Flujos transfronterizos en estos 5 años del RGPD: conocer, confirmar y evaluar

Flujos transfronterizos y RGPD

La transferencia internacional de datos personales[1] es, sin lugar a duda, uno de los ámbitos sobre el que más ha llovido desde la entrada en vigor del RGPD, ahora que se cumplen cinco años desde su aplicación directa. En la era digital actual, la transferencia internacional de datos es una actividad permitida, común y necesaria para muchas entidades. Sin embargo, a su vez puede plantear graves riesgos para la privacidad y seguridad de los datos personales si no se plantea una adecuada estrategia de cumplimiento.

En este sentido, el aumento de transferencias internacionales trajo consigo la necesidad de adoptar regulaciones que aseguren que los interesados tengan derechos reales y efectivos en los países en los que se transfieren sus datos. Una de las principales novedades que trajo consigo el RGPD fue el establecimiento de un nuevo marco legal que ofreciera garantías adecuadas en relación con las transferencias de datos fuera de la UE.

Teniendo en cuenta el mundo globalizado y digitalizado en el que nos encontramos y la gran cantidad de transferencias internacionales de datos personales que, por distintos motivos, realizan las organizaciones, se entenderá la relevancia e importancia que tiene dicha temática para asegurar el cumplimiento de la normativa en materia de protección de datos.

De esta forma, constituye una transferencia internacional de datos tanto el acceso que puede tener una empresa con sede en Reino Unido, respecto a los datos de los empleados de su filial en el territorio español, como el acceso por parte de un proveedor tecnológico norteamericano de alojamiento de datos utilizado por una entidad española que almacena en la aplicación de éste los datos personales de sus clientes. También se consideran los potenciales o sucesivos accesos que puedan tener los subcontratistas situados fuera del EEE de un proveedor europeo que comercializa un SaaS (Software as a Service) que utiliza una empresa española. Es decir, existen muchos casos de uso que pueden representar, de facto, una transferencia internacional de datos, por lo que identificar las mismas de forma adecuada es el primer paso para cumplir con la normativa de protección de datos aplicable.

Si en mayo de 2018 alguien nos hubiera preguntado cuál era el próximo suceso que debía acontecer en el ámbito de las transferencias internacionales, hubiéramos respondido que éste sería, sin lugar a duda, la aprobación de las nuevas cláusulas contractuales tipo (SCC, por sus siglas en inglés) por parte de la Comisión Europea que debían sustituir las SCC anteriores aprobadas conforme a la Directiva 95/46/CE en el año 2001 y 2010, respectivamente.

Sin embargo, y como veremos más adelante, esto no sucedió hasta junio de 2021, debido a que en junio de 2020 el Tribunal de Justicia de la Unión Europea emitió la famosa sentencia en el Asunto C-311/18 (conocido como Schrems II) que dejó efecto la decisión de adecuación de la protección conferida por el Privacy Shield, que había posibilitado hasta la fecha a las entidades situadas en el EEE transferir datos a entidades norteamericanas que estuvieran adheridas a dicho escudo.

No obstante, también estableció que las entidades exportadoras de datos personales a entidades situadas en territorios que no contaran con una decisión de adecuación por parte de la Comisión Europea, debían asegurarse que no existiera en el país de destino ninguna normativa o práctica que impidiera la eficacia de las garantías adecuadas adoptadas entre el exportador e importador de los datos para la realización de la transferencia internacional en cuestión, exigiendo garantías adicionales en este ámbito

A razón de dicha sentencia, el Comité Europeo de Protección de Datos (CEPD) publicó en el año 2021 una serie de recomendaciones para complementar los instrumentos de transferencias adoptados, que apuntan a diversas medidas y garantías suplementarias para asegurar un nivel de protección sustancialmente equivalente al proporcionado en la Unión Europea.

La primera de ellas menciona que el exportador de los datos debe conocer el destino de los datos para garantizar que se otorga un nivel de protección equivalente.  Un segundo paso, será confirmar si la transferencia se realiza a un país considerado como adecuado según la Comisión Europea (supuesto antes detallado) o, en ausencia de esta decisión de adecuación, confirmar si se puede recurrir a algunos de los supuestos del artículo 46 del RGPD.

