El Privacy Shield queda invalidado por el caso Schrems II

Share on linkedin
Share on email
Share on whatsapp
Share on facebook
Share on twitter

El marco normativo para las transferencias internacionales de datos entre la Unión Europea y los Estados Unidos ha dado un vuelco a raíz de la Sentencia del Caso Schrems II. La consecuencia: se ha declarado la invalidez del Privacy Shield. Te explicamos a continuación todas las consecuencias y cómo puede afectar a tu empresa.

¿Qué es el Privacy Shield o Escudo de la Privacidad?

En primer lugar, hay que tener en cuenta que el RGPD prohíbe expresamente la transferencia de datos a países que no forman parte de la Unión Europea, a no ser que se cuente con una garantía de seguridad adecuada o que nos encontremos ante una de las excepciones previstas por la normativa.

Entre las diferentes garantías para llevar a cabo una transferencia contamos con las decisiones de adecuación, las normas corporativas vinculantes, las cláusulas tipo o los códigos de conducta. 

El Privacy Shield es una decisión de adecuación de la Comisión Europea, que garantiza la seguridad de las transferencias internacionales a aquellas compañías estadounidenses que se hayan certificado bajo el Privacy Shield. Es decir, la decisión no implica que todas las empresas de Estados Unidos sean seguras, solo aquellas que hayan procedido a certificarse cuentan con un nivel de protección adecuado. Entre las empresas certificadas, están Facebook, Google y todas las grandes empresas tecnológicas con sede en Estados Unidos.

¿Por qué no es válido el Privacy Shield?

El Tribunal de Justicia de la Unión Europea ha respondido a las cuestiones prejudiciales planteadas por el Tribunal Superior de Irlanda con motivo del litigio entre Schrems y Facebook.

La exigencia de seguridad nacional, interés público y cumplimiento de la Ley estadounidense puede sobreponerse a la privacidad de las personas, dejando sin efectos los principios de privacidad exigidos por esta garantía. 

En la práctica, esto significa que las autoridades públicas de Estados Unidos pueden tener acceso a los datos transferidos de ciudadanos de la Unión Europea en base a la seguridad nacional. El Tribunal ha considerado que estas injerencias en la privacidad de las personas van más allá de lo estrictamente necesario y no son proporcionales, por lo que puede entenderse vulnerados los derechos al respeto de la vida privada y familiar y a la protección de datos personales.

Por el contrario, el Tribunal ha entendido que las cláusulas contractuales tipo sí podrán seguir utilizándose. Sin embargo, ha precisado que para que el nivel de protección sea equivalente al existente en la UE, se evaluarán tanto las propias cláusulas como los posibles accesos de las autoridades públicas del país al que se han transferido los datos. Así, se deberán suspender las transferencias internacionales basadas en cláusulas tipo cuando se considere que en el país de recepción de los datos no se respeten dichas cláusulas.

¿Qué puedes hacer en tu empresa si necesitas hacer una transferencia de datos internacional?

Todas las transferencias de datos personales entre la UE y Estados Unidos que se estaban llevando a cabo de conformidad con el Privacy Shield deberán llevarse a cabo en base a otra garantía; de lo contrario, deberían suspenderse.

Por lo tanto, si en tu empresa tienes la necesidad de realizar transferencias de datos, te vamos a dar una serie de recomendaciones. Nuestro primer consejo, es no entrar en pánico, porque puede haber diferentes soluciones:

  • Sería necesario evaluar cómo se han estado abordando las transferencias de datos internacionales con clientes, proveedores, etc., y saber a ciencia cierta si realmente se están transfiriendo datos y si hay alguna razón legítima para hacerlo. 
  • Si es imprescindible realizar transferencias de datos, la opción más rápida sería incluir cláusulas contractuales tipo en los contratos o términos y condiciones con usuarios de la Unión Europea. 
  • Habría que tener en cuenta el país de destino y saber si tiene las garantías necesarias que cumplan con lo requerido por la UE.
  • Muy importante: tener en cuenta que al haberse dictado ya el fallo, esto es algo que las empresas deben cumplir. Sin embargo, es probable que las autoridades no impongan multas a las empresas de inmediato, ya que sería un tanto injusto cambiar una regla de la noche a la mañana y esperar que las empresas puedan acelerar los cambios de inmediato.

En cualquier caso, es complejo asegurar la privacidad de los ciudadanos europeos ante las injerencias de las autoridades públicas de Estados Unidos, por lo que lo más adecuado sería contar con el asesoramiento de expertos en protección de datos para garantizar que puedan implementarse todos los cambios necesarios después de esta sentencia. Desde Pridatect, seguiremos actualizando todas las novedades y recomendaciones que haya desde este momento.

 

Preguntas frecuentes

Habría que buscar otras alternativas, ya que no se puede seguir haciendo transferencias basándose en el Privacy Shield como garantía de seguridad. 

Sí, siempre y cuando se cumplan las disposiciones establecidas en el artículo. Podría cumplirse cuando las transferencias se basan en el consentimiento, es explícito y específico y se ha informado sobre los posibles riesgos. También sería posible realizar una transferencia de datos si existe un contrato. Hay que tener en cuenta que los datos personales únicamente se pueden transferir de manera ocasional. Si fuese necesaria la transferencia por motivos de interés público, también entraría dentro de estas excepciones.

Se debería evaluar si el nivel de protección requerido por la legislación de la UE se respeta en el país al que tiene que hacerse la transferencia para determinar si las garantías proporcionadas por los SCC o los BCR pueden cumplirse. Si se considerase dicho nivel de protección inadecuado y no hubiese medidas complementarias que pudiesen garantizar el nivel adecuado de protección, no podría realizarse la transferencia.

 

Habría que evaluar caso por caso para proporcionar las medidas adecuadas, porque el EDPB (Comité Europeo de Protección de Datos)  aún no ha proporcionado orientación sobre las medidas específicas que podrían usarse, por lo que iremos actualizando esta información.

Los BCR también se verían afectados,  por lo que se deben tener en cuenta todas las circunstancias que afecten  a la transferencia y todas las posibles medidas complementarias para poder ofrecer las garantías de seguridad adecuadas. Si la seguridad de la transferencia no puede garantizarse después de esta consideración, la transferencia debería detenerse por completo.

Comparte este artículo

Comparte

Share on linkedin
Share on email
Share on whatsapp
Share on facebook
Share on twitter
Haz click en la imagen para apuntarte al webinar en el que daremos más consejos para las transferencias de datos entre UE y USA

Artículo redactado por:

Lisa Hofmann

Chief of Legal Operations de Pridatect | Especialista legal certificada en protección de datos por la institución alemana de servicios relacionados con la seguridad TUEV. Con amplia experiencia en ayudar a empresas en el cumplimiento de la privacidad.

Artículos relacionados

Newsletter

¿Quieres recibir todas las noticias sobre el RGPD? Suscríbete a nuestro boletín y recibe contenido exclusivo.

Webinars gratuitos

Multas por RGPD

webinar gratuito Multas por RGPD Analizamos las multas de Glovo, Juasapp y Equifax Cualquier organización puede estar expuesta a ser sancionada por incumplir el RGPD

REGÍSTRATE AHORA »