Transferencias internacionales mediante cláusulas tipo de protección de datos

 

A pesar de que la sentencia del Tribunal de Justicia Facebook Ireland y Schrems, C-311/18, EU:C:2020:559, confirmó la validez de la Decisión de la Comisión 2010/87/UE relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, dejó claro la exigencia de asegurar que las personas cuyos datos personales son objeto de transferencia a un país tercero con base en tales cláusulas gozan respecto de los datos transferidos de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión (apdo. 96 de la sentencia). Cabe recordar que en la medida en que con respecto al tercer Estado destino de una transferencia de datos personales no exista una decisión de adecuación en virtud del artículo 45 RGPD, las transferencias solo pueden realizarse si existen garantías adecuadas conforme a lo previsto en el artículo 46.2 RGPD, como el empleo de cláusulas contractuales tipo adoptadas por la Comisión o, en su defecto, cuando sea aplicable alguna de las excepciones para situaciones específicas establecidas en el artículo 49 RGPD. La sentencia Facebook Ireland y Schrems puso de relieve que el empleo de cláusulas tipo no exime de la necesidad de valorar si, a la luz de las circunstancias que rodean la transferencia, las cláusulas tipo de protección de datos no se respetan o no pueden ser respetadas en el país tercero al que los datos van a ser transferidos, de modo que no puede garantizarse un nivel de protección equivalente al existente en la UE. En este contexto, tienen singular interés la presentación por la Comisión de un Borrador de Decisión sobre cláusulas contractuales tipo para la transferencia de datos personales a terceros países en virtud del RGPD (y su Anexo con el texto de las cláusulas contractuales tipo); así como la previa adopción por el EDPB de las Recomendaciones 01/2020, de 10 de noviembre de 2020, sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de los datos personales de la UE; y la Declaración conjunta  EDPB - EDPS 2/2021 sobre el Borrador de Decisión de la Comisión (y su Anexo con ulteriores comentarios al texto de las cláusulas contractuales del documento de la Comisión).

Agregadores de Internet y derecho "sui generis" sobre bases de datos

 

               En la medida en que para permitir las búsquedas de sus usuarios un agregador de Internet típicamente reproduce e indexa los contenidos de otros sitios de Internet, cuando lo hace respecto de sitios web que reúnen los requisitos para ser objeto de protección en tanto que bases de datos cuyos fabricantes tienen atribuido un derecho sui generis en virtud del artículo 7 de la Directiva 96/9/CE (art. 133 TRLPI en el Derecho español), resulta preciso abordar si la actividad del agregador implica una extracción y/o reutilización de la base de datos, que el fabricante de la base de datos pueda prohibir con base en el mencionado artículo 7. En sus conclusiones de ayer en el asunto CV-Online Latvia, C-672/19, EU:C:2021:22, el Abogado General Szpunar propone que el Tribunal de Justicia adopte una interpretación del artículo 7 de la Directiva 96/9/CE que, con base en el potencial innovador y de creación de valor añadido de los agregadores a la luz de su relevancia en el funcionamiento de la economía digital, así como en la función de protección de la competencia inherente al mencionado artículo 7, limite la protección conferida por el derecho sui generis a aquellas situaciones en las que el órgano que conozca sobre el fondo del asunto compruebe que “la extracción o la reutilización de que se trate constituyan un perjuicio para la inversión en la creación o el funcionamiento de la base de datos… en el sentido de que constituyen un riesgo para las posibilidades de amortizar dicha inversión, en particular amenazando los ingresos procedentes de la explotación de la base de datos en cuestión” (apdos. 46 y 47 de las conclusiones). En realidad, se trata de una exigencia que en términos similares cabe encontrar ya en la jurisprudencia previa del Tribunal de Justicia (véase, en particular, el apdo. 37 de la STJUE de 19 de diciembre de 2013, C-202/12, Innoweb, con ulteriores referencias en ese mismo sentido).

La futura ley de mercados digitales de la Unión

A diferencia de la PRLSD, a la que dediqué la anterior entrada, la Propuesta de Reglamento relativa a una ley de mercados digitales (en adelante, PRLMD), presentada conjuntamente por la Comisión (y, de momento, tampoco disponible en español), se configura como un instrumento orientado a establecer un régimen de obligaciones específico para un grupo reducido de grandes prestadores de servicios de plataformas digitales, de cara a hacer frente a los desequilibrios económicos y las posibles prácticas desleales de ciertas grandes plataformas digitales. La PRLMD no pretende regular el régimen de responsabilidad de las plataformas en tanto que prestadoras de servicios de la sociedad de la información intermediarios y sus obligaciones en relación con la eventual difusión de contenidos ilícitos a través de sus servicios sino establecer mecanismos para hacer frente a los desequilibrios económicos y las posibles prácticas comerciales desleales de ciertas grandes plataformas online intermediarias entre empresas y usuarios finales que pueden restringir el acceso a los mercados de plataformas. En consecuencia, contempla la imposición de obligaciones específicas a un grupo reducido de “gatekeepers” o guardianes de acceso, cuya dimensión y volumen de usuarios determinan que desempeñen un papel clave en que sus usuarios profesionales (es decir, típicamente las empresas que comercializan sus bienes a través de la plataforma) puedan interactuar con los usuarios finales (potenciales clientes de esas empresas). Se configura como un instrumento complementario a los que proporciona ya el Derecho de competencia de la UE, con un elaborado régimen sancionatorio de Derecho público por parte de la Comisión.