[vc_row show_full_width=»1″ padding_setting=»1″ desktop_padding=»no-padding»][vc_column width=»1/1″][vc_column_text]La sentencia del Tribunal de Justicia de la Unión Europea de 16 de julio de 2020 que, entre otras cuestiones, declaró la invalidez del Escudo de Privacidad UE – EE.UU., hace que nos planteemos la validez de las transmisiones internacionales de datos realizadas a través de Microsoft 365.
El régimen de la transferencia internacional de datos dispuesto en el Reglamento General de Protección de Datos (en adelante, RGPD) parte de la posibilidad de realizar una transferencia internacional sin necesidad de autorización expresa de la Agencia Española de Protección de Datos, siempre que el tratamiento de datos observe lo dispuesto en la normativa vigente de protección de datos personales, cuando los destinatarios de los datos personales se encuentran en un país que haya sido declarado con un nivel de protección adecuado por la Comisión Europea. En este sentido, la Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, declaró que se garantizaba un nivel adecuado de protección de los datos personales que fueran transferidos desde la Unión Europa a entidades establecidas en Estados Unidos dentro del marco del Escudo de la privacidad UE-EE. UU., siendo esta la decisión que ahora se invalida.
Por tanto, al no existir actualmente una decisión de adecuación se deben buscar otros mecanismos que posibiliten la legalidad de las transferencias internacionales de datos personales a Estados Unidos que, a tenor de los dispuesto en el RGPD, se podrán adoptar si se ofrecen garantías adecuadas o si se dan las condiciones específicas recogidas en los artículos 46.2 y 49.1 del RGPD.
A falta de todas ellas, se necesitará una autorización expresa de la Agencia Española de Protección de Datos cuando las garantías adecuadas se aporten mediante cláusulas contractuales entre el encargado y el responsable que no hayan sido adoptadas por la Comisión Europea. Es aquí donde nos remontamos al año 2014 en el que la Agencia Española de Protección de Datos declaró adecuadas las garantías ofrecidas en sus contratos por Microsoft Corporation para las transferencias internacionales de datos con destino a esa entidad, establecida en los Estados Unidos y en el que actúa como encargado del tratamiento de Microsoft Ireland, con motivo de la prestación de los servicios Office 365, Microsoft Dynamics CRM Online y Windows Azure y, por tanto, autorizó las transferencias internacionales de datos con destino a Estados Unidos que se realicen al amparo de las cláusulas contractuales mencionadas y siempre que se den las condiciones en ella señaladas. Llegados a esto punto cabe preguntarse si dicha autorización sigue vigente en la actualidad.
En particular el artículo 46.5 del RGPD dispone que ”las autorizaciones otorgadas por un Estado miembro o una autoridad de control de conformidad con el artículo 26, apartado 2, de la Directiva 95/46/CE (“los Estados miembros podrán autorizar una transferencia o una serie de transferencias de datos personales a un tercer país que no garantice un nivel de protección adecuado con arreglo al apartado 2 del artículo 25, cuando el responsable del tratamiento ofrezca garantías suficientes respecto de la protección de la vida privada, de los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los respectivos derechos; dichas garantías podrán derivarse, en particular, de cláusulas contractuales apropiadas”) seguirán siendo válidas hasta que hayan sido modificadas, sustituidas o derogadas, en caso necesario, por dicha autoridad de control”. Y hasta la fecha, la Agencia Española de Protección de Datos no ha derogado dicha autorización, por lo que, como incluso señala la propia Agencia en su portal web, “las autorizaciones otorgadas por la Agencia Española de Protección de Datos previamente a la aplicación del RGPD seguirán siendo válidas”.
La autorización a Microsoft para las transferencias internacionales de datos con destino a Estados Unidos con motivo de la prestación de los servicios de Office 365 fue concedida por la Agencia Española de Protección de Datos en cumplimiento de lo dispuesto en la normativa de aplicación en aquel momento (artículo 33 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y artículo 70 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999), que poco difiere en ese sentido de lo dispuesto en el RGPD, aunque el contexto actual en el que se debe realizar la valoración de las garantías establecidas en sus contratos ha cambiado sustancialmente por lo que antoja conveniente realizar un nuevo análisis de las mismas.
Recientemente, la conferencia de autoridades de protección de datos alemanas evaluó las condiciones del servicio de Microsoft 365 y sus disposiciones relativas a la protección de datos personales, llegando a la conclusión por un estrecho margen (9 votos contra 8) que, sobre la base de dichos documentos y sin haber recabado formalmente con Microsoft ningún otro tipo de información complementaria, el uso de Microsoft 365 no cumple la normativa actual de protección de datos personales. Como señala este grupo de trabajo, las incertidumbres legales respecto a la adecuación con la normativa actual de protección de datos de Microsoft 365 deberían resolverse de inmediato, garantizando que Microsoft mejore su producto de manera rápida y duradera de acuerdo con la normativa actual de protección de datos y la jurisprudencia del Tribunal de Justicia de la Unión Europea para las transferencias internacionales de datos.[/vc_column_text][/vc_column][/vc_row]