Carlos B Fernández. La situación creada por la conjunción de la salida del Reino Unido de la Unión Europea y, casi simultáneamente, la sentencia del TJUE que anulaba el acuerdo Privacy Shield, para la transferencia de datos entre la UE y los Estados Unidos, ha dado pie a una compleja situación.
La transferencia de datos personales entre empresas europeas y del Reino Unido a territorios situados fuera de la Unión, principalmente a los Estados Unidos, es uno de los ejes fundamentales de la economía moderna. Por tanto, su paralización u obstaculización supone también la de la actividad económica.
Dada la importancia del tema, la Asociación Profesional Española de la Privacidad (APEP), organizó recientemente una sesión que, moderada por la vicepresidenta y responsable de formación de la asociación, María Arias, contó con la participación de dos de los principales expertos internacionales en esta materia, Cecilia Álvarez, EMEA Policy & Privacy Director de Facebook y Eduardo Ustarán, Global Co head of Privacy and Cibersecurity de Hogan Lovell en Londres.
La importancia de la transferencia de datos
Para subrayar la relevancia del libre flujo de datos y el impacto que la sentencia Schrems II ha tenido tanto sobre el sector privado como el público, Cecilia Álvarez comenzó recordando el reciente informe Schrems II Impact Survey Report, que refleja entidades de todo tipo y tamaño y en relación con cualquier tipo de datos o procesos de negocio, realizan flujos internacionales de datos. En particular, las empresas de la UE realizan un extraordinario tráfico de datos con los EEUU, que es mayor conforme aumenta su tamaño.
Por ello, explicó, las cláusulas contractuales tipo (CCT) uno de los mecanismos contemplados por el RGPD para permitir la transferencia de datos entre países, tienen un peso importante, porque son utilizadas en su mayoría por empresas europeas, no solo extranjeras con base en la UE, pero también del UK y de UK. Las CCT Se utilizan, además, para transferencias de información a otros países distintos de USA (aunque a estos vaya el 94% de los datos), además de a UK y a Asia. En todos estos casos, la CCT son particularmente importante, aunque no haya que olvidarse de otros tipos de mecanismos existentes.
La situación tras el Brexit
Cecilia Álvarez explicó también que en el acuerdo de 24 de diciembre entre la UE y el Reino Unido, se acordó un período puente de cuatro meses, prorrogables por otros dos, en el cual se mantiene la ficción de que los británicos y la UE siguen juntos, en tanto no se negocie el acuerdo final o se obtenga la declaración de adecuación. Pero ahora seguimos en un acuerdo temporal (interim agreement), que no plantea la necesidad de otras medidas, pese a que muchas organizaciones han ido preparando claúsulas contractuales tipo.
Además, durante este período el Reino Unido se obliga a no negociar con los USA un Privacy Shield bilateral.
¿Obtendrá el Reino Unido la declaración de adecuación?
En relación con la elaboración de un borrador de decisión de adecuación por parte de la Comisión, Eduardo Ustarán advirtió, en primer lugar, que en el mundo actual, restringir las transferencias de datos es complicado.
Por ello, a pesar de las diferencias políticas tras el Brexit, lo que va a imperar en el Reino Unido es la voluntad de continuar con la libertad de movimiento de datos que hasta ahora ha existido dentro de la UE. Por eso los siguientes pasos se van a orientar a procurar el mantenimiento de ese principio, no solo con la UE sino también con el resto del mundo. Todo ello aunque en el Reino Unido exista una inevitable tendencia por diferenciarse de la UE, pero beneficiándose a la vez de las oportunidades que ofrece estar fuera de la Unión.
En opinión de Ustarán, aunque los últimos meses se podrían definir como una especie de montaña rusa de sensaciones, él no tiene dudas de que los británicos obtendrán esa declaración. Para ello se basa en que los requisitos para otorgar una declaración de adecuación son bastante claros y se sintetizan en dos puntos: que el marco normativo de la jurisdicción relevante sea equivalente al de la UE y que exista un control sobre el acceso a los datos por las autoridades públicas. En cuanto al primer aspecto, Ustarán y Álvarez fueron rotundos: por lo que se refiere al Reino Unido no es que el marco normativo británico sea equivalente al de la Unión, sino que es el mismo. Lo prueba el que la Data Protection Act contiene unas 400 referencias al RGPD. Y en cuanto al segundo punto, Ustarán subrayó que la ley británica es clara al respecto y, además, se trabaja permanentemente en la mejora de sus controles democráticos.
Por ello, y aunque todavía faltan algunos pasos formales, ambos expertos consideran que está prácticamente garantizada la obtención de una declaración de adecuación para el Reino Unido que, como las demás, será objeto de revisiones periódicas, pero que permitirá mantener el status quo en cuanto a las transferencias Internacionales de datos entre la UE y el UK.
Transferencia de datos comerciales y de datos penales
Cecilia Álvarez añadió que, además, si se comparan otras decisiones de adecuación ya otorgadas, incluida la de Japón, que es la más moderna al ser posterior a la publicación del RGPD, la del Reino Unido es la más elaborada, rigurosa y completa.
Y es que, explicó Álvarez, es la primera vez que se cuenta con dos borradores de decisiones de adecuación en relación con un Estado: uno en relación con los que podríamos denominar datos comerciales, o la forma en que ha sido implementado el RGPD en el Reino Unido, que básicamente es la misma que en la Unión, con algunas excepciones, en particular con la inmigración; y otro en relación con la implementación en Gran Bretaña de la Directiva sobre protección de datos personales de carácter penal o judicial, que se aprobó antes que el RGPD y que deja mayor margen a los estados.
