Gonzalo F. Gállego Higueras
Ya lo habíamos advertido. Desde que en su Sentencia de 6 de octubre de 2015 (la "Sentencia Schrems") el Tribunal de Justicia de la Unión Europea ("TJUE") invalidara el esquema de Puerto Seguro para transferencias de datos a Estados Unidos[1], todo hacía presagiar que el derribo de los mecanismos para transferir datos personales fuera del Espacio Económico Europeo ("EEE"), no acabaría allí. Como si de una fila de fichas de dominó se tratase, la caída del Puerto Seguro ponía en peligro la estabilidad de las demás "fichas"…. Y la segunda ficha ya se está tambaleando…
[1] Como excepción al régimen general de las autorizaciones (ver nota al pie siguiente), la normativa de protección de datos permite las transferencias a aquellos países (o receptores) que, aun estando fuera del EEE, otorgan un "nivel adecuado de protección" respecto del tratamiento de datos personales. En principio, estos países (o receptores) de "nivel adecuado" son determinados por la Comisión Europea mediante la correspondiente Decisión. En el año 2000, la Comisión Europea dictó una Decisión acordando que aquellas entidades estadounidenses que suscribiesen determinados principios denominados de "Puerto Seguro", serían consideradas como receptores "adecuados" y se permitiría a las entidades comunitarias, transferirles datos personales con libertad. Desde su aprobación, miles de entidades europeas y estadounidenses se venían amparando en este Puerto Seguro para transferir datos personales. La invalidación del Puerto Seguro dejó a todas estas miles de transferencias internacionales huérfanas de base legal.
En efecto, el pasado 25 de mayo, la plataforma "Europe v Facebook" liderada por Max Schrems, anunciaba la decisión de la autoridad irlandesa de protección de datos (Data Protection Commissioner) de solicitar a la Corte Superior de Irlanda (Irish High Court), la remisión al TJUE de una cuestión prejudicial cuestionando la validez de las cláusulas tipo para transferencias internacionales[1], como mecanismo para crear garantías adecuadas que posibiliten la transferencia internacional de datos a entidades en terceros países. Como ocurriera con el Puerto Seguro, una respuesta negativa del TJUE podría desembocar en la anulación de este mecanismo de transferencia internacional usado en masa y auténtico baluarte de miles de transferencias que se amparaban antes en el Puerto Seguro.
Abierta aún la herida que causó en el tejido empresarial español (y europeo) la invalidación del Puerto Seguro, y a la espera de que la "sutura" Privacy Shield[2] se materialice y verifique su pretendida eficacia "antihemorrágica", la amenaza a la validez de las cláusulas tipo ha generado una lógica y honda preocupación entre multitud de organizaciones huérfanas de criterios claros y con más preguntas que respuestas sobre cómo actuar. Ante este situación, procede adoptar una actitud sosegada pero atenta y activa, que parta de la adecuada comprensión de lo que está ocurriendo y de la ponderación de las alternativas disponibles. Seguidamente les hago llegar algunas aclaraciones y reflexiones a modo de preguntas y respuestas, que espero les ayuden a establecer la mejor estrategia a seguir ante una "amenaza" que, si juegan bien las cartas (o, mejor, sus fichas), podrían incluso convertir en "oportunidad":
1.¿Es esto algo que me concierna?
Sí, casi seguro.
Es muy probable que su empresa u organización realice transferencias internacionales de datos personales fuera del EEE. Sin ánimo de ser exhaustivos, ello es fácil que ocurra, por ejemplo, si su organización:
(a)Es usuaria de soluciones Software as a Service (SaaS) o de sistemas de almacenamiento o infraestructuras basados en "la nube" (Cloud Computing)[3];
(b)Utiliza recursos (Ej. alojamiento de datos, call centres, help desk, etc.) fuera del EEE (incluso aunque sea a nivel intra-grupo) o emplea recursos comunitarios que subcontratan otros fuera del EEE para alojar o simplemente realizar operaciones que requieran acceso remoto a los datos (algo cada vez más corriente); y/o
(c)Forma parte de un grupo multinacional, donde la matriz o grandes centros de decisión a los que reporte se encuentran fuera del EEE.
