Sentencia del TJUE de 16 de julio de 2020. Caso Schrems II
El pasado jueves 16 de julio, el Tribunal de Justicia de la Unión Europea (“TJUE”) dictó la esperada sentencia en el caso “Schrems II”, declarando nula la Decisión 2016/1250, relativa al Escudo de Privacidad o Privacy Shield.
Por tanto, todas las entidades europeas que hayan basado sus transferencias internacionales de datos a EEUU en este mecanismo incumplen la normativa de protección de datos y deberán regularizar dicha situación. De lo contrario, se exponen al elevado régimen sancionador previsto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (“RGPD”).
La sentencia del TJUE de 16 abril mantiene la validez de las cláusulas contractuales tipo, pero resalta que “aunque esas cláusulas son obligatorias para el responsable del tratamiento establecido en la Unión y el destinatario de la transferencia de datos personales establecido en un país tercero, (…) ha quedado acreditado que dichas cláusulas no vinculan a las autoridades de ese país tercero, dado que estas últimas no son partes del contrato”.
El TJUE también recuerda las facultades de control de las autoridades nacionales de protección de datos para suspender o prohibir una transferencia basada en cláusulas contractuales tipo, no solo a EEUU, sino a cualquier tercer país, cuando a la luz de todas las circunstancias específicas del caso dichas cláusulas no se respeten en el país de destino.
En definitiva, la legalidad de las transferencias basadas en cláusulas contractuales dependerá del análisis que, caso por caso, haga cada autoridad de control nacional. Aunque no se han anulado formalmente, las cláusulas contractuales tipo quedan puestas en duda y, por tanto, los exportadores e importadores de datos quedan obligados a velar con mayor diligencia por el cumplimiento de las obligaciones que se estipulen en las mismas.
En 2015, vivimos una situación similar a la actual con la anulación de los Acuerdos de Safe Harbor. Debemos recordar que la Agencia Española de Protección de Datos no abrió ningún procedimiento sancionador de oficio, pero sí actuó bajo denuncia de los afectados. Las sanciones más importantes fueron impuestas a ASSEMBLEA NACIONAL CATALANA y OMNIUM CULTURAL (90.000 euros en cada caso).
Recomendaciones para las entidades que realicen transferencias internacionales de datos a EEUU
Las entidades que realicen transferencias internacionales de datos a EEUU deberán revisar cuál es el mecanismo legal que permite las mismas. Debemos recordar que, en muchos casos, los proveedores de servicios que actúan como importadores de datos adoptan de forma paralela distintas garantías. Por ello, no es extraño que algunas compañías adheridas al Privacy Shield hayan incluido también en sus acuerdos o contratos de adhesión las cláusulas contractuales tipo.
Por tanto, resulta conveniente (i) identificar las transferencias internacionales de datos que se vean afectadas por esta sentencia; (ii) examinar los contratos en vigor con las compañías ubicadas en EE UU con las que se mantiene relación comercial (generalmente, proveedores de servicios) y (iii) contactar con ellos para diseñar una estrategia conjunta de regularización.
Como hemos visto, las cláusulas contractuales tipo, aunque siguen siendo válidas, pueden ser examinadas por las autoridades de control que podrían prohibir o suspender las transferencias internacionales de datos a las que dan soporte. En este sentido, resulta recomendable adoptar medidas de diligencia reforzadas encaminadas a asegurar el cumplimiento de las obligaciones contractuales asumidas (como por ejemplo solicitar confirmación escritas de las entidades importadoras respecto al cumplimiento de las mismas, requerir que se comunique a la mayor brevedad cualquier acceso a datos personales por parte de autoridades públicas, etc.).