Ambos documentos son muy concienzudos, señaló, porque se nota que la Comisión no ha querido correr el riesgo de que pudiesen ser anulados en vía jurisdiccional. Además, la Comisión ha puesto énfasis en el hecho de que el Reino Unido ha sido estado miembro hasta hace muy poco tiempo, compartiendo la misma normativa, lo que ayuda en este sentido. El hecho de que ahora estemos separados no quiere decir que no se compartan los principios fundamentales y poco se puede enseñar al Reino Unido en cuanto a democracia y respeto de los derechos fundamentales, señaló.
¿Hay un plan B para el caso de que no se concediera la declaración de adecuación?
Por todo ello, Cecilia Álvarez expresó su convencimiento de que si el Reino Unido no lograse la declaración de adecuación, habría que preguntarse si no habría que cambiar el RGPD en este punto, porque sería increíble, tal como han manifestado también algunas autoridades nacionales.
Pero además, añadió, hay que tener en cuenta que uno de los efectos del Brexit es que RU ya no va a estar sujeto a lo que diga el Comité Europeo de Protección de Dataos ni el TJUE, sin perjuicio de que compartan los mismos valores. Y eso es algo muy relevante, porque la misma norma se puede interpretar de manera no necesariamente idéntica.
Los ingleses, explicó Álvarez, se caracterizan por su pragmatismo, lo que se traduce en tener presente todo el marco de la situación. Y en este sentido, considera que no todo el problema está en el flujo de datos de carácter personal, sino en el hecho de que este flujo es lo que hace que muchas instituciones y negocios funcionen, algo que no es tenido por algunas autoridades de protección de datos.
Además, continúo, la autoridad de control británica, el ICO, tiene el mandato constitucional de valorar en qué medida sus decisiones tienen un impacto económico. Algo que sería muy bueno que compartieran otras autoridades, porque los datos forman parte de nuestra economía, son datos duales, derecho fundamental y activo comercial, y ambas realidades deben poder convivir en una visión equilibrada.
Finalmente, añadió que un análisis desapasionado sobre el uso de otros instrumentos contemplados en el RGPD revela que no van a ser contempladas de la misma forma que una declaración de adecuación, si se tiene en cuenta la protección efectiva del derecho que persigue la protección de datos.
Eduardo Ustarán precisó por su parte, que no parece que vaya a ser necesario un plan B en forma de cláusulas tipo. Hay que tener que el Reino Unido tiene las mismas restricciones para la realización de las transferencias internacionales de datos que existen en el RGPD, con las mismas excepciones. Las diferencias pueden aparecer con los años, cuando la jurisprudencia del TJUE no sea aplicable en ese país. Ello podrá suponer que las transferencias de datos a países sin declaración de adecuación, se someterán a los mismos requisitos que si se realizan desde España, pero teniendo en cuenta enfoques pragmáticos para poder llevarlas a cabo según lo previsto en el RGPD para hacerlas posibles, no imposibles. Por ello no considera correcta la postura adoptada por algunas autoridades de control en el sentido de que los datos solo pueden estar en Europa.
La clave es intentar proteger los datos allá donde estén, y probablemente hacia esa postura es hacia la que evolucione UK.
¿Qué recorrido tienen las normas corporativas vinculantes?
Sobre este particular, Ustarán explicó que el Reino Unido ha sido pionero en la adopción y aceptación de las normas corporativas vinculantes (o BCR, por su abreviatura en inglés). De hecho, el reconocimiento de este mecanismo fue una de las victorias del RGPD que se deben agradecer a ese país.
En su opinión, sin duda el ICO adoptará un enfoque práctico para que la utilización de este tipo de mecanismos crezca, desde una concepción global de que los datos se mueven globalmente.
Y aunque el ICO no ha aceptado todavía ninguna BCR, lo más probable es que busque una manera práctica de confiar en las empresas, lo que supone una decisión estratégica importante para las empresas, que deben confiar en este instrumento.
Cecilia Álvarez añadió que la salida del Reino Unido de la UE le va a permitir ganar agilidad a la hora de impulsar este tipo de medidas, pues ya ya no tendrán que hablar con nadie más (además de evitarse las traducciones, siempre complejas).
¿Seguirá siendo el ICO una autoridad de referencia a nivel mundial?
Álvarez considera a este respecto que el ICO ha sido hasta ahora la autoridad de control que ha dispuesto de más recursos a nivel mundial, lo que les ha hecho ser muy competitivos en cuanto a personal. Este, además, dada su extracción, generalmente procedente de entidades políticas y económicas relevantes, como el FMI, tiene una visión del sector privado y empresarial muy amplia, lo que le permite cumplir sus objetivos. La facilidad de poder comunicarse internacionalmente en su propia lengua les ha convertido en una referencia en Asia-Pacífico y, en no poca medida, también en Europa y en menor medida en Latinoamérica.
En cuanto a su ámbito de influencia, el propio Comité europeo reconoce que se echa de menos a los británicos, porque eran muy activos (más del 50% de las decisiones del GT29 procedían de ellos) e introducían un alto nivel técnico, nuevamente gracia a su carácter tan pragmático.
Además, es previsible que con el tiempo adopten posiciones diferentes a las del Comité, por lo que su papel será relevante.
Eduardo Ustarán añadió que, en su opinión, el ICO va a jugar un papel fundamental después del Brexit, pues va a intentar hacer lo que ha hecho siempre: interpretar la ley de una manera realista. También intentará mantener su capacidad de liderar la protección de datos de una manera global, porque no es una materia propia de la UE, sino global.
Por ello, entiende que la política regulatoria de UK a partir de ahora va a ser progresista, en el sentido de que va a tener que mantenerse el respeto a la protección de datos. Algo que considera compatible con una interpretación de la ley de una manera práctica, compatible con la innovación y el progreso, que es la línea que cree que va a mantener el ICO.