La Comissió ha validat de nou el Privacy Shield. Continua essent el millor mecanisme per les transferències internacionals als Estats Units?

Cristina Borrell
Ecix Group

La Comissió Europea va publicar el darrer 24 d’octubre de 2019 l’informe sobre la tercera revisió anual del funcionament del Privacy Shield entre la Unió Europea (UE) i els Estats Units. En aquesta ocasió, la Comissió ha avaluat els esforços realitzats per part dels Estats Units per donar compliment a les millores exigides per part de la UE. Entre ells, destaca el nomenament dels principals òrgans de supervisió i recurs, tals com el del Defensor del Poble, Ombudsman, o la supervisió sistemàtica mitjançant controls mensuals a les empreses autocertificades en el Privacy Shield. No obstant això, la Comissió conclou que és necessari adoptar una sèrie de mesures concretes  per tal de garantir el funcionament efectiu del Privacy Shield, tals com intensificar les investigacions de conformitat amb els requisits substantius del Privacy Shield, reforçar el procés de certificació o recertificació de les empreses que participen d’aquest  procés retallant els terminis, o elaborar directrius concretes pel tractament de les dades relacionades amb les activitats de recursos humans.

Per a tota empresa multinacional és vital tenir presència internacional a fi d’oferir serveis i productes de forma global. En aquest sentit, resulta imprescindible poder compartir informació i exponencialment, dades personals, amb les distintes seus, filials i sucursals, així com centralitzar o descentralitzar el tractament d’aquesta  informació  i utilitzar-la de forma conjunta o sectorial per millorar l’eficiència i inclús obtenir rèdit de la mateixa. A més, complir amb el marc regulador en aquesta matèria obre les portes del lliure mercat, atès que realitzar transferències de dades de forma lícita suposa la superació d’una de les principals barreres en l’accés al mercat d’un país.

En particular, del règim jurídic de les transferències Internacionales de dades previst als  articles 44 a 49 del Reglament General de Protecció de Dades es desprèn el següent:

- Les Decisions d’adequació adoptades per la Comissió Europea persegueixen l’objectiu d’obrir les portes al comerç internacional atès que les mateixes faciliten les transferències internacional de dades respecte dels territoris consolidats com socis comercials de la UE.

Encara que són revisades anualment per la Comissió, nombrosos són els exemples que evidencien la falta de seguretat jurídica i la carència de mecanismes per a la protecció del interessat, sent el més conegut el cas Schrems.

- Pel que fa a les Clàusules contractuals tipus adoptades per la Comissió Europea, cal dir que, si bé és un mecanisme que ja funcionava en el règim de la Directiva 95/46/CE, ha quedat sobrepassat per la magnitud dels fluxos de dades de les companyies i que no ha estat encara actualitzat a les exigències del RGPD.

Endemés, l’ús de clàusules contractuals tipus presenta una estructura tremendament rígida que no permet actualitzar-les de  forma àgil segons les necessitats del sector, nous tractaments de dades, o canvis en la legislació nacional.
És més, de la mateixa manera que en el cas de les decisions d’adequació, les clàusules contractuals tipus també han estat qüestionades recentment en el marc del Cas Schrems II. Així doncs, es preveu que el seu futur es determinarà pel Tribunal de Justícia de la Unió Europea, no  abans  de 2020. De ser  així,  la possible invalidació de les mateixes suposaria un autèntic obstacle, en tant que és el mecanisme més utilitzat a la pràctica per realitzar transferències de dades a tercers països de fora de la UE.

- Respecte a l’elaboració de Codis de conducta, cal dir que suposen un mecanisme poc específic per a la transferència internacional de dades. Si bé és cert que l’Agencia Española de Protección de Datos ha establert el contingut que han d’incloure i que és un mecanisme proposat pel  RGPD com a vàlid per regular  aquesta situació, convé recordar que el contingut dels codis de conducta aborda moltes qüestions que s’escapen de l’àmbit de la protecció de dades. En conseqüència, és poc probable que pugui abordar un element tan específic com són les transferències internacionals de dades de forma exhaustiva. D’altra banda,  actualment, els codis tipus no es troben adequats a les exigències del RGPD.

- En quant als Mecanismes de certificació, aquests han de ser adoptats per organismes de certificació degudament acreditats segons l’establert a l’article 43 RGPD, o per l’Autoritat de Control competent. La certificació atorgada tindrà una vigència màxima de 3 anys. Una vegada transcorri aquest termini s’haurà de renovar la certificació. No obstant, de la  mateixa forma que succeeix  amb els  mecanismes presentats anteriorment, actualment no existeixen certificacions en matèria de transferències Internacionales.

- Finalment, s’indica l’alternativa que ofereix majors garanties en el marc de les companyies multinacionals. Les Normes Corporatives Vinculants (BCR per les seves sigles en anglès) se situen com el mecanisme de transferències internacionals més plausibles en companyies multinacionals, en tant que s’articulen com un mecanisme d’autoregulació, que  permet actualitzar-les a nous tractaments, adaptar-les a nous usos de la tecnologia, i als canvis de legislació nacional.

Tanmateix, és destacable que no es troben subjectes a inseguretat jurídica, a diferència de las decisions d’adequació o les clàusules contractuals tipus, i que es regeixen per criteris jurídics adoptats pel Comitè Europeu de Protecció de Dades, fet que garanteix que són respectuoses amb els drets i llibertats de l’interessat i no vetllen únicament pels interessos de la companyia.

Com a conclusió, a la vista de la revisió pendent de les clàusules contractuals tipus, la inseguretat davant una nova revisió del Privacy Shield, els mecanismes de certificació i els codis de  conducta, és recomanable per a les companyies multinacionals que explorin altres vies  como les BCRs, amb la finalitat d’aconseguir seguretat  jurídica, així com una estructura flexible que pugui adaptar-se a l’aparició de nous tractaments de dades.