De todas estas transferencias internacionales - especialmente tras la invalidación del Puerto Seguro - un gran número (la mayoría) se legitiman (o lo harán, porque el proceso de regularización post-Safe Harbor aún sigue en marcha) con las cláusulas tipo cuya validez se ve amenazada. Por lo tanto, para un elevadísimo porcentaje de organizaciones (posiblemente la suya), la supervivencia o no de las cláusulas tipo afecta directamente a su capacidad de continuar realizando esas transferencias internacionales que precisa para su actividad, lo que constituye una cuestión capital que debe ser monitorizada y anticipada.
2.¿Es seguro que el TJUE invalidará las cláusulas tipo?
No, aunque no debe subestimarse el riesgo de que ello ocurra.
La posición que adoptó el TJUE respecto al Puerto Seguro, lleva a pensar que es probable que las cláusulas tipo vayan a ser invalidadas. No obstante, desde una postura quizás algo Naíf, no descarto que el TJUE concluya que no procede invalidar las cláusulas tipo, al menos, de forma general.
Las cláusulas tipo y los Principios de Puerto Seguro, fueron elaborados tomando como referencia el mismo criterio de "nivel de protección adecuado". En este sentido, si, de acuerdo con el TJUE, el Puerto Seguro no alcanza el listón de protección adecuada mínimo, bien podría pensarse que las cláusulas tipo tampoco lo alcanzarán y, por ello, correrán la misma (mala) suerte que el "difunto" Puerto Seguro. Sin embargo, desde mi punto de vista, las cláusulas tipo y el Puerto Seguro tienen una diferencia esencial, que hace que las primeras puedan acabar siendo "indultadas".
En efecto, a diferencia de los Principios de Puerto Seguro que tenían un alcance general para todas las entidades estadounidenses adheridas a los mismos, las cláusulas tipo solo determinan la "protección adecuada" respecto de una concreta transferencia internacional que se realiza entre un exportador comunitario específico y un importador en un tercer país determinado. En este sentido, la eficacia real de las cláusulas tipo para crear ese nivel adecuado de protección, depende de las circunstancias concretas de la transferencia, entre otras, de las características y ubicación del importador. Así, por ejemplo, las cláusulas tipo pueden no garantizar la protección de los datos personales que se remitan a un importador situado en un país regido por un gobierno totalitario que no respeta derechos ni libertades (Ej. ¿Alguien puede pensar que un importador de datos situado en Corea del Norte pudiese impedir que su Gobierno accediese a los datos que recibe del exportador comunitario, por más que las cláusulas tipo acordadas con éste lo impidiesen?).
Sin embargo, esas mismas cláusulas tipo pueden crear garantías perfectamente adecuadas cuando el importador se encuentra en un país que, aun siendo "no adecuado", cuenta con una legislación de protección de datos completa y una autoridad de protección de datos que vela por su cumplimento y donde es muy probable que las limitaciones establecidas en las cláusulas tipo sean respetadas (Ej. México).
Por lo tanto, desde mi punto de vista, a diferencia de lo que ocurrió con el Puerto Seguro, donde el análisis de "adecuación" sólo requería contrastar el contenido de los Principios de Puerto Seguro frente a la normativa de Estados Unidos que era aplicable a todos los importadores adheridos a los mismos, las cláusulas tipo no deberían poder declararse "no adecuadas" en abstracto y de forma general ya que el nivel y la eficacia de la protección que generan se encuentra anudada a las circunstancias del caso concreto.
Desde esta perspectiva, el TJUE, a lo sumo, podría condicionar la validez de las cláusulas tipo, diciendo que, por ejemplo, no son suficientes cuando el importador se encuentra en un país que no respeta determinadas garantías (Ej. tutela judicial efectiva a los interesados), pero sí lo son en otro caso. Tal postura del TJUE mantendría en vigor las cláusulas tipo, si bien es cierto que supondría trasladar al exportador comunitario la responsabilidad de valorar las condiciones del país de destino de los datos, antes de decidirse a utilizar cláusulas tipo.
No creo en todo caso que ello supusiese una carga especialmente pesada. En primer lugar, es probable que en poco tiempo se publicasen listados más o menos oficiales de países con los que sería posible utilizar cláusulas tipo. Junto a ello, hay que tener en cuenta que en España las cláusulas tipo no bastan para transferir los datos, siendo siempre necesario obtener la autorización de la AEPD. Así las cosas, en nuestro país, sería la AEPD, en última instancia, quien habría de cerciorarse de la existencia de "garantías adecuadas" ofrecidas por el exportador, lo que incluiría confirmar la eficacia de las cláusulas tipo atendiendo a las circunstancias del importador, entre otras, su país.
