AMETIC, la Asociación Española de Startups y Adigital han manifestado hoy su inquietud en relación con las medidas propuestas por el Comité Europeo de Protección de Datos (CEPD) para realizar transferencias de datos personales a terceros países, especialmente tras la anulación del acuerdo de Privacy Shield. Esas propuestas aparecen recogidas en las Recomendaciones 01/2020 del CEPD sobre medidas adicionales a las Cláusulas Contractuales Tipo (CCT), cuyo proceso de consulta pública finaliza hoy.
Las transferencias internacionales de datos personales son, en este momento, un elemento vertebrador y consustancial en la actividad diaria de todos los usuarios de internet, y de cualquier empresa, medio de comunicación, entidad pública, o sin ánimo de lucro. Por ejemplo, son necesarias en el comercio para empresas con clientes fuera de la UE, y también para hacer posible la colaboración internacional en la investigación.
De acuerdo con un estudio publicado por la Comisión Europea, el valor de la Economía de los Datos podría alcanzar los 829.000 millones de euros en la UE para 2025, con una incidencia en el PIB del 5,9%. En este contexto, la posibilidad de continuar realizando transferencias internacionales de datos en base a las CCTs es fundamental, más aún teniendo en cuenta la inexistencia de un instrumento jurídico para las transferencias con destino a EE.UU. como resultado de la anulación del acuerdo de Privacy Shield.
Por eso, AMETIC, la Asociación Española de Startups y Adigital llaman hoy la atención sobre la necesidad de que los intercambios puedan producirse en un marco sólido y estable, con las máximas garantías en materia de derechos y libertades fundamentales, y advierten de que las Recomendaciones 01/2020 no tienen en cuenta la realidad de las empresas ni el impacto que puede tener establecer medidas como las propuestas.
En ellas, el CEPD va más allá de la sentencia de anulación del Privacy Shield y abandona la filosofía basada en el riesgo que se ha adoptado para el RGPD. Como resultado el CEPD incluye una enorme lista de requisitos formales que harían las transferencias de datos muy complicadas o incluso imposibles: el CEPD incluye algunos ejemplos que sugieren que hay casos en los que no es posible garantizar la seguridad de los datos.
A nivel europeo, de acuerdo con los últimos datos publicados en una encuesta promovida por Business Europe y Digital Europe, las empresas europeas son usuarias intensivas de las CCTs que permiten la realización de transferencias internacionales: la usan el 85% de las compañías encuestadas. No obstante, el impacto de la sentencia es importante y muchas de las empresas no están preparadas, ya que tan solo la mitad ha reevaluado el uso de las CCTs para continuar realizando transferencias de datos con destino a Estados Unidos después de la anulación del acuerdo de Privacy Shield.
Por todo ello, las organizaciones firmantes alertan sobre el impacto negativo que podrían tener las medidas propuestas para el desarrollo de las empresas europeas. Las consideran excesivamente prescriptivas y, en algunos casos, desproporcionadas. Esto, explican, imposibilita recurrir a otro tipo de medidas organizativas o contractuales fundamentadas en los riesgos existentes a la hora de operar en un mercado globalizado y, en última instancia, afecta de forma negativa a la posición geopolítica europea.
De esta manera, AMETIC, la Asociación Española de Startups y Adigital hacen un llamamiento a las instituciones de la Unión Europea para que acuerden, de manera prioritaria, el diseño de un marco viable para las transferencias de datos personales que dote de garantías y seguridad jurídica a largo plazo a este tipo de operaciones. En particular, es indispensable que las recomendaciones del CEPD estén alineadas con las CCT de la CE en lo que a la aproximación al riesgo y la proporcionalidad se refiere.
Proponen, además, que, mientras se desarrolla un modelo estable para la realización de transferencias, se establezca una moratoria razonable sobre la aplicación de la sentencia del TJUE respecto a las transferencias con destino a EE.UU., durante la cual las autoridades europeas en materia de protección de datos no sancionen a las empresas y organizaciones que han venido actuando en el marco del Privacy Shield, hasta la creación de ese nuevo marco garantista y reforzado para la transferencia de datos internacionales.
Las tres organizaciones piden a la Autoridad de Control que jueguen un papel clave junto a sus homólogos europeos dentro del Comité Europeo de Protección de Datos. Este organismo, defiende, debe asumir urgentemente la responsabilidad de evaluar los riesgos existentes en terceros países, para ofrecer unas directrices claras y establecer las garantías adicionales que puedan ser necesarias para la transferencia de datos personales a dichos países, para facilitar la labor de las empresas y organizaciones exportadoras de datos y garantizar la seguridad jurídica del proceso.