EN VIGOR DES DEL 23 DE JULIOL DE 2020

AFECTACIÓ DE LASENTÈNCIA SCHREMS II ALES TRANSFERÈNCIESINTERNACIONALS DE

DADES ENTRE ANDORRA IELS EUA

Sentència del Tribunal de Justicia de la Unió Europeaen l'assumpte C-311/18 - Comissaria de Protecció deDades vs. Facebook Irlanda i Maximillian Schrems

Article 35 - Requisits per a la comunicació internacional de dades No es poden efectuar comunicacions internacionals de dades quan el país de destinació de les dades noestableixi, en la seva normativa vigent, un nivell de protecció per a dades de caràcter personal equivalent, com amínim, al que està establert en aquesta Llei.

Article 36 - Països amb protecció equivalent S'entén que tenen un nivell de protecció equivalent a aquesta Llei:

a) Els països que siguin membres de la Unió Europea. b) Els països declarats per la Comissió de les Comunitats Europees com a països amb proteccióequivalent. c) Els països declarats per l'Agència Andorrana de Protecció de Dades.

Article 37 – Excepcions La prohibició establerta en l'article 35 d'aquesta Llei no s'aplica quan la comunicació internacional:

a) Es faci amb el consentiment inequívoc de la persona interessada. b) Es faci d'acord amb convenis internacionals dels quals el Principat d'Andorra sigui part. c) Es faci a efectes d'auxili judicial internacional, o per al reconeixement, l'exercici o la defensa d'un dreten el marc d'un procediment judicial. d) Es faci per a la prevenció o diagnosi mèdiques, assistència sanitària, prevenció o diagnosi social o perl'interès vital de la persona interessada. e) Es faci amb motiu de remeses bancàries o transferències de diners. f) Sigui necessària per al'establiment, l'execució, el compliment o el control de relacions jurídiques o obligacions contractuals entrela persona interessada i el responsable del fitxer. g) Sigui necessària per preservar l'interès públic. h) Sigui de dades que provinguin de registres públics o es faci en compliment de les funcions i finalitatsdels registres públics

AFECTACIÓ A ANDORRA

Què diu la normativa andorrana sobre la transferència dedades als EUA?

Així podem entendre que els Estats Units d'América tenen laconsideració de país tercer d'acord amb la normativa andorrana i que pertant, la transferència de dades envers aquest país haurà d'autoritzar-seper l'Agència andorrana de protecció de dades que estimarà llavors si latransferència ofereix garanties suficients de protecció.

La normativa andorrana de comunicacions internacionals disposa:

AFECTACIÓ A ANDORRA

Són els EUA un país tercer amb protecció equivalent?

Arran de la Decisió de la Comissió, de 19 d'octubre de 2010, deconformitat amb la Directiva 95/46/CE del Parlament Europeu i delConsell, relativa a l'adequada protecció de les dades personals aAndorra, publicada al Diari Oficial de la UE el 21 d’octubre de 2010 ,Andorra és considerada un país amb protecció equivalent i adequadaals estàndards de protecció de dades de la Unió Europea.

Per aquest motiu, cal entendre que si un país tercer no ofereix lesgaranties suficients d’acord amb les autoritats de la Unió Europea,Andorra no podrà considerar a aquest país com a un país tercer ambprotecció equivalent.

Aquesta casuística es donà en la recent sentència del Tribunal deJustícia de la Unió Europea (en endavant, TJUE) en l'assumpte C-311/18on el tribunal establí que els requeriments del Dret nacional dels Estats Units, i en particular alguns programes que permeten a les autoritatspúbliques dels EUA accedir a les dades personals transferides als EUAamb finalitats de seguretat nacional, imposen limitacions a la proteccióde dades personals que suposen que no s’ofereixin garantiessubstancialment equivalents a les exigides a la Unió Europea, i queaquesta legislació no proporciona cap via de recurs judicial contra lesautoritats dels EUA als titulars de les dades.

COMUNICACIÓ DE DADESALS EUAQuè diu la sentència?

En la seva sentència, el TJUE examinà la validesa de la Decisió 200/87/CE dela Comissió Europea sobre les clàusules contractuals tipus (CTT) i laconsiderà com a vàlida. És a dir, la validesa d’aquesta decisió no queda encap cas en entredit pel mer fet que la seva naturalesa contractual no vinculi ales autoritats del país tercer al que podrien transferir-se dades mitjançant elseu ús.

Malgrat això, el TJUE precisà que aquesta validesa dependrà de si les parts, amés a més de les CTTs, inclouen mecanismes addicionals i efectius quepermetin garantir que el nivell de protecció exigit pel Dret de la UnióEuropea es respecti i que, en cas que resulti impossible complir amb aquestestàndard de protecció, les transferències de dades personals basades enaquestes clàusules es suspenguin i prohibeixin immediatament.

