Transferencias de datos personales a EE.UU. en el contexto de estudios de investigación realizados en España
A propósito de los Documentos de preguntas frecuentes sobre el Marco de Protección de Datos UE-EE.UU., emitidos por el Comité Europeo de Protección de Datos el 16 de julio de 2024
Capsulas Nº 257
Antecedentes
Frecuentemente, los ensayos clínicos y otros estudios realizados en España son promovidos por entidades estadounidenses. Por este motivo, los datos de salud de los pacientes y, en muchos casos, sus muestras biológicas recogidas en España se envían a EE.UU. Estos datos de salud y muestras biológicas son datos personales y su envío a EE.UU. constituye una transferencia internacional de datos personales sujeta al Reglamento General de Protección de Datos (RGPD).
El RGPD estipula que cuando se transfieren datos personales fuera del Espacio Económico Europeo (EEE), el nivel de protección en el país de destino debe ser equivalente al europeo. Esto sucede cuando la Comisión Europea, mediante una decisión específica, considera que las normas del país de destino son adecuadas. En ausencia de esta decisión, los datos pueden transferirse si la entidad que los envía y la que los recibe han suscrito acuerdos que aseguren un nivel de protección adecuado. Estos acuerdos se implementan comúnmente mediante “Normas Corporativas Vinculantes”, o a través de “Cláusulas Contractuales Tipo” adoptadas por la Comisión Europea.
EU-US Data Privacy Framework
En el caso de las transferencias de datos personales a EE.UU., el 10 de julio de 2023, la Comisión Europea adoptó la Decisión de Adecuación que desarrolla el “EU-US Data Privacy Framework” (DPF). El DPF es el tercer intento de regular este tipo de transferencias. Con anterioridad, el Tribunal de Justicia de la Unión Europea (TJUE) había invalidado las Decisiones conocidas como “Safe Harbour” y “Privacy Shield”, en los asuntos Schrems I (C-362/14) y Schrems II (C-311/18). En ambos casos, el TJUE consideró insuficientes las garantías de protección de datos personales en EE.UU., especialmente debido a los programas de vigilancia masiva por parte de las autoridades estadounidenses.
La Decisión de Adecuación permite que las entidades públicas y privadas residentes en el Espacio Económico Europea transfieran datos personales a entidades estadounidenses adheridas al DPF. Estas entidades deben seguir un proceso de auto-certificación ante el Departamento de Comercio de EE.UU., comprometiéndose a respetar diversos principios generales, en materia de protección de datos, en especial los que hacen referencia a su uso y conservación.
Por otro lado, cuando se traten datos personales en el contexto de investigaciones clínicas, el DPF incluye otras exigencias como puede ser la seudonimización de los datos por parte del investigador. Asimismo, el DPF establece que los promotores de estudios clínicos en EE.UU. podrán realizar un uso secundario de los datos que hayan recibido, pero deben informar a los interesados a fin de que tengan la oportunidad de oponerse a dicho uso. Además, los nuevos estudios en los que se haga uso secundario de los datos han de ser en áreas de investigación o para fines que coincidan con lo que se haya previsto en el consentimiento otorgado para el estudio inicial. Estos principios complementarios están alineados con la Disposición Adicional 17ª de la LOPDGDD, que regula los tratamientos de datos de salud.
Aclaraciones del CEPD sobre el DPF
El 16 de julio, el Comité Europeo de Protección de Datos (CEPD) publicó dos documentos de preguntas frecuentes para aclarar dudas sobre el DPF. Están dirigidos a organizaciones europeas exportadoras de datos a EE.UU. y a los individuos cuyos datos son objeto de la transferencia a dicho país.
El documento para las entidades exportadoras clarifica qué entidades estadounidenses pueden auto-certificarse bajo el DPF. También explica cómo deben proceder los exportadores antes de transferir datos, revisando que el importador tenga un certificado vigente que cubra los datos a transferir, y si éste ampara también a sus filiales, en el caso de que las transferencias vayan a efectuarse a alguna de ellas. A estos efectos, se debe consultar el registro público del DPF (https://www.dataprivacyframework.gov/), gestionado por el Departamento de Comercio de EE.UU.
Además, este documento ofrece orientaciones específicas sobre si la entidad importadora actúa como responsable o encargada del tratamiento. Si es responsable, se debe informar a los interesados sobre la entidad receptora de los datos y que la transferencia está amparada por la Decisión de Adecuación del DPF. Si actúa como encargada del tratamiento, ambas entidades deben firmar un contrato de encargo de tratamiento de acuerdo con el artículo 28 del RGPD, además de la certificación DPF.
Para los individuos cuyos datos son objeto de la transferencia a EE.UU., el documento indica cómo pueden ejercer sus derechos y qué autoridad tramitará sus quejas. También indica que deben ser informados de la transferencia y de la identidad del importador de los datos personales.