De no ser así, se debería de contemplar la posibilidad de basar la transferencia en uno de los casos excepcionales que contempla el RGPD, en su artículo 49. El último paso será evaluar la legislación del tercer país para verificar si existen riesgos que puedan afectar a la eficacia de las garantías adecuadas en los que se basa la transferencia.

Por ello, se deberá realizar una evaluación de riesgos con la debida diligencia y documentarla, de tal manera que, si refleja que la legislación del tercer país pudiera afectar a las garantías de la transferencia, entonces deberían adoptarse medidas complementarias para asegurar un nivel de protección de los datos transferidos adecuado. A este respecto, es importante conocer, confirmar y evaluar las transferencias internacionales, antes de que estas tengan lugar con vistas a poder demostrar cumplimiento proactivo de la norma.

Lo anterior implicó el nacimiento de un nuevo tipo de evaluación de riesgos (popularmente conocida como TIA por sus siglas en inglés, ‘Transfer Impact Assessments’) que han de ser llevada a cabo por las organizaciones que realicen o pretendan realizar transferencias internacionales en base a una de las garantías adecuadas establecidas en el artículo 46 del RGPD y, normalmente, a través de SCC aprobadas por la Comisión Europea o a través de las normas corporativas vinculantes (comúnmente conocidas como BCR, por sus siglas en inglés, ‘Binding Corporate Rules’) en el supuesto de flujos internacionales intragrupo en entidades que cuenten con dicho mecanismo aprobado por una autoridad de control.

Desde entonces, sobre la base de tal evaluación previa, hemos ayudado a múltiples organizaciones a adoptar medidas complementarias para asegurar un nivel de protección de los datos equivalente al establecido por la normativa europea, cuando las evaluaciones de riesgo han determinado la existencia de algún tipo de normativa o práctica en el país de destino que pudiera impedir la eficacia de la garantía adecuada adoptada.

Algunos ejemplos de dichas medidas que, en cualquier caso, deben ser determinadas caso por caso, serían la utilización del MFA/2FA, el acceso basado en roles, así como la encriptación de los datos en reposo y en tránsito, si bien el cifrado de los datos no sería una medida complementaria si el importador de los datos es proveedor de una herramienta que tenga la obligación de proporcionar claves criptográficas, tal y como ha señalado recientemente el CEPD[2].

Como principales ventajas de las nuevas cláusulas tipo aprobadas por la Comisión Europea en 2021, resaltar (i) el hecho que, a diferencia de las anteriores donde únicamente se regulaban los supuestos de transferencia entre responsables independientes, y responsable – encargado del tratamiento, éstas permiten articular de manera modular los distintos tipos de relaciones, como las transferencias entre encargados del tratamiento, no requiriéndose en dicho caso la firma de las cláusulas tipo por parte del responsable del tratamiento; (ii) que facilitan la adhesión de terceras partes en un futuro y (iii) que permiten, cumplir con la obligación de suscribir un contrato de encargado del tratamiento en los supuestos de transferencia internacional entre responsable y encargado, o encargado y subencargado, terminándose con la eterna duda acerca de si es necesario firmar un contrato de encargo del tratamiento, cuando ya se han suscrito las SCC.

No queríamos dejar nuestro repaso sobre nuestra experiencia y lecciones aprendidas durante este tiempo en materia de transferencias internacionales sin hacer mención a la salida del Reino Unido de la UE. Al respecto, existe una decisión de adecuación adoptada por la Comisión Europea (tan sólo 2 días antes que expirara el período interino establecido en el Acuerdo de Comercio y Cooperación entre la UE y el Reino Unido) con validez hasta el 27 de junio de 2025. En dicha fecha se deberá comprobar que el sistema de protección de datos siga siendo equivalente al previsto por el ordenamiento jurídico de la UE en consonancia con lo dispuesto en el RGPD. En caso contrario, las empresas españolas deberán adoptar las garantías necesarias para seguir realizando transferencias con este país, motivo por el que es necesario tener en cuenta las recomendaciones planteadas en los párrafos anteriores.

