Nota Ejecutiva de las recomendaciones 1/2020 y 2/2020 del Comité Europeo de Protección de Datos.

El Comité Europeo de Protección de Datos, (“EDPB”, por sus siglas en inglés) publicó el pasado 10 de noviembre dos recomendaciones derivadas de la jurisprudencia sentada por el Tribunal de Justicia de la Unión Europea (“TJUE”) a partir de su sentencia en el asunto C‑311/18 (Schrems II).

En la citada sentencia el TJUE pone de manifiesto que, en orden a efectuar trasferencias internacionales de datos, el emisor de datos personales europeo debe asegurarse que el país donde reside el receptor ofrece garantías de protección equivalentes a las mantenidas en el Espacio Económico Europeo (“EEE”). Tratándose de un asunto referido a datos personales de un ciudadano europeo procesados por Facebook (radicada en Estados Unidos), el Tribunal destaca que la legislación de dicho estado no respeta las garantías ofrecidas por el EEE en materia de vigilancia por parte de las autoridades públicas. De tal manera, corrige la decisión de adecuación de la Comisión Europea e invalida el sistema preexistente, Privacy Shield, habilitado para facilitar las trasferencias de datos personales entre la Unión Europea y los Estados Unidos.

La Recomendación del EDPB 1/2020 se refiere a las salvaguardas con que, al margen de los instrumentos ofrecidos por el RGPD (art. 44 a 49), los responsables y encargados deben dotar a sus trasferencias internacionales de datos para ajustarse a nivel de protección ofrecido en el EEE.

A lo largo de su recomendación y siguiendo la línea marcada por el TJUE, el EDPB deja manifiestamente claro que no basta con adoptar alguno de los instrumentos que habilita el Reglamento General de Protección de Datos (RGPD) e incluirlo en el contrato que regula la relación entre las partes involucradas en la trasferencia. La responsabilidad proactiva que requiere la protección de datos personales, en base a los principios consagrados en el RGPD, implica la obligación de asegurar la efectiva privacidad e integridad de los datos. Para ello, de aquí en adelante, las empresas deben adoptar acciones tendentes a asegurar, casi con seguridad rayana a la certeza, que los datos no serán comprometidos no sólo en la trasferencia internacional efectuada, sino en las posteriores trasferencias que el receptor pueda llevar a cabo en el ámbito de su relación contractual.

Estas acciones deben abarcar soluciones contractuales, organizativas y técnicas de manera que la diligencia empleada por la empresa se proyecte en garantías efectivas para el interesado. El EDPB incluye un protocolo a aplicar con carácter previo a la trasferencia que, a continuación, detallamos:

-En primer lugar, será necesario tener un conocimiento pleno del impacto de la trasferencia de datos, no sólo las trasferencias que lleve a cabo el emisor, sino de las que posteriormente pueda efectuar el receptor. A estas alturas cabe recordar que los tratamientos efectuados en la nube y el acceso remoto a la plataforma de trabajo desde un tercer estado son considerados trasferencias internacionales de datos.

-En segundo lugar, hay que cercenarse periódicamente de la validez de los instrumentos en base a los cuales se lleva a cabo el tratamiento. Si se trata de una decisión de adecuación de la Comisión Europea conviene revisar la lista publicada en su web y si, por el contrario, el tratamiento se fundamenta en los mecanismos de los art. 46 y 49 RGPD hay que tener presentes las actualizaciones en materia de buenas prácticas. Cabe mencionar que la Comisión Europea ha publicado un borrador señalando las tendencias que marcarán la, ya próxima, actualización de sus Standard Contractual Clauses (“SCC”).

-Adicionalmente, se debe llevar a cabo una evaluación acerca de la existencia de algún elemento en la legislación del país de destino que limite o comprometa la efectividad de la protección otorgada por el RGPD. Esto se debe hacer desde la perspectiva de las European Essential Guarantees (“EGG”) del EDPB.

-En caso de que la evaluación arroje un resultado positivo se deberán diseñar y adoptar medidas suplementarias para paliar el déficit de privacidad y alcanzar niveles propios de la UE. Se pueden adoptar medidas contractuales y organizativas; pero, si el riesgo se refiere a la vigilancia o interceptación de las comunicaciones por autoridades públicas, es recomendable aplicar medidas técnicas tales como la minimización del contenido de la comunicación, la seudonimización de los datos y el encriptado (manteniendo las claves de desencriptado seguras).

-Por último, se deben adoptar formalmente avances procedimentales y revisar periódicamente las medidas adoptadas. Será trascendental la trazabilidad de todo el procedimiento como medio de demostrar la efectividad de la protección y la actuación diligente del emisor.  

Por su parte, la Recomendación 2/2020 del EDPB introduce las European Essential Guarantees (“EGG”) para las medidas de vigilancia y se refiere fundamentalmente a acciones llevadas a cabo por autoridades públicas. Sin embargo, puede ser de utilidad para las empresas dado que se trata de las mismas garantías que se deben observar en los terceros estados hacia donde se dirigen las transferencias de datos.

Algunos de los signos que revelarán el respeto a los derechos de privacidad y protección de datos en el tercer estado serán, entre otros, la existencia de normas claras, precisas y accesibles que regulen las interferencias; el respeto a los principios de proporcionalidad y necesidad de las actuaciones, la presencia de autoridades de supervisión independientes (jueces o autoridades parlamentarias) y la naturaleza de los distintos medios de ejercicio y defensa de derechos con los que cuentan los interesados. A tenor de lo expuesto con anterioridad, se evidencia un cambio de tendencia en las orientaciones seguidas por los distintos organismos de la UE en materia de protección de datos y privacidad. Este viraje eleva los requerimientos impuestos a los operadores del mercado y refuerza, como consecuencia, los niveles de protección otorgados a los interesados.

Leer más

Posts relacionados que podrían interesarte

Todas nuestras noticias