Bird & Bird reúne en España a sus equipos globales de privacidad y Tecnología para revisar sus estrategias

En los últimos días de septiembre, Madrid y Barcelona ha albergado sendas reuniones internacionales de los equipos jurídicos de la firma internacional Bird & Bird de protección de datos y de tecnología.

A la reunión celebrada en la capital de España se unieron cerca 140 abogados de este despacho internacional de todas sus jurisdicciones, mientras que en el encuentro posterior del grupo de tecnología acudieron alrededor de 270 letrados en la cita que tuvo lugar en Barcelona.

A nivel de estructura, este grupo de datos forma parte como subgrupo del área de Tecnología y Comunicaciones #TechCom que aglutina a más de 500 abogados especialistas en todo el mundo.

Esta firma jurídica, desde sus inicios como boutique legal, siempre ha estado vinculada principalmente a temas complejos de propiedad intelectual, tecnología y protección de datos. Según nos informan desde este bufete, la prestación de servicios jurídicos tiene un enfoque global dirigido a sectores, más que una organización por áreas de práctica.

De esa forma, el grupo global de protección de datos está liderado por tres socios como son Ruth Boardman, socia de la oficina de Londres con gran prestigio en el sector; Ariane Mole, socia de Francia que formó parte del regulador francés de protección de datos con anterioridad y Jeremy Tan, socio de la oficina de Singapur, y coordinador de la practica en Asia.

En España, esta práctica de Commercial y Protección de Datos está liderada por los socios Joaquín Muñoz y Pablo Berenguer que coordinan un equipo de 12 abogados, siendo una de las prácticas que mayor crecimiento ha tenido en estos dos últimos años.

Joaquín Muñoz y Pablo Berenguer, los dos socios que dirigen el área de Commercial y Protección de Datos de esta firma en España. (Foto: E&J)

En esta oportunidad los expertos en privacidad reunidos en Madrid han puesto en común diversas estrategias de la firma en materia de protección de datos ante los retos que vienen propiciados por la irrupción de nuevas tecnologías como es el caso de la Inteligencia Artificial o el nuevo entorno regulatorio alrededor de la Estrategia Europea del Dato, que tiene diverso impacto en los países miembros y también fuera de Europa.

Según ha podido trascender de este encuentro, hay dos cuestiones que han centrado las reuniones y discusiones de estos profesionales. Uno de ellos tiene que ver con la problemática de la transferencia internacionales de datos, todo lo concerniente a los flujos transfronterizos de datos y las diferentes estrategias de asesoramiento a los clientes de Bird & Bird para dicha gestión.

A la reunión celebrada en la capital de España se unieron cerca 140 abogados de este despacho internacional de todas sus jurisdicciones

En este contexto hay que recordar que la sentencia del TJUE de julio del 2016 del caso Schrems invalidaba Privacy Shield, un acuerdo que amparaba los flujos transfronterizos de datos entre Europa y EEUU.

El acuerdo, vigente desde el año 2000, servía de marco para la prestación de servicios de las principales empresas tecnológicas a clientes en la Unión Europea. La decisión del TJUE exige ahora realizar un estudio de idoneidad del país de destino en cada una de las transferencias internacionales de datos.

Se da la circunstancia que está situación afecta a las grandes multinacionales, pero también a miles de pequeñas y medianas empresas europeas.

Pendientes de un nuevo Privacy Shield

A la espera de un nuevo acuerdo que permita dichas transferencias, las empresas han adoptado, asesorados por sus abogados expertos en protección de datos, la estructura y forma de legitimación de las transferencias que mejor se adapten a cada tipo de actividad, siendo la aplicación de las cláusulas tipo más medidas adicionales de protección la más extendida.

Hay que recordar que las nuevas cláusulas tipo de protección de datos adoptadas por la Comisión fueron aprobadas en junio del 2021 que, además de sustituir a sus predecesoras, pretenden poder abarcar las transferencias entre responsables, entre responsable y encargado, entre encargados y entre encargado y responsable.

Las nuevas cláusulas se adaptan al RGPD incorporando los principios de responsabilidad proactiva y tratan de adoptar los criterios señalados por el Tribunal de Justicia de la Unión Europea (TJUE) en la sentencia del caso Schrems II.

