En octubre de 2015, el mundo de la privacidad se cimbró al conocer que el Tribunal de Justicia de la Unión Europea (TJUE) había resuelto declarar como inválido al sistema de transferencias internacionales de datos personales ampliamente conocido como “Safe Harbor” (aquí la “Sentencia Safe Harbor”)

En un post que está a punto de cumplir cinco años, comenté las implicaciones de esta resolución para México.

Hoy, 16 de julio de 2020, el mismo TJUE ha emitido la “Sentencia Schrems II” mediante la cual anula el sistema de transferencia internacionales conocido como “Privacy Shield”. Esta sentencia también podrá tener implicaciones para nuestro país, incluso más profundas que la Sentencia Safe Harbor.

Un poco de contexto:

Tras la anulación del sistema Safe Harbour (o Puerto Seguro), la Comisión Europea y los Estados Unidos se vieron abocados a la negociación “exprés” de un sistema que lo sustituyera y que siguiera permitiendo el flujo de datos desde la Unión Europea (UE) hacia empresas de los Estados Unidos de América.

El resultado de esas negociaciones fue el “Escudo de Privacidad”, el famoso Privacy Shield, regulado en la UE a través de la “Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.”

En su momento, hablé de las implicaciones de Privacy Shield como mi amigo Joel Gómez Treviño, y todo parecía arreglado…. parecía.

La Decisión de Adecuación conferida por Privacy Shield acaba de ser anulada y, además, el TJUE acaba de declarar la validez de las Cláusulas Contractuales Tipo, insertando una bomba de tiempo en su sentencia (lo explico más adelante).

Para ciertas empresas mexicanas, los efectos de la anulación de Privacy Shield son parecidos a los que se derivaron de la anulación del Puerto Seguro, y por ello retomo algunos ejemplos y reflexiones que hice hace cinco años:

1. Un prestador de servicios mexicano, en su carácter de “encargado” o “data processor”, trata datos personales provenientes de clientes ubicados en la UE.
2. Para prestar esos servicios, la empresa mexicana ha celebrado Cláusulas Contractuales Tipo, mediante las cuales ofrece garantías para asegurar que los datos personales a los que tiene acceso serán tratados con un nivel adecuado de protección (o sea, con el mismo nivel que maneja la UE).
3. Ahora bien, el prestador de servicios mexicano debe subcontratar determinados servicios con empresas ubicadas en los EEUU, y por esa razón sus clientes europeos le exigen incluir este tipo de disposiciones en el Data Processing Agreement que de manera adicional a las Cláusulas Contractuales Tipo debe firmar con ellos:
   • Los subencargados estarán adheridos a Privacy Shield, con anterioridad a la fecha de su contratación,
   • Los subencargados conservarán su adhesión a Privacy Shield,
   • En caso de que los subencargados perdiesen o no renovasen su adhesión a Privacy Shield, se comunicaría esta situación al responsable (europeo) y se detendrá de inmediato el tratamiento de datos personales en los EEUU.

Y hete aquí que no es que los subencagados dejen de estar adheridos a Privacy Shield… es que Privacy Shield ya no existe, lo han declarado nulo.

En estas circunstancias, surgen las mismas preguntas que surgieron cuando anularon Safe Harbour:

• ¿Como garantizo lo que me piden desde Europa, si Privacy Shield ha sido anulado?
• Cuando tengan negocios con clientes europeos, ¿los prestadores de servicios deben descartar el envío de datos personales hacia los EEUU?
• Si lo hacen o continúan haciéndolo, ¿pueden acusarlos de enviar datos hacia un lugar que la UE han declarado no seguro, ¿correcto?

Aquí entra en juego otra parte esencial de la sentencia del TJUE y la bomba de tiempo que mencioné al inicio.

El TJUE ha declarado, expresamente lo siguiente:

El examen de la Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, en su versión modificada por la Decisión de Ejecución (UE) 2016/2297 de la Comisión, de 16 de diciembre de 2016, a la luz de los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales no ha puesto de manifiesto la existencia de ningún elemento que pueda afectar a la validez de dicha Decisión.

Entonces, las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países siguen vigentes y el TJUE ha declarado que no existen elementos que afecten su validez.

Pero OJO, el TJUE deja asentadas estas consideraciones en su sentencia:

141. Por tanto, es evidente que las cláusulas 4, letra a), y 5, letras a) y b), del referido anexo obligan al responsable del tratamiento establecido en la Unión y al destinatario de la transferencia de datos personales a asegurarse de que la legislación del país tercero de destino permita al antedicho destinatario cumplir con las cláusulas tipo de protección de datos recogidas en el anexo de la Decisión CPT, antes de llevar a cabo una transferencia de datos personales a ese país tercero. Por lo que atañe a esta comprobación, la nota a pie de página relativa a la mencionada cláusula 5 precisa que las obligaciones impuestas por esa legislación que no vayan más allá de las restricciones necesarias en una sociedad democrática para la salvaguardia, en particular, de la seguridad del Estado, la defensa y la seguridad pública no están en contradicción con las cláusulas tipo de protección de datos. Por el contrario, tal como ha subrayado el Abogado General en el punto 131 de sus conclusiones, el hecho de acatar una obligación dictada por el Derecho del país tercero de destino que vaya más allá de lo necesario para la consecución de tales fines debe considerarse una violación de las antedichas cláusulas. La apreciación, por parte de esos operadores, del carácter necesario de esa obligación deberá, en su caso, tener en cuenta la constatación de la adecuación del nivel de protección garantizado por el país tercero de que se trate que se recoja en una decisión de adecuación de la Comisión, adoptada en virtud del artículo 45, apartado 3, del RGPD.

142. De lo anterior se desprende que el responsable del tratamiento establecido en la Unión y el destinatario de la transferencia de datos personales están obligados a comprobar, previamente, el respeto, en el país tercero de que se trate, del nivel de protección exigido por el Derecho de la Unión. El destinatario de esa transferencia tiene, en su caso, la obligación, en virtud de la misma cláusula 5, letra b), de informar al responsable del tratamiento de su eventual incapacidad para cumplir con esas cláusulas, incumbiendo entonces a este último suspender la transferencia de datos o rescindir el contrato.

Así pues, se ha puesto en manos del responsable de tratamiento establecido en la UE y del destinatario de la transferencia de datos personales comprobar PREVIAMENTE al envío de los datos que el país tercero (en este caso, los EEUU) respeta el nivel de protección a los datos personales que es exigido por el derecho de la UE. Todo lo cual, obviamente, complicará el papel de aquellos encargados que subcontratan a empresas americanas para prestar sus servicios a clientes de la UE.

Como ya ocurrió antes, nos enfrentamos a varias incógnitas que deberán ser respondidas conforme vayamos asimilando esta nueva sentencia. Mientras tanto, quedan estas líneas para comenzar la reflexión, que en la UE y los EEUU se antoja todavía más intensa.

¡Hasta la próxima!