ANÁLISIS DE LAS RECOMENDACIONES 01/2020 EDPB SOBRE MEDIDAS QUE COMPLEMENTAN LOS INSTRUMENTOS DE TRANSFERENCIA PARA GARANTIZAR EL CUMPLIMIENTO DEL NIVEL DE PROTECCIÓN DE DATOS PERSONALES DE LA UE
Adoptada el 10 de noviembre de 2020
El capítulo V del GDPR regula las transferencias de datos personales (TI) a terceros países y establece que la transferencia no debe socavar el nivel de protección de las personas físicas garantizado por el GDPR (artículo 44). La sentencia TJUE C-311/18 (Schrems II) subraya la necesidad de garantizar la continuidad del nivel de protección que el GDPR garantiza a los datos personales transferidos a un tercer país.
Las implicaciones de la sentencia Schrems II se extienden a todas las transferencias de datos personales a terceros países (TI). Y no existe una solución única para habilitar y legitimar todas estas transferencias, ya que esto ignoraría la amplia diversidad de situaciones que se podrían dar en este contexto de transferencia de datos personales. Los exportadores de datos (responsables o encargados) deberán evaluar sus tratamientos de datos personales que impliquen transferencia de estos datos a terceros países y tomar medidas efectivas teniendo en cuenta el orden legal de esos terceros países a los que transfieren o pretenden transferir datos.
El principio de responsabilidad proactiva, necesario para garantizar la aplicación efectiva del nivel de protección conferido por el GDPR, se aplica también a las TI, ya que son una forma de tratamiento de datos en sí mismas. Como subrayó el Tribunal en su sentencia, un nivel de protección esencialmente equivalente al garantizado en la Unión Europea por el GDPR debe garantizarse independientemente de la disposición del capítulo V sobre la base de la cual se realiza una transferencia de datos personales a un tercer país.
Para aplicar el principio de responsabilidad proactiva (art. 5.2 GDPR) a las TI, el EDPB (European Data Protection Board), en las recomendaciones 01/2020 propone una hoja de ruta con los pasos a seguir para averiguar si el exportador de datos necesita establecer medidas complementarias para poder transferir legalmente los datos fuera del EEE. Se deberá documentar adecuadamente esta evaluación y las medidas complementarias que se seleccionen y apliquen, y poner dicha documentación a disposición de la autoridad de control competente cuando ésta la solicite. La hoja de ruta contendría los siguientes pasos:
Primer paso: conocer las TI que se están llevando a cabo, incluso su trazabilidad.
Segundo paso: identificar a través de que instrumento habilitante de los propuestos en el capítulo V del GDPR podemos llevar a cabo la TI, esto es cuando:
Están basadas conforme al art. 45 en una decisión de adecuación adoptada por la Comisión de la UE
Se dan alguna de las excepciones contempladas en el artículo 49, es decir consentimiento del interesado (explícito, específico para la TI, e informado, en particular de los posibles riesgos), relación contractual (TI ocasional y necesaria para el contrato), interés público (reconocido en la legislación de la UE o sus estados miembros), o interés vital; además de estar a todo los requisitos exigidos en dicho precepto, no debe convertirse en “la regla general”, sino restringirse a situaciones específicas. El artículo 49 tiene un carácter excepcional
A falta de una de las excepciones del artículo 49 y a falta de una decisión de adecuación contemplada en el artículo 45, están basadas en garantías adecuadas de las contempladas en el artículo 46: cláusulas contractuales tipo (CCT/SCC), normas corporativas vinculantes (NCV/BCR), códigos de conducta, mecanismos de certificación y cláusulas contractuales ad hoc.
Tercer paso: evaluar si las garantías adecuadas contempladas en el artículo 46 son eficaces, cuando proceda en colaboración con el importador, entre otras cuestiones comprobar si hay algo en la legislación del tercer país que pueda afectar a la eficacia de las salvaguardas apropiadas del instrumento de transferencia del artículo 46 en el que se basa.
Cuarto paso: si en el anterior paso se determina que la garantía adecuada (art. 46) en que queremos basar la TI no es eficaz, se tendrá que considerar, cuando proceda en colaboración con el importador, si existen medidas complementarias que, sumadas a las salvaguardas contenidas en la garantía adecuada, puedan garantizar que los datos transferidos tengan en el tercer país un nivel de protección esencialmente equivalente al garantizado dentro de la UE.
En las listas no exhaustivas descritas en el Anexo 2 de las recomendaciones 1/2020 EDPB se pueden encontrar algunos ejemplos de medidas técnicas, contractuales y organizativas que podrían considerarse.
Si no se encuentran o aplican medidas complementarias eficaces que garanticen que los datos personales transferidos gocen de un nivel de protección esencialmente equivalente, no se debe empezar a transferir datos personales al tercer país de que se trate sobre la base del instrumento de transferencia elegido. Si ya se está realizando transferencias, se deben suspender.
La autoridad de control competente está facultada para suspender o poner fin a las transferencias de datos personales al tercer país si no se garantiza la protección de los datos transferidos que exige la legislación de la UE, en particular los artículos 45 y 46 GDPR.
Por último, en el anexo 3 de las recomendaciones, el EDPB indica que el importador de datos personales debe estar en condiciones de proporcionar al exportador las fuentes y la información pertinentes relativas al tercer país en el que está establecido y a las leyes que le son aplicables. También puede el exportador de datos personales remitirse a varias fuentes de información, como las que se enumeran a continuación de manera no exhaustiva: