Patricia Chenlo Mollinedo

Adjunta al DPO del Grupo Repsol

Tal día como hoy, no podíamos dejar de comentar uno de los grandes hitos en privacidad del 2020 y que casi seis meses después, nos sigue dando quebraderos de cabeza en nuestro día a día como Delegados de Protección de Datos, auditores, asesores o técnicos. El tema que os comparto no es otro que el de las transferencias internacionales post Schrems II.

De forma muy resumida y por si quedara algún despistado sin haber leído las noticias, comenzaremos esta reflexión refrescando lo que ha significado la sentencia Schrems II. En julio del año pasado, el Tribunal de Justicia de la Unión Europea decidió cambiar las reglas del juego y dejar de forma fulminante invalidado el Escudo de Privacidad y tocadas y hundidas las cláusulas contractuales tipo.

No sintiéndose cómodo con este revuelo, decidió cargar un poquito más a los responsables exportadores de datos con tareas tan ligeras como realizar un análisis del nivel de adecuación de la normativa del país de destino o la obligación de estipular medidas de seguridad adicionales hasta alcanzar el estándar europeo…facilísimo, ¡coser y cantar!

¿Que supuso de forma inmediata para todos los DPOs y asesores externos? Encontrarnos con el 90% de nuestros encargados de tratamiento no europeos bloqueados por no disponer de garantías para realizar los tratamientos de datos que les habíamos encomendado. Lo que se tradujo en una situación de indefensión para todos nuestros clientes y empleados, así como para nosotros mismos como supervisores del cumplimiento.

Durante unos días -incluso se podría decir semanas- no podíamos hablar de otra cosa, poner en común, leer y releer ojipláticos la sentencia, ya que desprevenidos, lo que se dice desprevenidos, no nos pillaba a ninguno, pero vernos robados de unos valiosos meses de gracia, eso sí que no se lo esperaba nadie y nos cogió como un jarro de agua fría.

La respuesta de los afectados (nuestros queridos amigos americanos) no se hizo esperar, y se produjo a través de un White Paper emitido por los Departamentos de Comercio y Justicia y la Oficina del Director de Inteligencia Nacional de EE. UU. Con esta manifestación pública buscaban "rebatir" la sentencia señalando que la mayor parte de la información personal que se transfiere a EEUU no es de interés para sus servicios de inteligencia (seguro que los miembros del Tribunal de Justicia se han quedado muchísimo más tranquilos).

¿Cómo hemos salido del atolladero los Delegados de Protección de Datos? Pues como lo hacemos siempre, esta profesión nos está haciendo estrategas y creo que la mayoría de nosotros somos capaces de lanzar medidas de mitigación como si de estrellas ninja se tratasen.

Sin período de transición ni moratoria alguna teníamos que ser rápidos para no frenar partes de nuestros negocios, así que sin hablar de casos particulares comentados con colegas creo que, en general, los pasos que seguimos se podrían abreviar en: pedir a nuestros proveedores que ellos proactivamente nos facilitaran assestments en los cuales incluyeran un detalle de su normativa local, como segunda línea  de actuación y en aquellas empresas con capacidad económica para ello, encriptamos todos los datos en origen, de forma que no migraran en la medida de lo posible bases de datos no tokenizadas y por último, reforzamos las cláusulas contractuales tipo de todos los contratos.

Una vez el fuego se convirtió en humo, comenzamos a considerar las circunstancias concretas, como realizar análisis específicos para aquellas BB.DD. con categorías especiales de datos, si fuera necesario, informar a los interesados y darles la opción de “ejercer el derecho de recurso contra el responsable del tratamiento”, analizar o evaluar la efectividad de las garantías adicionales, o buscar alternativas en proveedores comunitarios, entre otras.

A modo de reflexión final, creo que la lección aprendida de esta situación, bajo mi punto de vista, es que ni la Schrems I, ni la Schrems II, ni las 101 reclamaciones interpuestas, ni la amenaza de sanción, van a ser capaces de frenar la globalización en la prestación de servicios y con ello el flujo de datos a Estados Unidos, así que como DPOs o asesores en privacidad, debemos mantenernos en guardia porque esta historia no ha llegado a su punto final.