Esta decisión se une a las decisiones de adecuación emitidas por la Comisión Europea durante estos cinco años respecto a Japón (creándose la mayor área mundial de flujos de datos seguros hasta ese momento) y la República de Corea, constituyendo estas decisiones un éxito de los principales objetivos marcados por el RGPD en cuanto a transferencias internacionales que no es otro que cada vez más jurisdicciones prevean de sistemas que protejan los datos de carácter personal de los ciudadanos de forma equivalente a cómo se protegen en el ámbito de la Unión Europea.

A dichas decisiones de adecuación, y salvando las distancias, cabe resaltar la aprobación de legislaciones similares o inspiradas en los principios del RGPD como serían los casos de las legislaciones aprobadas durante este tiempo por Brasil o China, o el proyecto de ley de protección de datos digitales que se está tramitando en la India, por poner algunos ejemplos de países con distintas tradiciones jurídicas y valores a los que rigen en la Unión Europea.

No podíamos terminar nuestro análisis sin mencionar un par de retos a futuro en el ámbito de los flujos transfronterizos.

El primero de ellos, debido a la interdependencia tecnológica de las empresas estadounidenses que tienen a día de hoy las organizaciones y empresas europeas, y que compete tanto a la Comisión Europea como a Estados Unidos, sería obtener la más que esperada decisión de adecuación por parte de la Comisión Europea respecto a las entidades estadounidenses adheridas al nuevo marco transatlántico de privacidad de datos (conocido como DPF, por sus siglas en inglés) alcanzado entre la  Comisión Europea y los Estados Unidos de América en fecha 25 de marzo de 2022.

En esta se refuerzan las salvaguardas para limitar el acceso a los datos por parte de las autoridades de inteligencia norteamericanas a cuando sea estrictamente necesario y proporcional para proteger la seguridad nacional así como se crea un mecanismo independiente, entre las que se incluye la creación del Tribunal de Revisión de la Protección de Datos para investigar y resolver reclamaciones en relación con dicho acceso y la posibilidad de los ciudadanos de la UE de presentar denuncias ante el responsable de protección de las libertades civiles de los servicios de inteligencia norteamericanos.

Si bien el pasado 13 de diciembre la Comisión Europea publicó el borrador de la decisión de adecuación, el CEPD emitió su opinión[1] donde, aunque reconoce los cambios significativos, considera que aún existen aspectos que se pueden mejorar. Aunque la opinión del CEPD no es vinculante, sería bueno que la Comisión Europea asegurara que el nuevo marco cubre correctamente los aspectos señalados por el primero para evitar el riesgo de que la nueva decisión de adecuación sufra la misma suerte que sus antecesores (Safe Harbour y, posteriormente, Privacy Shield).

El segundo de ellos es cómo organizaciones con presencia internacional pueden hacer frente de forma uniforme a los múltiples requerimientos exigidos por la normativa de protección de datos en cada país en el que operan, teniendo en cuenta que, cada vez más jurisdicciones, implementan SCC para posibilitar la realización de transferencias. Si bien algunas de ellas permiten su interacción como sería el caso de Reino Unido respecto a las cláusulas tipo de la Comisión Europea, existen otras en el que su encaje es más difícil.

Es el caso, por ejemplo, de China, que, a través de su legislación, establece restricciones a las transferencias imponiendo condiciones específicas en función del responsable y el tipo de datos que deben ser consideradas, existiendo plazos bien definidos para cumplir ante las autoridades competentes locales.

En cualquier caso, nuestra experiencia asesorando a clientes en distintas jurisdicciones nos dice que a día de hoy, y mientras no exista a futuro ningún instrumento internacional en materia de protección de datos, no queda otra que conocer, confirmar y evaluar las diversas transferencias de datos personales que se realicen para regularizar estas y establecer mecanismos que permitan contemplar y adelantarse a cualquier eventualidad que pueda producirse ante un posible cambio en el escenario internacional o de estrategia corporativa.

[1] Las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega)

[2] https://edpb.europa.eu/system/files/2023-04/edpb_20230328_report_101task_force_en.pdf

[3] https://edpb.europa.eu/system/files/2023-02/edpb_opinion52023_eu-us_dpf_en.pdf