El instrumento jurídico que permitía el flujo de datos entre Estados Unidos y la Unión Europea, “Privacy Shield” (o “Escudo de Privacidad”), ha sido anulado al igual que su predecesor, el denominado “Safe Harbor”, lo que parece indicar que nos encontramos ante un problema de incompatibilidad entre dos sistemas muy diferentes con una visión distinta de la privacidad y la protección de datos.

Actualmente, son muchas las empresas que recurren a servicios de hosting mailing, software en la nube,contratación electrónica prestados por proveedores estadounidenses o cuyos servidores se encuentran en EE.UU., por lo que resulta esencial que las Autoridades ofrezcan una solución a la mayor brevedad.

Si bien es cierto que existen alternativas al Privacy Shield, la ausencia de pronunciamientos oficiales por parte de la U.E., así como de las Autoridades de Control de los países miembros, hace que actualmente ninguna de ellas sea del todo adecuada. Por tanto, la primera opción sería esperar a un pronunciamiento de la U.E. con instrucciones claras de actuación, pero en caso de que la solución oficial tardara demasiado en llegar, otras opciones que resultarían viables para las empresas son: (i) migrar los datos personales a servidores alojados dentro del Espacio Económico Europeo (EEE) o, (ii) cambiar de proveedor a otro que aloje los datos dentro del EEE.

Aparte de lo anterior, figuras alternativas para cubrir las necesidades antes cubiertas por el Privacy Shield serían las siguientes:

1. Las Cláusulas contractuales tipo (CCT) son un instrumento que ofrece las garantías adecuadas para transferir datos personales a encargados del tratamiento establecidos en terceros países. Tras la Sentencia del TJUE, estas cláusulas siguen siendo válidas, pero se añaden nuevas obligaciones para los exportadores e importadores, así como un mayor control por parte de las Autoridades de Control, lo cual podría suponer un obstáculo para su uso.

Por tanto, los modelos de CCT actuales no contemplan el contenido de la Sentencia del TJUE, por lo que deberemos esperar a unas nuevas que las sustituyan. Sin embargo, hasta que exista una solución por parte de Europa, probablemente esta sería la vía más adecuada de realizar transferencias internacionales.

2. Normas corporativas vinculantes o Binding Corporate Rules (BCR). Se trata de políticas adoptadas por el Responsable del tratamiento (o Encargado) con el objetivo de aportar garantías para la transferencia de datos a otro Responsable o Encargado situado en un tercer país.

A diferencia de las CCT, este instrumento se ajustaría en menor medida a las necesidades reales de una PYME o empresa no multinacional, puesto que esta vía está orientada a grandes grupos de empresas que realizan transferencias internacionales de datos entre distintos países sin nivel adecuado de protección de forma frecuente. Además, su uso se encuentra condicionado a la aprobación de la Autoridad de Control, en el caso de España, la Agencia Española de Protección de Datos (AEPD).

3. Excepciones para situaciones específicas: Cuando no se cuente con ninguno de los instrumentos mencionados, el RGPD contempla una serie de exenciones para la realización de transferencias internacionales, como el consentimiento explícito del interesado. Estas excepciones deben aplicarse caso por caso y su aplicación práctica es muy limitada. Lamentablemente, esta vía, de carácter muy excepcional, tampoco sería viable para el normal funcionamiento de una empresa que necesita alojar sus datos en su día a día.

Toda esta situación genera que muchos se pregunten si será más complicado y costoso lograr una protección de datos adecuada a partir de ahora. Resulta difícil realizar una valoración sobre esta cuestión sin conocer la opinión de las Autoridades de Control, pero todo indica que las intenciones –al menos así lo ha manifestado el CEPD (Comité Europeo de Protección de Datos) tras la publicación de la Sentencia del TJUE- van encaminadas a reconstruir un marco válido que siga amparando el flujo de datos entre EE.UU. y la U.E.

Finalmente, como última opción, cabría plantearse si las empresas deberían paralizar el tratamiento y transferencia de datos a Estados Unidos hasta que se solucione el nuevo sistema legal y así no arriesgarse a ser multadas. Sin embargo, desde PONS IP aconsejamos que se estudien todas las alternativas que ofrece la normativa para que las empresas no se vean obligadas a interrumpir su actividad.

En cuanto a las posibles sanciones, las transferencias internacionales de datos que se sigan realizando bajo el marco del Privacy Shield ya no tendrán validez legal, por lo que a ojos de las Autoridades de Control existiría un incumplimiento. No obstante, la AEPD atiende a una serie de criterios para imponer sanciones, entre otros, el dolo y la culpabilidad. Por tanto, parece claro que, al encontrarnos en una situación tan excepcional y sin orientación ni directrices por parte de las propias Autoridades de protección de datos, el ánimo de la AEPD no debería ser sancionador, al menos hasta que exista un criterio que puedan seguir las empresas y que ofrezca seguridad a todos.

Por el momento, el CEPD sigue trabajando en una solución a nivel europeo. Hasta entonces, las empresas que realizan de manera habitual transferencias internacionales deberán contar con asesoramiento especializado, tanto para escoger la alternativa que más se ajuste a sus necesidades, como para conocer las nuevas obligaciones que van a tener que asumir. Todo ello resulta imprescindible para continuar realizando transferencias internacionales sin incurrir en posibles sanciones por parte de las autoridades.

• Estrella Arana y Paula Barrachina
• Abogadas de Protección de Datos de PONS IP