¿La reciente sentencia Schrems II del Tribunal de Justicia de la Unión Europea (“TJUE’) puede afectar a una empresa de LATAM?

El pasado jueves el TJUE dictó la esperada sentencia Schrems II, haciendo priorizar la protección de los datos personales de los europeos sobre las facultades de vigilancia estatal de las autoridades gubernamentales de EEUU. Es la segunda victoria consecutiva que logra este joven abogado austriaco cuestionando los mecanismos de transferencia internacional entre dos mercados, como el europeo y americano, que mueven 7,1 trillones de dólares.  La primera victoria de Schrems había sido en el año 2015, cuando el TJUE le dio la razón y determinó en el derrumbe del Safe Harbour que regía dichas transferencias desde el año 2000.

El Reglamento General de Protección de Datos de la Unión Europea (en adelante “RGPD”), vigente desde mediados de 2018, crea un estricto régimen uniforme de privacidad de datos en toda la Unión Europea, que va mucho más allá de lo que exige la ley de privacidad de EEUU.

RGPD construye un "muro" de protección de datos alrededor del perímetro de la UE y por lo cual los datos personales sólo pueden salir del territorio de la UE hacía otros países, a través de alguna de aquellas ventanas expresamente aprobadas.

Las ventanas son diferentes mecanismos de transferencia de datos que están autorizados bajo el RGPD, entre ellos pueden mencionarse:

  1. decisiones de legislación adecuada bajo el RGPD (al que pertenecen unos pocos como Israel, Nueva Zelanda, Suiza, Canadá, Japón, Argentina y Uruguay entre otros) es la ventana más importante;
  2. cláusulas contractuales estándares, referenciadas como SCC, por sus siglas en inglés standard contract clause; iii)
  3. Acuerdos Corporativos Vinculantes (BCR por siglas en inglés Binding Corporate Rules) son términos pre aprobados por autoridades de UE que las organizaciones multinacionales pueden adoptar como normas internas para la transferencia entre empresas relacionadas.

Todas estas ventanas tienen como común denominador que buscan garantizar que los datos personales una vez transferidos desde la UE continúen protegidos con estándares de privacidad que se aproximen a los del RGPD. La ventana cuya legalidad se discute en el caso Schrems II es la conocida como Privacy Shield (que es un acuerdo para transferencia de datos entre UE y EEUU desde 2016, y que reemplazó al Safe Harbor, ventana abandonada porque este mismo tribunal en el caso Schrems I consideró que era ilegal después de las revelaciones de Snowden en cuanto a las actividades de vigilancia estatal). 

En forma resumida, en la sentencia Schrems II, el TJUE sostiene que:

  • i) el Privacy Shield no es válido porque no garantiza en la jurisdicción de EEUU un grado de protección de los datos personales de los europeos equivalente al reconocido bajo el RGPD porque autoridades gubernamentales pueden acceder a datos transferidos de europeos.
  • ii) las SCC, modelo pre aprobado por Comisión Europea, de compromiso por parte de partes a seguir los estándares RGPD en el manejo de datos personales, son válidas como título para transferencias a jurisdicciones consideradas sin legislación adecuada, pero en ciertas circunstancias no existen las garantías de protección de UE, requiriendo una evaluación del exportador de los datos sobre cualquier potencial acceso de autoridades públicas en ese tercer país.
  • Evoca, una vez más, la máxima de que, para el RGPD, no es suficiente con generar una apariencia de cumplimiento, sino que se precisa un cumplimiento efectivo y proactivo que pueda acreditarse en la práctica (principio de responsabilidad proactiva). En virtud de ese principio, tanto los responsables del tratamiento como las autoridades locales de autoridad de datos pueden decidir suspender la transferencia internacional a aquellas jurisdicciones donde las autoridades públicas cuentan con poder de vigilancia desproporcionado sobre los datos de los europeos (pensemos en China, Reino Unido, India, Rusia, ¿Brasil?) conforme los parámetros del RGPD.


¿Qué importancia tiene para las empresas de LATAM?

Se confirma la relevancia de ser considerado país con legislación adecuada bajo RGPD, como en los casos de Argentina y Uruguay, por ser el título más estable para la transferencia internacional de datos personales, al poder ser modificado solamente por la Comisión Europea.  Sin embargo la decisión de “adecuadas” estaría siendo revisadas bajo el RGPD, al haber sido otorgadas cuando regía la Directiva anterior al RGPD.

Ante lo cual, cualquier jurisdicción que aspire a ser considerada viable para poder procesar datos personales de europeos debe estar atenta a los recaudos cambiantes que son exigibles para ser legislación adecuada o país importador de datos europeos bajo SCC y con garantías equivalentes a la UE.

Esta es una buena oportunidad para todas las organizaciones de la región para sacarse una foto, no basta con una selfie, para poder distinguir dónde estan ubicadas en lo que concierne a la protección de datos personales.

¿A mi organización le resulta aplicable el RGPD dado su alcance jurisdiccional extraterritorial? ¿Tengo un mapeo interno de datos en la organización?

¿Cuál es el ciclo de los datos personales dentro de mi organización? ¿Cómo y por qué los recibo? ¿Qué hago con ellos? ¿Recolecto evidencias fehacientes del tratamiento que les doy?

Si se encarga un tercero del tratamiento de datos por los cuáles soy responsable ¿Qué contrato me une a ese tercero?

¿Recibo transferencias internacional de datos de la Unión Europea ya sea por ser legislación adecuada o bajo algún SCC?   

¿Transfiero datos personales a mi casa matriz en el exterior? En su caso ¿Bajo qué título?

¿Transfiero datos personales para su tratamiento en jurisdicciones de terceros países (cloud computing, etc.)? ¿Reviso que esos 3eros países tengan garantías equivalente a las del RGPD? ¿Las SCC sobre las que transfiero se aprobaron bajo la Directiva? ¿Están actualizadas a la nuevas exigencias bajo el RGPD? 

Si necesitas ayuda para responder e implementar aquellas medidas que acrediten una responsabilidad proactiva en la gestión de aquellos datos personales bajo tu responsabilidad y custodia, contamos con un equipo multidisciplinario regional que puede asesorarte adecuadamente en este tipo de temáticas, que pese a presentar una marcada complejidad se vuelven cada vez más habituales en la gestión de las organizaciones en la región.

Comentarios
* No se publicará la dirección de correo electrónico en el sitio web.