leer más

Posts relacionados que podrían interesarte

Todas nuestras noticias
25-jul-24
Lululemon acusada de “greenwashing”
This is some text inside of a div block.
Leer más
25-jul-24
Meta desvela Llama 3.1, su modelo para competir contra OpenAI y Google
This is some text inside of a div block.
Leer más
25-jul-24
Huawei interpone acciones legales contra Mediatek por la tecnología 5G
This is some text inside of a div block.
Leer más