Análisis de las recomendaciones 01/2020 EDPB


Manuel Castilleja Toscano     16/11/2020

ANÁLISIS DE LAS RECOMENDACIONES 01/2020 EDPB SOBRE MEDIDAS QUE COMPLEMENTAN LOS INSTRUMENTOS DE TRANSFERENCIA PARA GARANTIZAR EL CUMPLIMIENTO DEL NIVEL DE PROTECCIÓN DE DATOS PERSONALES DE LA UE

Adoptada el 10 de noviembre de 2020

El capítulo V del GDPR regula las transferencias de datos personales (TI) a terceros países y establece que la transferencia no debe socavar el nivel de protección de las personas físicas garantizado por el GDPR (artículo 44). La sentencia TJUE C-311/18 (Schrems II) subraya la necesidad de garantizar la continuidad del nivel de protección que el GDPR garantiza a los datos personales transferidos a un tercer país.

Las implicaciones de la sentencia Schrems II se extienden a todas las transferencias de datos personales a terceros países (TI). Y no existe una solución única para habilitar y legitimar todas estas transferencias, ya que esto ignoraría la amplia diversidad de situaciones que se podrían dar en este contexto de transferencia de datos personales. Los exportadores de datos (responsables o encargados) deberán evaluar sus tratamientos de datos personales que impliquen transferencia de estos datos a terceros países y tomar medidas efectivas teniendo en cuenta el orden legal de esos terceros países a los que transfieren o pretenden transferir datos.

El principio de responsabilidad proactiva, necesario para garantizar la aplicación efectiva del nivel de protección conferido por el GDPR, se aplica también a las TI, ya que son una forma de tratamiento de datos en sí mismas. Como subrayó el Tribunal en su sentencia, un nivel de protección esencialmente equivalente al garantizado en la Unión Europea por el GDPR debe garantizarse independientemente de la disposición del capítulo V sobre la base de la cual se realiza una transferencia de datos personales a un tercer país.

Para aplicar el principio de responsabilidad proactiva (art. 5.2 GDPR) a las TI, el EDPB (European Data Protection Board), en las recomendaciones 01/2020 propone una hoja de ruta con los pasos a seguir para averiguar si el exportador de datos necesita establecer medidas complementarias para poder transferir legalmente los datos fuera del EEE. Se deberá documentar adecuadamente esta evaluación y las medidas complementarias que se seleccionen y apliquen, y poner dicha documentación a disposición de la autoridad de control competente cuando ésta la solicite. La hoja de ruta contendría los siguientes pasos:

  • Primer paso: conocer las TI que se están llevando a cabo, incluso su trazabilidad.

  • Segundo paso: identificar a través de qué instrumento habilitante de los propuestos en el capítulo V del GDPR podemos llevar a cabo la TI. Esto es cuando:

      • Están basadas conforme al art. 45 en una decisión de adecuación adoptada por la Comisión de la UE

      • Se dan alguna de las excepciones contempladas en el artículo 49, es decir consentimiento del interesado (explícito, específico para la TI, e informado, en particular de los posibles riesgos), relación contractual (TI ocasional y necesaria para el contrato), interés público (reconocido en la legislación de la UE o sus estados miembros), o interés vital; además de estar a todo los requisitos exigidos en dicho precepto, no debe convertirse en “la regla general”, sino restringirse a situaciones específicas. El artículo 49 tiene un carácter excepcional

      • A falta de una de las excepciones del artículo 49 y a falta de una decisión de adecuación contemplada en el artículo 45, están basadas en garantías adecuadas de las contempladas en el artículo 46: cláusulas contractuales tipo (CCT/SCC), normas corporativas vinculantes (NCV/BCR), códigos de conducta, mecanismos de certificación y cláusulas contractuales ad hoc.

  • Tercer paso: evaluar si las garantías adecuadas contempladas en el artículo 46 son eficaces, cuando proceda en colaboración con el importador, entre otras cuestiones comprobar si hay algo en la legislación del tercer país que pueda afectar a la eficacia de las salvaguardas apropiadas del instrumento de transferencia del artículo 46 en el que se basa.

  • Cuarto paso: si en el anterior paso se determina que la garantía adecuada (art. 46) en que queremos basar la TI no es eficaz, se tendrá que considerar, cuando proceda en colaboración con el importador, si existen medidas complementarias que, sumadas a las salvaguardas contenidas en la garantía adecuada, puedan garantizar que los datos transferidos tengan en el tercer país un nivel de protección esencialmente equivalente al garantizado dentro de la UE.

En las listas no exhaustivas descritas en el Anexo 2 de las recomendaciones 1/2020 EDPB se pueden encontrar algunos ejemplos de medidas técnicas, contractuales y organizativas que podrían considerarse.

Si no se encuentran o aplican medidas complementarias eficaces que garanticen que los datos personales transferidos gocen de un nivel de protección esencialmente equivalente, no se debe empezar a transferir datos personales al tercer país de que se trate sobre la base del instrumento de transferencia elegido. Si ya se está realizando transferencias, se deben suspender.

La autoridad de control competente está facultada para suspender o poner fin a las transferencias de datos personales al tercer país si no se garantiza la protección de los datos transferidos que exige la legislación de la UE, en particular los artículos 45 y 46 GDPR.

  • Quinto paso: el posible procedimiento a seguir en caso de que se hayan identificado medidas complementarias eficaces que se vayan a poner en práctica pueden diferir dependiendo de la garantía adecuada del artículo 46 que se esté utilizando o que se prevea utilizar:
    • SCC: no es necesario solicitar autorización a la autoridad de control (AC), las medidas complementarias en ningún caso podrán contradecir las SCC.
    • BCR: el EDPB proporcionará más detalles lo antes posible sobre si es necesario incluir algún compromiso adicional.
    • Cláusulas ad hoc: aún se están debatiendo las repercusiones precisas de la sentencia Schrems II en las cláusulas ad hoc. El EDPB proporcionará más detalles lo antes posible.

  • Sexto paso: revisión periódica, se debe vigilar, de manera permanente y, cuando proceda, en colaboración con los importadores de datos, la evolución de la situación en el tercer país al que haya transferido datos personales que pueda afectar a la evaluación inicial del nivel de protección y a las decisiones que se puedan haber adoptado en consecuencia sobre las transferencias. La responsabilidad proactiva es una obligación permanente (párrafo 2 del artículo 5 del GDPR).

Por último, en el anexo 3 de las recomendaciones, el EDPB indica que el importador de datos personales debe estar en condiciones de proporcionar al exportador las fuentes y la información pertinentes relativas al tercer país en el que está establecido y a las leyes que le son aplicables. También puede el exportador de datos personales remitirse a varias fuentes de información, como las que se enumeran a continuación de manera no exhaustiva:

  • La jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE) y del Tribunal Europeo de Derechos Humanos (TEDH) a la que se refieren las recomendaciones sobre garantías esenciales europeas;
  • Decisiones de idoneidad en el país de destino si la transferencia se basa en una base jurídica diferente;
  • Resoluciones e informes de organizaciones intergubernamentales, como el Consejo de Europa, otros órganos regionales; y órganos y organismos de las Naciones Unidas (por ejemplo, el Consejo de Derechos Humanos de las Naciones Unidas, el Comité de Derechos Humanos);
  • Jurisprudencia nacional o decisiones adoptadas por autoridades judiciales o administrativas independientes competentes en materia de privacidad de datos y protección de datos de terceros países;
  • Informes de instituciones académicas y organizaciones de la sociedad civil (por ejemplo, ONG y asociaciones comerciales).