3.Este asunto afecta únicamente a las transferencias de datos a EEUU, ¿verdad?
No. Afecta a cualquier transferencia internacional.
La cuestión prejudicial que es probable que se plantee ante el TJUE, toma como referencia las transferencias internacionales que tienen lugar con destino a EEUU en el contexto del uso de Facebook. Sin embargo, lo cierto es que la suerte que corran las cláusulas tipo afecta por igual a cualquier transferencia con destino a un país "no adecuado" fuera del EEE.
En cambio, el Puerto Seguro invalidado en su momento, era un mecanismo de transferencia destinado únicamente a determinados importadores de datos estadounidenses. Por ello, su invalidez no afectó - al menos no de forma inmediata y directa - a las transferencias con destino a otros países (e incluso con destino a EEUU siempre y cuando no se basasen en el Puerto Seguro). Sin embargo, las cláusulas tipo no entienden de países, por lo que la "onda expansiva" de su invalidación tendría mayor alcance que la de la anulación del Puerto Seguro.
4.¿Cuándo podrían quedar invalidadas las cláusulas tipo?
De aquí a un año y medio o dos años, aproximadamente.
En el momento actual, la autoridad irlandesa de protección de datos (Data Protection Commissioner) simplemente ha anunciado que pretende solicitar a la Corte Superior de Irlanda (Irish High Court), la remisión de la cuestión prejudicial al TJUE. Esta solicitud debe ser primero aceptada por la Corte Superior y tramitada mediante el procedimiento correspondiente. Después, planteada ya la cuestión ante el TJUE, se iniciará un procedimiento comunitario que no es corto.
Por lo tanto, la "vida" de las cláusulas tipo no corre un peligro inmediato en lo que respecta al TJUE. Otra cosa es que la Comisión Europea, tras haber sido "escaldada" con la invalidación del Puerto Seguro, sea proactiva y remplace ella misma las cláusulas tipo con otras más proteccionistas para con los datos transferidos internacionalmente. En todo caso, si ello llegara a ocurrir, es probable que la Comisión estableciese un periodo transitorio razonable, para que las nuevas cláusulas tipo fuesen adoptadas. Un calvario como el que está haciendo padecer el TJUE a las organizaciones europeas con su abrupta invalidación del Puerto Seguro, no es esperable que se repita.
5.¿Afectaría la invalidación de las cláusulas tipo a las transferencias internacionales que venían amparándose en ellas?
Si usted se encuentra sometido a la normativa española de protección de datos, no debería afectar, salvo que la AEPD decida otra cosa mediante un procedimiento ad hoc.
En la mayor parte de países de la Unión Europea, la invalidación de las cláusulas tipo (en caso de que ocurra) afectará a las transferencias internacionales de datos amparadas en las mismas. Estas transferencias internacionales deberán ser legitimadas sobre otras bases legalmente establecidas al no existir ya garantía de que las bases utilizadas hasta la fecha (i.e. los contratos basados en las cláusulas tipo) son suficientes.
Sin embargo, el caso de España es particular. En nuestro país (y algo así ocurre también en otros, pocos, Estados Miembros de la Unión Europea) las cláusulas tipo no son suficientes por sí solas para legitimar las transferencias internacionales de datos personales. Las cláusulas tipo firmadas con el importador, son solo las garantías que el exportador aporta para que, tras validarlas, la Directora de la AEPD autorice o no la transferencia internacional. Por lo tanto, en España, el exportador de datos cuenta con un título específico y distinto a las cláusulas tipo para transferir los datos: la autorización de la AEPD. Ello tiene una transcendencia capital en el caso que nos ocupa.
Así es; en el contexto de una autorización de transferencia internacional solicitada ante la AEPD y, en sentido estricto, las cláusulas tipo no son más que una de tantas "garantías adecuadas" que pueden ser aportadas por el exportador. Es cierto que el uso de las cláusulas tipo copa la inmensa mayoría de solicitudes de autorización que se presentan en nuestro país. Sin embargo, ello no es óbice para que cuando la AEPD emite una autorización, lo haga tras haber confirmado por ella misma que "se obtienen garantías adecuadas" y tras haber evaluado dicha Agencia el carácter adecuado del destino de los datos "atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos" (art. 33 LOPD[4]).