“Hay que recordar que la sentencia del TJUE de julio del 2016 del caso Schrems invalidaba Privacy Shield”. (Foto: Scmagazine)

No obstante, sigue siendo necesario que el exportador de los datos, en su caso ayudado por el importador, analice el impacto que la legislación y/o la práctica vigente en el país del importador pueda tener en el nivel de protección proporcionado, de forma que sea esencialmente equivalente al que proporciona el marco europeo.

Además, adicionalmente, deberán tenerse en cuenta las directrices del Comité Europeo de Protección de Datos sobre las medidas suplementarias que se considere adecuado adoptar para garantizar ese nivel de protección equivalente.

Esto ha hecho que las cláusulas contractuales de las Decisiones de la Comisión Europea 2001/497/CE, 2004/915/CE y 2010/87/UE quedan derogadas a partir del 27 de septiembre de 2021.

No obstante, los contratos celebrados antes de dicha fecha con arreglo a las anteriores Decisiones serán válidos hasta el 27 de diciembre de 2022, siempre que las operaciones de tratamiento permanezcan inalteradas y las cláusulas contractuales garanticen que la transferencia de datos personales esté sujeta a garantías adecuadas.

Estos expertos atienden la problemática caso por caso, en función de las peculiaridades de cada empresa

En los debates del equipo global de privacidad de Bird & Bird se analizó cómo antes de aplicar dichas cláusulas tipo hay que hacer un estudio de idoneidad y equivalencia del país de destino y en función de eso se utilizan esas cláusulas tipo o las citadas cláusulas y medidas adicionales para un envío seguro de esos datos personales.

También se comentó que la experiencia previa de Bird & Bird le posiciona como uno de los mayores expertos en la elaboración y negociación de las llamadas normas corporativas vinculantes.

De hecho, este despacho fue de las primeras firmas legales que trabajó con sus clientes la aprobación por las autoridades nacionales de dichas normas para asegurar las transferencias internacionales de datos dentro de grupos de empresa. Estos expertos atienden la problemática caso por caso, en función de las peculiaridades de cada empresa.

Gestión integral del dato

El otro tema que se abordó en este encuentro tuvo que ver con todas las normativas nuevas europeas que se avecinan sobre la gestión del dato a nivel general. “Así hay que estar pendiente de la Data Act o la Data Governance Act que se están aprobando en la UE”, señala Joaquín Muñoz, socio español de Bird & Bird y asistente a ambas reuniones de trabajo.

En esta reunión también se abordó la discrecionalidad de las sanciones de los reguladores de protección de datos de los distintos países. Sobre este asunto los expertos coinciden en que sigue sin haber una armonización en las sanciones por parte de los reguladores en Europa pese a estar vigente el RGPD como normativa comunitaria hay diferentes formas de aplicarlo.

En todas estas reuniones se ha analizado el impacto de la regulación que viene en este nuevo entorno tecnológico nuevo, alguno de los cuales como es la propia IA o el Metaverso

Desde esta perspectiva se tiene constancia que hay autoridades que no son muy activas sancionando, pero cuando imponen este tipo de sanciones son elevadas económicamente, en el caso de la AEPD española es activa sancionando, pero dichas multas no son las más elevadas de la UE.

Con posterioridad a este encuentro tuvo lugar en Barcelona el encuentro del grupo jurídico de expertos en Tecnología y Comunicaciones de esta firma jurídica. En este grupo hay más de 500 abogados y en esta reunión en la Ciudad Condal se dieron cita 270 juristas.

Este grupo de profesionales está liderado a nivel global por los socios Ronald Hendrix, Marjolein Geus, Fabian Niemann y Ted Chu

En este debate se abordaron cuestiones como la regulación y la cultura del dato y al mismo tiempo se han organizado diferentes mesas redondas sobre otras cuestiones de actualidad tecnológica como blockchain y su impacto normativo, la posible regulación jurídica del Metaverso o el desarrollo de la Inteligencia Artificial.

En todas estas reuniones se ha analizado el impacto de la regulación que viene en este nuevo entorno tecnológico nuevo, alguno de los cuales como es la propia IA o el citado Metaverso están por el momento sin tener una normativa legal en la actualidad.

La idea de este encuentro ha sido analizar el impacto de esta tecnología en los diferentes sectores de actividad y cuál puede ser la capacidad de respuesta legal de los abogados de Bird & Bird en este tipo de situaciones concretas, donde la aplicación de la tecnología debe estar alineada con el entorno normativo correspondiente.