Anàlisi de les recomanacions 01/2020 EDPB


Manuel Castilleja Toscano     17/11/2020

ANÀLISI DE LES RECOMANACIONS 01/2020 EDPB SOBRE MESURES QUE COMPLEMENTEN ELS INSTRUMENTS DE TRANSFERÈNCIA PER A GARANTITZAR EL COMPLIMENT DEL NIVELL DE PROTECCIÓ DE DADES PERSONALS DE LA UE

Adoptada el 10 de novembre de 2020

El capítol V del GDPR regula les transferències de dades personals (TI) a tercers països i estableix que la transferència no ha de soscavar el nivell de protecció de les persones físiques garantit pel GDPR (article 44). La sentència TJUE C-311/18 (Schrems II) subratlla la necessitat de garantir la continuïtat del nivell de protecció que el GDPR garanteix a les dades personals transferides a un tercer país.

Les implicacions de la sentència Schrems II s'estenen a totes les transferències de dades personals a tercers països (TI). I no hi ha una sktadors de dades (responsables o encarregats) han d'avaluar els seus tractaments de dades personals que impliquin transferència d'aquestes dades a tercers països i prendre mesures efectives tenint en compte l'ordre legal d'aquests tercers països als quals transfereixen o pretenen transferir dades.

El principi de responsabilitat proactiva, necessari per garantir l'aplicació efectiva del nivell de protecció conferit pel GDPR, s'aplica també a les TI, ja que són una forma de tractament de dades en si mateixes. Com va subratllar el Tribunal en la seva sentència, un nivell de protecció essencialment equivalent al garantit a la Unió Europea pel GDPR s'ha de garantir independentment de la disposició de el capítol V sobre la base de la qual es realitza una transferència de dades personals a un tercer país.

Per a aplicar el principi de responsabilitat proactiva (art. 5.2 GDPR) a les TI, l'EDPB (European Data Protection Board), en les recomanacions 01/2020 proposa un full de ruta amb els passos a seguir per esbrinar si l'exportador de dades necessita establir mesures complementàries per poder transferir legalment les dades fora de l'EEE. S'haurà de documentar adequadament aquesta avaluació i les mesures complementàries que es seleccionin i apliquin, i posar aquesta documentació a disposició de l'autoritat de control competent quan aquesta la sol·liciti. El full de ruta contindria els següents passos:

  • Primer pas: conèixer les TI que s'estan duent a terme, fins i tot la seva traçabilitat.

  • Segon pas: identifica a través de quin instrument habilitant dels proposats al capítol V del GDPR podem dur a terme la TI. Això seria quan:

    • Estan basades d'acord amb l'art. 45 en una decisió d'adequació adoptada per la Comissió de la UE

    • Es donen alguna de les excepcions previstes a l'article 49, és a dir, consentiment de l'interessat (explícit, específic per a la TI, i informat, en particular dels possibles riscos), relació contractual (TI ocasional i necessària per al contracte), interès públic (reconegut en la legislació de la UE o els seus estats membres), o interès vital; a més d'estar a tot els requisits exigits en aquest precepte, no s'ha de convertir en "la regla general", sinó restringir-se a situacions específiques. L'article 49 té un caràcter excepcional.

    • A falta d'una de les excepcions de l'article 49 i a falta d'una decisió d'adequació prevista en l'article 45, estan basades en garanties adequades de les previstes a l'article 46: clàusules contractuals tipus (CCT / SCC), normes corporatives vinculants (NCV / BCR), codis de conducta, mecanismes de certificació i clàusules contractuals ad hoc.

  • Tercer pas: avaluar si les garanties adequades previstes en l'article 46 són eficaços, quan procedeixi en col·laboració amb l'importador, entre altres qüestions comprovar si hi ha alguna cosa en la legislació del tercer país que pugui afectar l'eficàcia de les salvaguardes apropiades de l'instrument de transferència de l'article 46 en el qual es basa.

  • Quart pas: si en l'anterior pas es determina que la garantia adequada (art. 46) en què volem basar la TI no és eficaç, s'haurà de considerar, quan procedeixi en col·laboració amb l'importador, si hi ha mesures complementàries que, sumades a les salvaguardes contingudes en la garantia adequada, puguin garantir que les dades transferides tinguin al tercer país un nivell de protecció essencialment equivalent al garantit dins de la UE.

A les llistes no exhaustives descrites en l'Annex 2 de les recomanacions 1/2020 EDPB es poden trobar alguns exemples de mesures tècniques, contractuals i organitzatives que podrien considerar.

Si no es troben o apliquen mesures complementàries eficaces que garanteixin que les dades personals transferits gaudeixin d'un nivell de protecció essencialment equivalent, no s'ha de començar a transferir dades personals a el tercer país de què es tracti sobre la base de l'instrument de transferència triat. Si ja s'està realitzant transferències, s'han de suspendre.

L'autoritat de control competent està facultada per a suspendre o posar fi a les transferències de dades personals a el tercer país si no es garanteix la protecció de les dades transferides que exigeix la legislació de la UE, en particular els articles 45 i 46 GDPR.

  • Cinquè pas: el possible procediment a seguir en cas que s'hagin identificat mesures complementàries eficaces que es vagin a posar en pràctica poden diferir depenent de la garantia adequada de l'article 46 que s'estigui utilitzant o que es prevegi utilitzar:
    • SCC: no és necessari sol·licitar autorització a l'autoritat de control (AC), les mesures complementàries en cap cas podran contradir les SCC.
    • BCR: l'EDPB proporcionarà més detalls el més aviat possible sobre si cal incloure algun compromís addicional.
    • Clàusules ad hoc: encara s'estan debatent les repercussions precises de la sentència Schrems II a les clàusules ad hoc. L'EDPB proporcionarà més detalls el més aviat possible.

  • Sisè pas: revisió periòdica, s'ha de vigilar, de manera permanent -i quan sigui procedent, en col·laboració amb els importadors de dades- l'evolució de la situació al tercer país a què hagi transferit dades personals que pugui afectar l'avaluació inicial del nivell de protecció ja les decisions que es puguin haver adoptat en conseqüència sobre les transferències. La responsabilitat proactiva és una obligació permanent (paràgraf 2 de l'article 5 del GDPR).

Finalment, a l'annex 3 de les recomanacions, l'EDPB indica que l'importador de dades personals ha d'estar en condicions de proporcionar a l'exportador les fonts i la informació pertinents relatives al tercer país en què està establert i a les lleis que li són aplicables. També pot l'exportador de dades personals remetre a diverses fonts d'informació, com les que s'enumeren a continuació de manera no exhaustiva:

  • La jurisprudència de Tribunal de Justícia de la Unió Europea (TJUE) i de el Tribunal Europeu de Drets Humans (TEDH) a la qual es refereixen les recomanacions sobre garanties essencials europees;
  • Decisions d'idoneïtat al país de destinació si la transferència es basa en una base jurídica diferent;
  • Resolucions i informes d'organitzacions intergovernamentals, com el Consell d'Europa, altres òrgans regionals; i òrgans i organismes de les Nacions Unides (per exemple, el Consell de Drets Humans de les Nacions Unides, el Comitè de Drets Humans);
  • Jurisprudència nacional o decisions adoptades per autoritats judicials o administratives independents competents en matèria de privacitat de dades i protecció de dades de terceros países;
  • Informes d'institucions acadèmiques i organitzacions de la societat civil (per exemple, ONG i associacions comercials).