A más tardar desde la sentencia Schrems II, ha quedado claro que la transferencia de datos a países de fuera de la UE (terceros países) puede ser problemática desde el punto de vista de la legislación sobre protección de datos. Pero, ¿es suficiente el riesgo de transferencia a un tercer país? Al menos esta es la opinión de la Cámara de Adquisiciones de Baden-Württemberg.

Puede conocer el estado actual del debate sobre la ley de protección de datos aquí.

Cámara de contratación: el riesgo de acceso en el tercer país es la tramitación en el tercer país

La Cámara de Adquisiciones de Baden-Württemberg opina que ya existe una transferencia (y, por tanto, un tratamiento en el sentido del art. 4 n.º 2 del RGPD) si existe el riesgo de que los datos se transfieran a un tercer país.

Función de los tribunales de contratación pública

Las cámaras de contratación pública de los Estados federados son autoridades de control independientes, al igual que los comisarios de protección de datos de los Estados federados (artículo 157 del GWB). Las cámaras de contratación pública no tienen la función de una autoridad supervisora, sino que actúan como un tribunal. Revisan la adjudicación de contratos públicos si un competidor presenta una denuncia (artículo 155 del GWB).

Posición de la Cámara de Contratación Pública

El Tribunal de Contratos Públicos de Baden-Württemberg conoció de un asunto relativo a la adjudicación de un contrato para la adquisición de un programa informático de gestión digital de ingresos para hospitales. Un competidor no seleccionado, que anunció que los datos sólo se almacenarían en servidores alemanes, presentó un recurso. Según el competidor no seleccionado, el que ganó la licitación no cumplía la ley de protección de datos. Utilizaría los servicios de una filial en la UE de un gran servicio en la nube estadounidense, lo que conllevaría el riesgo de que la empresa matriz accediera a los datos almacenados en la UE desde el lado estadounidense y que entonces los datos dejaran de estar tan seguros como exige el GDPR.

La Sala de Contratación Pública coincidió con esta opinión y anuló la adjudicación. Afirmó que el concepto de transferencia del art. 4 n.º 2 y el art. 44 del RGPD no eran el mismo. Ya existe una transferencia en el sentido de tratamiento con arreglo al artículo 44 del RGPD si hay riesgo de transferencia a un tercer país.

A este respecto, la Sala de Recursos declara: "El concepto de transmisión debe interpretarse a la luz de la redacción amplia del art. 44 p. 1 del Reglamento, así como a la luz de la redacción del art. 44 p. 1 del Reglamento. 1 del GDPR y las instrucciones establecidas en el Art. 44 S. 2 del RGPD en lo que respecta a la aplicación de la disposición y, por lo tanto, debe entenderse de forma exhaustiva: Una transferencia es cualquier comunicación de datos personales a un destinatario en un tercer país o una organización internacional, en la que no es relevante ni el tipo de comunicación ni la comunicación a un tercero". La divulgación en este sentido ya existe si existe la posibilidad de que un tercer país acceda a los datos, independientemente del acceso real.

Autoridad de Protección de Datos: Los TOM están ahí para minimizar el riesgo

Tras esta decisión, el Comisionado Estatal de Protección de Datos también se ha pronunciado sobre la decisión de la Sala de Contratación Pública: No está de acuerdo con la interpretación.

El Comisionado Estatal de Protección de Datos critica que la argumentación de la Sala de contratación pasa por alto el hecho de que existen precisamente medidas técnicas y organizativas (MTO) que minimizan el riesgo de acceso identificado (art. 32 GDPR). Se trata de "contramedidas eficaces". Podrían crear un nivel óptimo de protección de datos basado en una evaluación de riesgos caso por caso.

El principal problema de la decisión era la diferente interpretación de la transferencia en el art. 4 nº 2 y el art. 44 del GDPR. Esto no se desprendía ni de la redacción ni de los considerandos.

Una exclusión general de las empresas con conexiones con proveedores de servicios estadounidenses no es ni elegante ni económica. El punto de vista de la Cámara de Contratación Pública sólo llevaría a que no se pudiera recurrir a proveedores de servicios estadounidenses, aunque explotaran granjas de servidores en la UE.

¿Y ahora?

Queda por ver cómo se resolverá finalmente el debate. La decisión del Tribunal de Contratación Pública será revisada ahora por el Tribunal Regional Superior de Karlsruhe. El dictamen del Comisario de Protección de Datos del Estado sugiere que el tribunal anulará la decisión. Todavía no existe una prohibición general de los traslados, sino que se están examinando casos individuales.

¿Busca asesoramiento profesional en todos los ámbitos relacionados con la protección de datos? Nuestro equipo de expertos estará encantado de ayudarle. Póngase en contacto con nosotros

DSB buchen
es_ESEspañol