La Sentencia del Tribunal de Justicia de la Unión Europea (TJUE), de 16 de julio de 2020 (Asunto C-311/18) supuso la anulación del Acuerdo Privacy Shield como garantía para realizar transferencias internacionales de datos de carácter personal por parte de responsables de tratamiento ubicados en el Espacio Económico Europeo (EEE) a aquéllos encargados o responsables de tratamiento ubicados en los Estados Unidos. La propia sentencia sugería que el uso las «cláusulas contractuales tipo» de la Comisión Europea, como garantía adecuada y alternativa al Privacy Shield, necesariamente debería combinarse con medidas adicionales, para poder realizar dichas transferencias.
Con el fin de definir y concretar esas medidas adicionales a las que se refería la sentencia, el pasado 10 de noviembre de 2020 el Comité Europeo de Protección de Datos (CEPD) publicó las «Recomendaciones 1/2020, sobre las medidas complementarias a las garantías para realizar una transferencia internacional con el fin de acreditar el cumplimiento en materia de protección de datos». Este documento se encuentra en fase de consulta pública.
En ellas, el CEPD establece un procedimiento para evaluar la necesidad de implementar dichas medidas adicionales, de acuerdo con las garantías contempladas en el Reglamento General de Protección de Datos (RGPD).
El primer paso consiste, a grandes rasgos, en la identificación de las transferencias a realizar, verificando que los datos son relevantes, adecuados y necesarios para el cumplimiento de los fines del tratamiento a que se refiere esa transferencia internacional de datos. A continuación, debe constatarse si las garantías aplicadas para transmitir los datos son adecuadas de acuerdo con el RGPD (p.e.: se basan en Cláusulas Contractuales Tipo). El tercer paso exige analizar la regulación del país tercero y su posible afectación a los derechos de los interesados, todo ello considerando las Garantías Esenciales Europeas establecidas por el CEPD en las Recomendaciones 2/2020, sobre las Garantías Europeas Esenciales en relación con medidas de vigilancia (igualmente sometido a fase de consulta pública).
Si no concurriera el anterior requisito, será necesario implementar medidas adicionales, a cuyo efecto se propone una lista no exhaustiva de posibles medidas:
El CEPD es tajante al indicar que, en caso de que la implementación de las medidas no resulte suficiente para salvaguardar los derechos de los interesados, la transferencia internacional no deberá realizarse o, en su caso, deberá suspenderse.
En último caso se tendrían que respetar las formalidades necesarias para asegurar que la implantación de las medidas. Por ejemplo, si las medidas requieren modificar las Cláusulas Contractuales Tipo, debe solicitarse autorización a la autoridad de control competente.
Todo lo anterior debe completarse con una reevaluación periódica del funcionamiento de las medidas implementadas.
En conclusión, estas Recomendaciones, que aportan una cierta seguridad jurídica que resultaba necesaria a la luz de la sentencia del TJUE, obligan a revisar -de nuevo- las transferencias internacionales de datos que toda empresa esté llevando a cabo, para, cuando sea preciso, completar las garantías adecuadas con otras medidas complementarias que puedan corresponder.