Transferencia de datos: ¿la necesaria valoración de la legislación extranjera?

por | 9 de julio de 2021

Actualización 2 de noviembre de 2022

 

El Consejo Europeo de Protección de Datos (EDPB) proporciona su marco para el cumplimiento del RGPD en caso de transferencia de datos fuera de la Unión Europea.

Recomendaciones 01/2020 sobre medidas que
complementar las herramientas de transferencia para garantizar el cumplimiento de
el nivel de protección de datos personales de la UE
Versión 2.0
Adoptado el 18 de junio de 2021.

 https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_fr

Era de esperar que este marco aligerara las formalidades contractuales de las empresas (Binding Corporate Rules o cláusulas contractuales estándar) en cuanto a la transferencia de datos fuera de la Unión Europea.

Mais il ressort de ce cadre que l’examen minutieux des législations étrangères reste nécessaire, comme le préconise l’arrêt Schrems II (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62018CJ0311), dès qu’une zone territoriale est identifiée comme incertaine par les autorités européennes : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde,

Excepto en el caso de las excepciones previstas en el artículo 49 del RGPD.

De hecho, un Estado soberano puede en todos los casos acceder a los datos, previa solicitud específica: solo una solicitud general de acceso a los datos podría ser impugnada en términos de principios.

En cuanto a las transferencias de datos a Estados Unidos, aún no existe una decisión de adecuación por parte de la Comisión Europea, tras las denominadas sentencias Schrems I TJUE de 6 de octubre de 2015 (C-362/14) (invalidación del Safe Harbour) y Schrems II de 16 de julio de 2020 (C-311/18) (invalidación del Privacy Shield). La legislación estadounidense refleja, en efecto, una concepción de la privacidad centrada en la protección de los ciudadanos estadounidenses, sin incluir a los extranjeros, que no es la universalista de la Unión Europea.

La Cuarta Enmienda a la Constitución de los Estados Unidos establece: "No se violará el derecho de los ciudadanos a estar seguros en su persona, domicilio, papeles y efectos contra registros e incautaciones sin motivo, ni se emitirá ninguna orden excepto bajo presunción grave, corroborada por juramento o declaración solemne y describiendo con precisión el lugar a ser registrado y las personas o cosas a ser apresadas. »

A pesar de los esfuerzos de reconciliación (cf. la reciente orden ejecutiva de Joe Biden del 7 de octubre de 2022 que prevé claramente el recurso a un delegado del poder ejecutivo e incluso a un tribunal independiente pero cuyas opiniones no son ejecutables), la legislación estadounidense aún prevé la vigilancia masiva. y la falta de recursos efectivos en relación con los derechos de los interesados.

Por lo tanto, corresponde ante todo al exportador de datos, en un peligroso ejercicio de evaluación, comprobar la legislación extranjera. El Comité proporciona una lista de fuentes de datos en el Anexo III de sus recomendaciones.

Las nuevas Cláusulas Contractuales Tipo (“SCC”) (adoptadas por la Comisión Europea el 4 de junio de 2021 y publicadas el 7 de junio de 2021, que entrarán en vigor el 27 de junio de 2021, https://eur-lex.europa. eu/eli/ dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=fr) no exime de este ejercicio.

La decisión provisional de Doctolib puede dar pistas sobre cómo asegurar una transferencia de datos: ubicación y encriptación en Francia, obligación de la filial europea de impugnar la solicitud "general" extranjera, datos insensibles, período de retención de datos breve: https://roquefeuil.avocat.fr/2021/04/transfert-de-donnees-sur-un-cloud.html 

Consulte a un abogado especialista en derecho informático

Transferencia de datos a una nube ajena: la decisión de Doctolib

por | 12 de mayo de 2021

CE, ord. ref., 12 de marzo de 2021, Doctolib, req. N° 450163 – Decisión provisional interina

En su decisión Doctolib, el Consejo de Estado reconoce la incompatibilidad del derecho estadounidense con la protección de datos personales en la Unión Europea

Por lo que respecta a Estados Unidos, la sentencia Schrems II (TJUE de 16 de julio de 2020, asunto C-311/18) invalidó el Privacy Shield, equivalente a una decisión de adecuación, que permitía a las empresas que se sometieran a él exportar datos personales a Estados Unidos. La legislación estadounidense autoriza a las autoridades públicas a acceder a los datos personales sin proporcionar a las personas interesadas recursos efectivos.

La empresa Doctolib, que ofrece un servicio de citas médicas en línea, aloja sus datos en los servidores de una subsidiaria de Amazon Web Services (AWS), una empresa constituida bajo la ley estadounidense. Como parte de la campaña de vacunación contra el covid-19, Doctolib ha sido designado por el Ministerio de Solidaridad y Salud para gestionar las citas relacionadas.

El juez de salas del Consejo de Estado conoce de una solicitud de suspensión de esta asociación en la medida en que se infringiría el Reglamento general en protección de datos (UE) 2016/679, de 27 de abril de 2016 (RGPD).

El juez rechaza que:

AWS Sarl, una subsidiaria en Luxemburgo de AWS Inc., es "host de datos de salud" certificado (CSP, art. L. 1111-8). Los datos están alojados en centros ubicados en Francia. y en Alemania y no hay disposición en el contrato para ninguna transferencia de datos a los Estados Unidos por razones técnicas. Dado que AWS Sarl es una subsidiaria de una empresa estadounidense, puede estar sujeto a una solicitud de acceso por parte de las autoridades públicas estadounidenses, según los solicitantes.

Datos en cuestión. – El Consejo de Estado señala que “los datos impugnados incluyen datos de identificación personal y datos de la cita pero sin datos de salud sobre ningún motivo médico para la elegibilidad para la vacunación”, las personas simplemente deben justificar su elegibilidad con una declaración jurada.

Duración de la conversación. - Los datos " se eliminan al final de un período de tres meses a más tardar a partir de la fecha de concertación de una cita, cada persona interesada que haya creado una cuenta en la plataforma con fines de vacunación puede eliminarla directamente en línea”.

Solicitud de acceso por parte de las autoridades públicas de EE.UU. – Para asegurar sus relaciones, se estipula en el contrato queAWS tendrá que impugnar “cualquier solicitud que sea general o no cumpla con la normativa europea ". Esta medida va acompañada de un "dispositivo de aseguramiento de datos alojado por la empresa AWS a través de un procedimiento de cifrado basado en un tercero de confianza ubicado en Francia para impedir la lectura de los datos por parte de terceros”.

> el nivel de protección establecido por las partes “no puede considerarse manifiestamente insuficiente con respecto al riesgo de violación del RGPD”.

 

El alcance de la decisión es relativo en cuanto que se trata de una decisión cautelar provisional que sanciona lo “manifiestamente antijurídico” y que por tanto podría ser subsanable. A seguir.

 
V.también
CNIL, delib. n° 2020-044 del 20 de abril de 2020 y comunicado de prensa del 14 de octubre de 2020
CE, ord. ref., 13 oct. 2020, n° 444937
 
 
es_ESSpanish
es_ESSpanish fr_FRFrench en_GBEnglish de_DE_formalGerman pt_PTPortuguese it_ITItalian