Cómo cumplir en 6 pasos la normativa de la UE sobre transferencia y protección de datos personales

Blog
El Comité Europeo de Protección de Datos ha publicado una guía sobre la manera en que las empresas deben efectuar transferencias de datos personales para que estas sean respetuosas con el RGPD y demás normativa aplicable en la UE. Esta publicación pretende facilitarte la compresión de esa guía y recopilar toda la información relevante al respecto en un único lugar.
Tabla de contenidos
Las transferencias internacionales de datos son operaciones que la mayoría de las organizaciones y empresas realizan de forma cotidiana como parte integral de su actividad. Por ejemplo, tu empresa puede almacenar los datos personales de tus clientes en un servicio en la nube alojado en otro país, o puede que guardes los datos personales de tus empleados en una empresa filial con sede en otro país. La aprobación de exigentes normas de protección de datos en los últimos años ha complicado el panorama de la transferencia de datos a las empresas establecidas en la UE. Esta publicación tiene dos objetivos: ayudarte a entender los requisitos aplicables a las transferencias de datos y que puedas obtener toda la información relevante al respecto en un único lugar (aquí). Empezaremos con una breve introducción sobre la historia de la protección de datos y las transferencias de datos en la Unión Europea. Después, pasaremos a analizar qué debe hacer tu empresa cuando envíe datos fuera de la Unión Europea. Estos consejos que te daré te ayudarán a conseguir que tus transferencias de datos cumplan lo dispuesto en el RGPD.

Qué es la Schrems II y por qué es importante en materia de cookies

La Schrems II tiene como antecedente la entrada en vigor del RGPD el 25 de mayo de 2018. El objetivo fundamental del RGPD era y es proteger los datos personales de los ciudadanos europeos regulando su tratamiento y permitiendo a sus titulares elegir qué puede y qué no hacerse con sus datos. En este sentido, el instrumento del consentimiento es de cardinal importancia para lograr los objetivos del RGPD. Implica que son las empresas las que tienen la responsabilidad de informar a los usuarios de sus sitios web acerca de qué cookies utilizan, qué datos se recopilan y con qué fines. Pero… ¿qué sucede con las empresas no establecidas en la UE? Pues que la protección a los consumidores europeos no debe detenerse en las fronteras de la UE. Por eso, el RGPD establece que todas las empresas y países del mundo deben proteger y respetar los datos de los ciudadanos europeos. Por ejemplo, muchas empresas europeas envían datos a los EE. UU. Y por este motivo el RGPD estipula lo siguiente al respecto:

"Los acuerdos internacionales que impliquen la transferencia de datos personales a terceros países u organizaciones internacionales" deben "cumplir el Derecho de la Unión Europea".

En resumen: las empresas no establecidas en la Unión Europea y los países extranjeros deben celebrar un acuerdo por escrito con la UE para poder recibir datos, y estos datos deben ser tratados conforme a la normativa de protección de datos de la UE. El 8 de julio de 2016 la Unión Europea celebró un acuerdo de transferencia de datos con los EE. UU. denominado Marco del Escudo de Privacidad. 4646 empresas y organizaciones estadounidenses firmaron un documento en el que se obligaban a tratar conforme al RGPD los datos que recibieran de la UE. Pese a esto, las empresas europeas seguían estando obligadas, a su vez, a comprobar el destino de sus datos y a verificar que el nivel de protección de estos fuese esencialmente equivalente al otorgado por el RGPD, y ello con independencia del lugar físico en que los datos fuesen objeto de tratamiento. Para tomar una decisión al respecto, el consentimiento que regula el RGPD era el elemento clave. Porque los visitantes de los sitios web pueden decidir libremente qué recogida de datos aceptar y cuál rechazar, de forma tal que las cookies rechazadas solo podrán generar datos anonimizados, y esto es algo que ni las empresas europeas ni las estadounidenses pueden eludir. Y es en este punto donde debemos hacer un paréntesis para hablar de Max Schrems, un abogado y activista austriaco que analizó el Marco del Escudo de Privacidad y estudió cómo se transferían los datos en virtud de tal acuerdo. Algo no cuadraba. La Agencia Nacional de Seguridad de los EE. UU. tenía autoridad para solicitar y recibir cualesquiera datos ubicados en territorio estadounidense. Y esto quería decir que el requisito de que los datos tuvieran un nivel de protección esencialmente equivalente al de la UE no se estaba cumpliendo. Esto dio lugar a que el 16 de julio de 2020 el Escudo dejara de tener validez legal, conforme a una sentencia del Tribunal de Justicia de la Unión Europea que estableció que el Escudo de Privacidad violaba el requisito de que los datos tuvieran un nivel de protección “esencialmente equivalente” al otorgado por la normativa de la UE. Esta sentencia fue bautizada como “Schrems II”. Y a causa de esta sentencia, empresas como Facebook o Google decidieron empezar a invertir en la construcción de centros de almacenamiento de datos ubicados en la UE.
Imagen del logotipo del escudo de privacidad partido por la mitad
El RGPD regula qué sucede cuando no existe un acuerdo, como el que se alcanzó con el Escudo de Privacidad:

"En ausencia de una decisión de adecuación, el responsable o el encargado deberán adoptar medidas que compensen la falta de protección de datos en el país tercero mediante garantías adecuadas para el interesado".

A día de hoy, la situación legal existente es que las empresas tienen la responsabilidad de garantizar que sus transferencias de datos cumplan la Cláusulas Contractuales Estándar, cuya versión más reciente refleja los nuevos requisitos establecidos por el RGPD e incorpora el fallo del TJUE conocido como Schrems II, y esto se traduce en un elevado nivel de protección para los ciudadanos de la UE.

Por qué es importante que conozcas el nuevo CEPD (Comité Europeo de Protección de Datos)

Como ya hemos visto, tanto los responsables como los encargados de datos asumen la responsabilidad de verificar que el instrumento en el que se base la transferencia de datos a un país tercero cumpla los requisitos establecidos en el RGPD. Por eso, los responsables y encargados tienen el deber de estudiar la normativa del país en cuestión y, en su caso, asegurarse de que se adopten medidas de protección complementarias. El CEPD ha publicado una lista de recomendaciones para ayudar a los exportadores de datos a cumplir satisfactoriamente esta compleja tarea. Tales recomendaciones incluyen una serie de pasos detallados que podrán seguir, las fuentes de información que pueden utilizarse y algunos ejemplos del tipo de medidas complementarias que podrían adoptarse.

Cuáles son las recomendaciones del CEPD

  1. Que el exportador conozca sus transferencias
  2. Que el exportador verifique que el instrumento en el que basa sus transferencias se halle contemplado en el RGPD y sea el adecuado
  3. Que el exportador verifique que el instrumento del artículo 46 del RGPD que esté utilizando sea eficaz valorando para ello todas las circunstancias concurrentes (señaladamente la legislación y prácticas del país al que se transfieran los datos)
  4. Que el exportador adopte en su caso medidas complementarias
  5. Que, según el instrumento del artículo 46 utilizado, el exportador realice, en su caso, las formalidades precisas para poder adoptar las medidas complementarias
  6. Que el exportador vuelva a evaluar de manera periódica la adecuación de su nivel de protección

Paso 1: Conoce tus transferencias

Si deseas transferir datos fuera de la UE, debes supervisar cada una de tus transferencias. Este primer paso es trascendental, dado que, como exportador, debes saber si necesitarás o no medidas complementarias, lo cual sucederá cuando el nivel de protección de datos otorgado por el país receptor no cumpla los requisitos establecidos en el RGPD.