El hecho de que las cláusulas tipo se establezcan en una Decisión de la Comisión Europea vinculante para los Estados miembros, obliga a la AEPD a aceptar, solo de entrada, la suficiencia de las garantías ofrecidas. Sin embargo, ello no afecta en ningún caso a su competencia para determinar la existencia real de garantías en el caso concreto. De hecho, incluso cuando se usan cláusulas tipo, bajo la normativa de protección de datos (art. 70.3 RLOPD[5]), la AEPD goza de facultad plena para denegar la autorización de transferencia internacional si, por ejemplo, considera que "la situación de protección de los derechos fundamentales y libertades públicas en el país de destino o su legislación impidan garantizar el íntegro cumplimiento del contrato y el ejercicio por los afectados de los derechos que el contrato garantiza". De igual forma, debe tenerse en cuenta que el carácter vinculante de las Decisiones que aprueban las cláusulas tipo ha de matizarse ya que las mismas Decisiones reservan la facultad de las autoridades de supervisión de los Estados miembros, de prohibir o suspender las transferencias internacionales amparadas por las cláusulas tipo.
En este sentido, si a la vista de un contrato basado en cláusulas tipo aportado por el exportador, la AEPD autoriza la transferencia internacional, ello es porque entiende que en el caso concreto, dicho contrato proporciona garantías adecuadas. El que tales garantías consistan en las cláusulas tipo es relevante, pero no decisivo, dada la facultad de la AEPD para rechazar la autorización aunque se utilicen dichas cláusulas.
En este contexto, a mi juicio y frente a lo que ocurre en otros muchos países de la Unión Europea, si el TJUE invalida las cláusulas tipo, tal invalidación no debería afectar de forma directa y automática a las transferencias internacionales amparadas por autorizaciones otorgadas por la AEPD hasta ese momento. Tales autorizaciones habrían sido otorgadas tras haber valorado la AEPD la suficiencia de las garantías contractuales otorgadas de forma autónoma y libre (porque, como hemos dicho, pudo negar la autorización). Dichas garantías estarían constituidas por un contrato entre partes (exportador e importador) que, aun incorporando las cláusulas tipo, constituiría un instrumento legal autónomo a las Decisiones de la Comisión mediante las que se aprobaron las cláusulas tipo. La invalidación por el TJUE de dichas Decisiones de cláusulas tipo, no sería motivo para la terminación automática de los contratos que las incorporan, siendo tales contratos (todavía en vigor), lo que, en definitiva, valoró la AEPD al otorgar en su día la autorización.
Ahora bien, otra cosa es que la AEPD, en ejercicio de las facultades que establece el art. 70.3 RLOPD en relación con el 37.1 (f) LOPD, decidiese suspender las transferencias internacionales autorizadas. Sin embargo, ello precisaría de un procedimiento que debería tramitarse para cada caso concreto y donde el exportador tendría derecho a ser oído (art. 141 y ss. RLOPD).
En fin, como observan, tanto lamentarse uno del agravio comparativo que supone para España la existencia de las autorizaciones de transferencia internacional obligatorias, y ahora resulta que tendremos que alegrarnos de tenerlas. Ver para creer.
6.Aunque se invaliden las cláusulas tipo, ¿podré realizar transferencias internacionales de datos personales?
Claro que sí. Simplemente deberá saber cómo.
Las cláusulas tipo (con autorización, en España) son solo uno de los mecanismos previstos para legitimar transferencias internacionales de datos personales. Dependiendo de las características de sus transferencias internacionales, usted podría ampararse en otros procedimientos como Normas Corporativas Vinculantes (BCR)[6], consentimiento, necesidad de transferencia para cumplir un contrato o incluso en garantías contractuales distintas a las cláusulas tipo, que puedan ser validadas y autorizadas por la AEPD.
Por otro lado, es previsible que antes de que se dicte la Sentencia del TJUE (si es que se llega a plantear la cuestión prejudicial), la Comisión Europea publique nuevas Decisiones remplazando las cláusulas tipo actualmente en liza. Esas nuevas cláusulas tipo siempre podrán ser utilizadas para amparar sus transferencias internacionales.
7.¿Y ahora qué hago?
