Loading…
La sentencia del TJUE de 16 de julio de 2020 en el asunto Schrems II invalidó el Escudo de Privacidad UE-EE. UU. y dejó claro que las Cláusulas Contractuales Tipo, aunque siguen siendo válidas en principio, no pueden invocarse si el derecho del país de destino socava la protección que proporcionan. Los responsables y encargados del tratamiento deben llevar a cabo una Evaluación de Impacto de la Transferencia (TIA) para cada transferencia.
Las Recomendaciones 01/2020 del EDPB establecen una metodología de seis pasos. Bien hecha, una TIA documenta la transferencia, el régimen jurídico del país de destino, las medidas complementarias aplicadas y su conclusión — defendible ante una auditoría. Mal hecha, es un mero trámite de marcar casillas que se desmorona ante una acción de cumplimiento.
El Marco de Privacidad de Datos UE-EE. UU. (DPF) de 2023 restauró la adecuación para las transferencias a importadores estadounidenses certificados. Pero no cubre todas las transferencias, puede volver a impugnarse (Schrems III ya se ha presentado) y la mayoría de las transferencias fuera de EE. UU. siguen basándose en SCC que requieren una TIA.
El asunto (C-311/18) anuló el Escudo de Privacidad y puso sobre aviso a los usuarios de SCC. El TJUE sostuvo que:
En la práctica: las SCC por sí solas no bastan. La TIA es la prueba documental de que ha hecho el trabajo.
No puede hacer una TIA de aquello que desconoce. Inventaríe:
Use su ROPA del Artículo 30 como punto de partida, pero verifíquelo frente a la infraestructura real. Los proveedores de la nube a menudo replican o conmutan por error a regiones fuera del EEE de forma predeterminada — esto cuenta como una transferencia.
El núcleo de la TIA. Para cada país de destino, evalúe:
La Recomendación 02/2020 del EDPB establece el marco de las «garantías esenciales». Para las transferencias a EE. UU., la Sección 702 de la FISA y la Orden Ejecutiva 12333 son la preocupación clave. Para destinos fuera de EE. UU.: evalúe las leyes del país de forma específica — muchas TIA recurren por defecto a un genérico «adecuado» para países de bajo riesgo sin examen, que es exactamente lo que los reguladores señalan.
Tres categorías. Aplique cada una en combinación:
Desencadenantes de la reevaluación:
El 10 de julio de 2023, la Comisión Europea adoptó una decisión de adecuación para el Marco de Privacidad de Datos UE-EE. UU. (DPF). Para las transferencias a empresas con sede en EE. UU. que se hayan certificado bajo el DPF, el efecto jurídico equivale a una decisión de adecuación plena — sin SCC, sin TIA requerida para la transferencia certificada bajo el DPF.
Consejo práctico: cuando su importador estadounidense esté certificado bajo el DPF, base esa transferencia en la adecuación del DPF, pero mantenga las SCC firmadas de fondo y realice TIA de todos modos como medida de protección frente al futuro.
Por «escenario de transferencia» — normalmente por país de destino + por importador. Puede agrupar en una sola TIA las transferencias al mismo importador que impliquen datos similares. El análisis del derecho del país es reutilizable entre transferencias al mismo país.
No: el EDPB ha aclarado (Directrices 05/2021) que las transferencias bajo el ámbito extraterritorial del artículo 3(2) siguen requiriendo el cumplimiento del mecanismo de transferencia del Capítulo V. No utilice el artículo 3 como vía de escape.
Jurídicamente sí, pero una transferencia de datos fuertemente cifrados en la que el importador no tiene acceso descifrado es una medida complementaria de manual. Muchas TIA concluyen que la transferencia puede proceder precisamente sobre esta base.
Es un dato importante, pero no decisivo. El EDPB ha sido claro: la práctica subjetiva no puede sustituir a la equivalencia del régimen jurídico. Documente el historial de cero solicitudes como prueba de apoyo, pero no base la TIA en ello.
Sí: esa es la conclusión explícita del Paso 6 del EDPB. En la práctica, muchos responsables del tratamiento también (o en su lugar) notifican a su Autoridad de Control, tal como exige la Cláusula 14(f) de las SCC. Documente la decisión de forma rigurosa.
Elaboraremos TIA para sus escenarios de transferencia: módulos de SCC ejecutados, medidas complementarias especificadas y análisis de la legislación del país citado. Listas para auditoría en 2-4 semanas por escenario.