Paso 2: Verifica el instrumento de transferencia de datos en el que te basas

Ya conoces tus transferencias. Ahora, en caso de que en el paso 1 hayas llegado a la conclusión de que los países terceros no han sido autorizados mediante una decisión de adecuación de la Comisión Europea, deberás determinar en qué instrumento de transferencia basarte y asegurarte de que sea el correcto. Tales instrumentos son los siguientes:
  • Existencia de una decisión de adecuación
  • Los instrumentos de transferencia del artículo 46 del RGPD (por ejemplo, un instrumento jurídicamente vinculante y exigible acordado entre autoridades u organismos públicos)
  • Derogaciones*
Recuerda que si el país en cuestión cuenta con una decisión de adecuación favorable de la UE, no tendrás que hacer nada de lo anterior.

Paso 3: Verificar que el instrumento del artículo 46 del RGPD que estés utilizando sea eficaz

En este paso deberás valorar si las leyes o las prácticas del país en cuestión podrían afectar a la eficacia del instrumento de transferencia que estés utilizando para cada transferencia concreta. En esa valoración deberás determinar si se da cualquiera de los siguientes supuestos:
  • Que la legislación del país tercero no se aplique en la práctica
  • Que el país tercero carezca de una legislación relevante compatible con el instrumento de transferencia
  • Que el importador esté encuadrado, o pueda llegar a estarlo, en un marco legal problemático (legislación que incumpla los requisitos establecidos en el RGPD)
En los dos primeros supuestos, deberás parar la transferencia de datos o implementar medidas complementarias. En el tercero, puedes decidir seguir adelante con la transferencia sin adoptar medidas complementarias. En este último supuesto, deberás poder demostrar de forma documentada que no tienes razones para creer que se aplicará la legislación problemática y relevante o que la legislación potencialmente problemática y relevante será así interpretada en la práctica. En el anexo 3 del documento del CEPD oficial encontrarás posibles fuentes de información para poder evaluar países terceros.

Paso 4: Adoptar medidas complementarias

El paso 4 consiste en averiguar qué medidas complementarias deberías adoptar (para que la protección de los datos transferidos sea esencialmente equivalente a la otorgada a estos en la UE) y proceder a su implementación efectiva. Este paso solo te afectará cuando tu transferencia quede encuadrada en una o varias de las situaciones arriba descritas. En el anexo 2 del documento del CEPD oficial encontrarás ejemplos de medidas complementarias.

Paso 5: Adoptar las formalidades necesarias para implementar las medidas complementarias

El quinto paso consiste en llevar a cabo las acciones procedimentales precisas para la eficaz adopción de las medidas complementarias, lo cual dependerá del instrumento de transferencia utilizado. Puede que tengas que realizar una consulta a tu autoridad de control competente a este respecto.

Paso 6: Volver a evaluar de manera periódica tu nivel de protección

El último paso consiste en reevaluar el nivel de protección de los datos transferidos con cierta periodicidad. Deberás asegurarte de que no haya cambios o situaciones nuevas que estén afectando a la protección de tus datos.

Cómo podría ayudarte nuestro Panel de cumplimiento

Como hemos analizado, conocer tus transferencias es el primer y más trascendental paso de los 6 incluidos en las recomendaciones del CEPD. Por ejemplo, puede que tu sitio web esté utilizando servicios de terceros radicados en EE. UU. o China, u otros países no seguros, y que estos servicios estén colocando cookies en los dispositivos de tus usuarios a través de tu sitio web. En este caso, en tu condición de exportador, la ley te obliga a conocer estas transferencias. Con una herramienta adecuada, podrás detectarlas y evitar demandas y sanciones. Una de las principales funcionalidades de nuestro Panel de cumplimiento es la herramienta “Riesgos para la privacidad UE/EEE”, la cual te ayudará a visualizar a qué países se están mandando cookies y datos desde tus sitios web. Es una forma práctica de poder controlar y conocer en todo momento tus transferencias de datos con el fin ulterior de asegurarte de que estas transferencias cumplen el RGPD. El Panel de cumplimiento está también indicado para aquellos que quieran tener una visión general sobre su nivel de cumplimiento, sus tasas de aceptación de cookies y sus cookies.
Vista general del Panel de cumplimiento de Cookie Information con riesgos para la privacidad
Vista general del Panel de cumplimiento y de la funcionalidad Riesgos para la privacidad de Cookie Information