Alhora, el Tribunal examinà la validesa de la Decisió Privacy Shield (Decisió2016/1250 sobre l'adequació de la protecció conferida per l’Escut de PrivacitatUE-EUA) ja que les transferències en qüestió en el context examinat per lasentència es produeixen entre la UE i els Estats Units.

La sentència considera que arran de la ingerència existent per la normativadels Estats Units que permet l’accés a les dades de particulars amb finalitatsde seguretat nacional, i la conseqüent interferència amb els dretsfonamentals d’aquestes persones, el TJUE declara invalida la Decisiód’adequació del Privacy Shield.

Per tant, el Tribunal subratllà, en particular, que la invalidesa de la decisióPrivacy Shield i la necessarietat de prendre mesures addicionals a lespropostes en la Decisió 2010/87/CE, obliguen als exportadors de les dades ials destinataris de la transferència (els importadors) a comprovarprèviament, tenint en compte les circumstàncies de la transferència, que elnivell de protecció es garanteixi al país tercer de que es tracti, i que, en casde veure's incapaç de complir amb aquest, l'importador ha d'informarimmediatament a l'exportador per a que es procedeixi a la suspensió irescisió del contracte on es pactin les condicions de les transferènciesinternacionals.

Alhora el TJUE remarca l'obligació de les autoritats de control de proteccióde dades de suspendre o prohibir les transferències de dades a un paístercer basades en la decisió de Privacy Shield, les CCT o les NCV si l'autoritatde control estima que les mateixes són insuficients per garantir un nivell deprotecció adequat i la revisió de les decisions ja atorgades en base a unad'aquestes eines de garantia.

COMUNICACIÓ DE DADESALS EUAQuè diu la sentència?

COMUNICACIÓ DE DADESALS EUACom puc saber si estic comunicant dades als EUA?

Teniu externalitzats els serveis d'informàtica, marketing, recursos humans oempreu programari gratuït d'una empresa establerta als EUA o amb una filialeuropea d'una empresa domiciliada als EUA (ex. Google, Microsoft, etc)?Empreu els serveis d'una empresa dels EUA (o amb una filial europea d'unaempresa domiciliada als EUA) per emmagatzemar dades, compartir-les o peranalitzar les estadístiques de visites de la vostra plana web?Utilitzeu un núvol propietat d'una empresa dels EUA o amb una filial europead'una empresa domiciliada als EUA?Utilitzeu una xarxa social EUA (ex. Facebook, Instagram, Whatsapp, etc) per a lacomunicació amb els clients, treballadors o l'emmagatzematge de dades?Envieu correu comercial o newsletters a través d'una plataforma propietat d'unaempresa domiciliada als EUA (o amb les seves filials europees)?Compartiu dades amb asseguradores dels Estats Units o amb les seves filials aEuropa?Contracteu els serveis de traductors o transcriptors dels Estats Units que puguinaccedir a documents on apareguin dades tant de treballadors com de clients?Etc.

Es considera comunicació internacional de dades com a "totacomunicació de dades, o tot accés a les dades per part d'un prestador deserveis de dades personals, quan els destinataris de la comunicació o elsprestadors de serveis estiguin domiciliats a l'estranger, o emprin mitjansde tractament de dades personals ubicats a l'estranger per a lacomunicació de les dades o per a la prestació del servei." (art. 3, Llei15/2003, de 18 de desembre, qualificada de protecció de dadespersonals.

A continuació s'inclou una llista no exhaustiva d'actuacions queimpliquen una comunicació internacional de dades als EUA:

COMUNICACIÓ DE DADESALS EUASi sóc un particular, puc transferir les meves dades alsEUA?

ExplícitEspecífic per a la transferència o el conjunt de transferències dedadesInformat, en particular sobre els possibles riscs de la transferència(és a dir, que el titular de les dades també ha de ser informat sobreels riscs específics derivats del fet de que les seves dades serantransferides a un país que no ofereix una protecció adequada i on nos’apliquen garanties adequades destinades a garantir la sevaprotecció de dades).

La comunicació de dades a una empresa radicada als EUA per part d'unparticular haurà de basar-se en el consentiment del propi particular(titular de les dades).

Aquest consentiment haurà de ser:

Art. 17, Llei 15/2003, de 18 de desembre, qualificada de protecció de dades personals. El tractament de dades personals només el poden dur a terme els responsables del tractament amb elconsentiment inequívoc de les persones interessades.