Llegamos a la pregunta decisiva. Todo lo expuesto hasta ahora confluye en el diseño de una estrategia para afrontar la posible invalidación de las cláusulas tipo. La determinación de esta estrategia depende de muchísimos factores y no puede establecerse en un texto divulgativo como el presente. Sin embargo, aquí van algunas ideas para su consideración:
- Si usted usa habitualmente cláusulas tipo para sus transferencias internacionales, puede seguir utilizándolas (especialmente en España, donde se requiere autorización de la AEPD). Sin embargo, tómese la opción de las cláusulas tipo como algo transitorio y piense en un "Plan B" a medio/largo plazo y empiece a pensar alternativas (amén de monitorizar la posible aprobación de nuevas cláusulas tipo por la Comisión Europea).
- Si usted forma parte de una multinacional que venía usando cláusulas tipo para regularizar sus transferencias internacionales intra-grupo, le recomiendo enfáticamente que piense en implementar Normas Corporativas Vinculantes (BCR). Salvo que estas transferencias internacionales sean realmente escasas, la malla de contratos basados en cláusulas tipo que su grupo soporta merma muchísimo su capacidad de reacción ante acontecimiento venideros. Al diseñar estas Normas Corporativas Vinculantes (BCR) podrá (y deberá) tener en cuenta el estándar de "protección adecuada" diseñado por el TJUE en la Sentencia Schrems. En esa flexibilidad de las Normas Corporativas Vinculantes, reside uno de sus principales factores de éxito.
- Si usted es un proveedor multinacional que realiza transferencias internacionales intra-grupo de los datos que trata por cuenta de sus clientes, también le aconsejo que piense en adoptar Normas Corporativas Vinculantes (BCR) de encargado del tratamiento. Ello le evitará tener que acudir a sus clientes para rehacer múltiples contratos con cláusulas tipo si es que éstas acaban siendo remplazadas por la Comisión Europea y/o la AEPD decide suspender las autorizaciones otorgadas.
- Si usted es un proveedor de servicios que realiza transferencias internacionales en entornos "cloud", habrá notado que las cláusulas tipo actualmente en vigor contienen disposiciones (Ej. subencargados, auditorías) de difícil encaje. En este caso, al margen de las Normas Corporativas Vinculantes (BCR) de encargado del tratamiento, tal vez sea buena idea que cree sus propias cláusulas contractuales ad hoc adaptadas a sus necesidades y las someta a la opinión de las autoridades de protección de datos de la Unión Europea mediante el procedimiento de cooperación establecido por el Grupo de Trabajo del Artículo 29 en su Documento de Trabajo WP 226 de 26 de noviembre de 2014.
- Finalmente, haga de esta "amenaza" una "oportunidad". Aproveche la coyuntura para mejorar la gestión global de las transferencias internacionales e innove. Este es un momento para "desmarcarse" de los competidores y agilizar sus procesos internos. Haga bandera de sus BCR, de sus cláusulas contractuales "ad hoc", etc. Cree nuevos productos o servicios gracias a la posibilidad de transferir datos internacionalmente.
[1] En España, como criterio general, las transferencias de datos de carácter personal fuera del EEE están prohibidas, salvo que medie autorización de la Directora de la Agencia Española de Protección de Datos ("AEPD"). Tales autorizaciones son otorgadas cuando la entidad española solicitante de la autorización, presenta ante la AEPD garantías que acreditan que la entidad receptora de los datos situada fuera del EEE, realizará un tratamiento adecuado de los datos. Muy habitualmente (prácticamente, siempre), estas garantías se obtienen mediante la suscripción entre la entidad española y la extranjera, de un contrato que incorpore unas cláusulas contractuales modelo o tipo que han sido aprobadas por la Comisión de la Unión Europea ("UE"), en tres Decisiones de 2001, 2004 (modificando la de 2001) y 2010. Estas son las que denominados "cláusulas tipo".
[2] Principio de acuerdo alcanzado entre la Comisión Europea y las autoridades de EEUU, para regular las transferencias internacionales de datos personales a EEUU. Se trata de un acuerdo destinado a remplazar al invalidado Puerto Seguro. A la fecha de este artículo, el Privacy Shield todavía no ha sido adoptado.
[3] Conforme al reciente informe de Penteo "Highway to cloud", el 97% de las empresas españolas usan "Cloud Computing".
[6] Reglas internas de las que se dota un grupo multinacional, y que genera un "cerco de adecuación" que permite realizar transferencias internacionales libremente dentro del grupo multinacional. Véase más información sobre este procedimiento de transferencia internacional, aquí.