En el presente número de Breves de Regulación Digital, analizamos las preguntas y respuestas frecuentes del Comité Europeo de Protección de Datos en el Asunto C-311/1 (Data Protection Commissioner v. Facebook Ireland Ltd and Maximillian Schrems) por el que el TJUE declaró inválido el ‘Privacy Shield’. Además, esta semana, la Agencia Española de Protección de Datos ha publicado la nueva Guía sobre el uso de cookies, cuyas novedades abordamos en segundo lugar.
1. Preguntas y Respuestas Frecuentes del Comité Europeo de Protección de Datos
Tras la resolución del TJUE por la que se declaró inválida la Decisión que permitía la realización de transferencias internacionales de datos basadas en el Escudo de Privacidad (‘Privacy Shield’), el European Data Protection Board (EDPB o CEPD) ha dado respuesta a las preguntas más frecuentes recibidas por las autoridades de supervisión sobre el caso C-311/18. Destacamos algunas de las preguntas y respuestas más relevantes para la operativa de las compañías.
a) ¿Qué se debe hacer en el caso de que la compañía estuviese transfiriendo datos a una compañía estadounidense adherida a las ‘Privacy Shield’?
Las transferencias internacionales de datos basadas en el ‘Privacy Shield’ han pasado a ser consideradas como ilegales, por lo que dichas transferencias deberán realizarse con otros mecanismos de los contemplados en el RGPD.
b) ¿Tiene la sentencia del TJUE implicaciones en otros mecanismos de transferencias aparte de las Privacy Shield?
Dado que la normativa interna de EEUU es de aplicación a cualquier transferencia de datos a los Estados Unidos por medios electrónicos, que esté en el ámbito objetivo de esta legislación, afecta a éstas transferencias, con independencia del instrumento utilizado para realizar dicha transferencia.
c) ¿Existe algún período de gracia durante el cual pueda seguir transfiriendo datos a los Estados Unidos sin evaluar la base legal para la transferencia?
No, no se ha establecido ningún periodo de gracia para adecuar la base legal que sustente la transferencia internacional.
d) ¿Qué sucede con las transferencias a una compañía estadounidense basadas en Cláusulas Contractuales Tipo?
El TJUE establece que la legislación de Estados Unidos no garantiza un nivel de protección suficiente. Por tanto, deberá evaluarse dicha transferencia caso por caso y las medidas complementarias que se hayan adoptado.
Si dicha evaluación revela que la transferencia de datos sobre la base de las Cláusulas Contractuales Tipo (CCT) no asegura las salvaguardas adecuadas, la compañía estará obligada a suspender o poner fin a tales transferencias internacionales de datos, mientras que si tiene la intención de seguir efectuando estas transferencias a pesar de la conclusión alcanzada lo deberá notificar a la autoridad competente.
Esta evaluación aplica también a las Binding Corporate Rules (BCR), en la medida en que la legislación estadounidense también tendrá primacía sobre este mecanismo.
e) ¿Pueden las compañías seguir utilizando las CCT o las BCR para realizar transferencias de datos a terceros países que no sean los EE.UU.?
El TJUE ha indicado que, por regla general, tanto las CCT como las BCR pueden seguir siendo utilizadas para realizar transferencias de datos a un tercer país.
No obstante, ha puntualizado el Tribunal, el umbral establecido para las transferencias internacionales de datos a los Estados Unidos aplica igualmente a cualquier tercer país, tanto en lo relativo a las CCT como a las BCR.
Por lo tanto, del mismo modo, para determinar si las garantías que proporcionan las CCT y las BCR pueden, en definitiva, cumplirse en la práctica, corresponde al exportador de los datos y al importador de los mismos evaluar, en cada caso concreto, si en el tercer país se garantiza el nivel de protección requerido por la normativa europea.
Para ello, las compañías deben contactar con el importador del país de destino, para verificar la legislación aplicable en su país y colaborar en la evaluación oportuna.
Como sucede con los EEUU, en caso de que tal evaluación revele que los datos transferidos usando las CCT o las BCR no reciben un nivel de protección esencialmente equivalente al garantizado en Europa, tales transferencias deberán ser inmediatamente suspendidas. En caso de no suspenderse, deberá notificarse a la autoridad competente.
Sostiene igualmente el EDPB que, antes de transferir datos personales a un tercer país las autoridades de supervisión tendrán asimismo un papel fundamental que desempeñar al hacer cumplir el Reglamento y al emitir nuevas decisiones sobre las transferencias internacionales.
2. Guía sobre el uso de las cookies
Esta semana, la AEPD ha publicado la nueva Guía sobre el uso de cookies, relativa a los supuestos en los que resulta aplicable el apartado segundo del artículo 22 de la LSSI, y como la anterior Guía, se aplica a cualesquiera dispositivos de almacenamiento y recuperación de datos (cookies y tecnologías similares) en cualesquiera equipos terminales de los destinatarios.
La Guía se ha actualizado y revisado atendiendo a las aclaraciones realizadas por el Comité Europeo de Protección de Datos, sobre la condicionalidad del consentimiento y el consentimiento inequívoco.
En relación con el análisis acerca del modo en que se puede recabar el consentimiento del usuario para la utilización de cookies, establece que, el consentimiento puede obtenerse mediante fórmulas expresas, también de forma inferida de una inequívoca acción realizada por el usuario, en un contexto en el que se le haya facilitado información clara y accesible sobre las finalidades de las cookies y si van a ser utilizadas por el mismo editor y/o por terceros. En ningún caso por inactividad del usuario.
La principal novedad reside en determinar, como habían hecho las autoridades de control de otros países del entorno UE, que “seguir navegando no es una forma válida de prestar el consentimiento. Del mismo modo, la consulta de la segunda capa informativa si la información se presenta por capas, así como la navegación necesaria para que el usuario gestiones sus preferencias en relación con las cookies, no es una conducta activa de la que pueda derivarse la aceptación de cookies.”
También siguiendo las directrices del Comité Europeo “no podrán utilizarse los denominados “muros de cookies” que no ofrezcan una alternativa al consentimiento”. Los servicios de ambas alternativas deberán ser genuinamente equivalentes, y además no será válido que el servicio equivalente lo ofrezca una entidad ajena al editor.
El plazo para adecuar los mecanismos de obtención de consentimiento y las Políticas de cookies finaliza el 31 de octubre de 2020.
¿Qué tienen que hacer las empresas?
Consecuencia de los dos temas anteriores, las compañías deberán:
- Analizar los flujos actuales de datos personales con destino a EEUU. Revisar la base que sustentaba las comunicaciones de datos personales, discriminando aquellas que se amparaban en el ‘Privacy Shield’.
- Evaluar el resto de transferencias con destino EEUU sustentadas en cláusulas contractuales tipo o BCR y determinar si son necesarias medidas adicionales.
- Evaluar el resto de transferencias con destino a terceros países distintos a EEUU, si la legislación interna del país de destino ofrece garantías suficientes, y en su caso, evaluar cuales deben ser las medidas oportunas a incluir.
- Y en cuanto a las Cookies: Implementar, antes del 31 de octubre de 2020, los cambios que sean necesarios en la forma de obtener el consentimiento, si se estaba utilizando como mecanismo “seguir navegando” o en aquellos casos en los que se condicionaba el acceso a los servicios y funcionalidades a la aceptación por el usuario del uso de cookies sin ofrecer una alternativa.