Art. 7, Decret 9-6-2010, d'aprovació del Reglament de l'Agència andorrana de protecció de dades(...)Si sorgeix algun dubte referent a la prova de l’existència del consentiment de la personainteressada, la prova recau sobre el responsable del tractament. La persona interessada pot revocar elseu consentiment fent ús dels seus drets, recollits al capítol tercer d’aquest Reglament.

Art. 37.a), Llei 15/2003, de 8 de desembre, qualificada de protcció de dades personalsLa prohibició establerta en l'article 35 d'aquesta Llei no s'aplica quan la comunicació internacional:a) Es faci amb el consentiment inequívoc de la persona interessada.

COMUNICACIÓ DE DADESALS EUA

Si sóc un responsable de tractament, puc transferir lesmeves dades als EUA?

En cas que la comunicació es faci per part d'un responsable detractament, la comunicació haurà d'emmarcar-se en un dels mecanismeslegals prevists als articles 45 i 46 del RGPD, com poden ser les clàusulescontractuals tipus, les normes corporatives vinculants, etc.

Ara bé, la mera adopció d'aquests mecanismes no serà suficient ja queserà necessari l'adopció de mesures complementàries que garanteixinque el dret dels EUA no afectarà al nivell de protecció substancialmentequivalent que ofereixen les eines de transferència del articles 45 i 46del RGPD.

(...) Responsable de tractament: persona física o jurídica, de naturalesa pública o privada, quedecideix sobre el tractament de dades personals i els mitjans que es destinaran a tal tractament, ique vetlla perquè les finalitats que es pretén assolir amb el tractament es corresponguin amb lesconcretades en la norma o en la decisió de creació del fitxer. (...) Comunicació internacional de dades: tota comunicació de dades, o tot accés a les dades perpart d'un prestador de serveis de dades personals, quan els destinataris de la comunicació o elsprestadors de serveis estiguin domiciliats a l'estranger, o emprin mitjans de tractament de dadespersonals ubicats a l'estranger per a la comunicació de les dades o per a la prestació del servei.

Art. 3, Llei 15/2003, de 18 de desembre, qualificada de protecció de dades personals.

Art. 25.9, Decret 9-6-2010, d'aprovació del Reglament de l'Agència andorrana de protecció de dadesSón funcions de l’Agència Andorrana de Protecció de Dades:(...)9. Atendre les consultes relatives a la validesa de les comunicacions internacionals de dadespersonals a països que tenen una legislació que no ofereix un nivell de protecció suficient i adequat.

Un exemple de mesura addicional seria la negociació d'una clàusulaaddicional o esmena a un contracte que prohibeixi les transferències alsEstats Units i obligui a que les dades hauran d’emmagatzemar-se itractar-se en un lloc diferent als EUA.

A més a més, correspondrà a l'Agència Andorrana de protecció de dadesconfirmar la validesa de les comunicacions internacionals de dadespersonals a països que tenen una legislació que no ofereix un nivell deprotecció equivalent a la llei andorrana, a consulta dels responsables detractament.

COMUNICACIÓ DE DADESALS EUASi sóc un responsable de tractament, puc transferir lesmeves dades als EUA?

Tenint en compte que la sentència del TJUE afirma l'existència d'un altgrau d’ingerència creada per la legislació dels EUA amb els dretsfonamentals de les persones les dades de les quals es transfereixen aun país tercer, i el fet que les CCT i les NCV eren garanties ja en pràcticaabans del pronunciament del Tribunal, cal entendre que la legislació deEUA també tindrà primacia sobre aquestes eines.

La possibilitat de transferir dades personals sobre la base de CCT i NCVdependrà doncs del resultat de la seva avaluació, tenint en compte lescircumstàncies de les transferències i les mesures complementàries quepuguin aplicar-se. Aquestes mesures complementàries, juntament ambles CCT i les NCV, després d’un anàlisi cas per cas de lescircumstàncies de la transferència, hauran de garantir que la legislaciódels EUA no afectarà al nivell de protecció adequat que garanteixen.

Si s’arriba a la conclusió de que, tenint en compte les circumstàncies dela transferència i les possibles mesures complementàries, nos’aplicarien les garanties adequades, s’exigeix la suspensió i la fi deles transferències de dades personals.

COMUNICACIÓ DE DADESALS EUAQuè he de fer si actualment ja estic comunicant dades aEUA a través de CCTs, NCV o altres instruments?

PER QUALSEVOL DUBTE O ESCLARIMENT, CONTACTEU AMB L 'AGÈNCIA ANDORRANA DEPROTECCIÓ DE DADES A TRAVÉS DE LESNOSTRES VIES DE CONTACTE:

+376 808 115

apda@apda.ad

C. Doctor Vilanova, núm.15,Ed. Consell General, Planta -5