El marco normativo para las transferencias internacionales de datos entre la Unión Europea y los Estados Unidos ha dado un vuelco a raíz de la Sentencia del Caso Schrems II. La consecuencia: se ha declarado la invalidez del Privacy Shield. Te explicamos a continuación todas las consecuencias y cómo puede afectar a tu empresa.
¿Qué es el Privacy Shield o Escudo de la Privacidad?
En primer lugar, hay que tener en cuenta que el RGPD prohíbe expresamente la transferencia de datos a países que no forman parte de la Unión Europea, a no ser que se cuente con una garantía de seguridad adecuada o que nos encontremos ante una de las excepciones previstas por la normativa.
Entre las diferentes garantías para llevar a cabo una transferencia contamos con las decisiones de adecuación, las normas corporativas vinculantes, las cláusulas tipo o los códigos de conducta.
El Privacy Shield es una decisión de adecuación de la Comisión Europea, que garantiza la seguridad de las transferencias internacionales a aquellas compañías estadounidenses que se hayan certificado bajo el Privacy Shield. Es decir, la decisión no implica que todas las empresas de Estados Unidos sean seguras, solo aquellas que hayan procedido a certificarse cuentan con un nivel de protección adecuado. Entre las empresas certificadas, están Facebook, Google y todas las grandes empresas tecnológicas con sede en Estados Unidos.
¿Por qué no es válido el Privacy Shield?
El Tribunal de Justicia de la Unión Europea ha respondido a las cuestiones prejudiciales planteadas por el Tribunal Superior de Irlanda con motivo del litigio entre Schrems y Facebook.
La exigencia de seguridad nacional, interés público y cumplimiento de la Ley estadounidense puede sobreponerse a la privacidad de las personas, dejando sin efectos los principios de privacidad exigidos por esta garantía.
En la práctica, esto significa que las autoridades públicas de Estados Unidos pueden tener acceso a los datos transferidos de ciudadanos de la Unión Europea en base a la seguridad nacional. El Tribunal ha considerado que estas injerencias en la privacidad de las personas van más allá de lo estrictamente necesario y no son proporcionales, por lo que puede entenderse vulnerados los derechos al respeto de la vida privada y familiar y a la protección de datos personales.
Por el contrario, el Tribunal ha entendido que las cláusulas contractuales tipo sí podrán seguir utilizándose. Sin embargo, ha precisado que para que el nivel de protección sea equivalente al existente en la UE, se evaluarán tanto las propias cláusulas como los posibles accesos de las autoridades públicas del país al que se han transferido los datos. Así, se deberán suspender las transferencias internacionales basadas en cláusulas tipo cuando se considere que en el país de recepción de los datos no se respeten dichas cláusulas.
¿Qué puedes hacer en tu empresa si necesitas hacer una transferencia de datos internacional?
Todas las transferencias de datos personales entre la UE y Estados Unidos que se estaban llevando a cabo de conformidad con el Privacy Shield deberán llevarse a cabo en base a otra garantía; de lo contrario, deberían suspenderse.
Por lo tanto, si en tu empresa tienes la necesidad de realizar transferencias de datos, te vamos a dar una serie de recomendaciones. Nuestro primer consejo, es no entrar en pánico, porque puede haber diferentes soluciones:
- Sería necesario evaluar cómo se han estado abordando las transferencias de datos internacionales con clientes, proveedores, etc., y saber a ciencia cierta si realmente se están transfiriendo datos y si hay alguna razón legítima para hacerlo.
- Si es imprescindible realizar transferencias de datos, la opción más rápida sería incluir cláusulas contractuales tipo en los contratos o términos y condiciones con usuarios de la Unión Europea.
- Habría que tener en cuenta el país de destino y saber si tiene las garantías necesarias que cumplan con lo requerido por la UE.
- Muy importante: tener en cuenta que al haberse dictado ya el fallo, esto es algo que las empresas deben cumplir. Sin embargo, es probable que las autoridades no impongan multas a las empresas de inmediato, ya que sería un tanto injusto cambiar una regla de la noche a la mañana y esperar que las empresas puedan acelerar los cambios de inmediato.
En cualquier caso, es complejo asegurar la privacidad de los ciudadanos europeos ante las injerencias de las autoridades públicas de Estados Unidos, por lo que lo más adecuado sería contar con el asesoramiento de expertos en protección de datos para garantizar que puedan implementarse todos los cambios necesarios después de esta sentencia. Desde Pridatect, seguiremos actualizando todas las novedades y recomendaciones que haya desde este momento.
Preguntas frecuentes
En el caso de estar transfiriendo datos a una empresa de Estados Unidos adherida al Privacy Shield. ¿Qué puedo hacer ahora?
Habría que buscar otras alternativas, ya que no se puede seguir haciendo transferencias basándose en el Privacy Shield como garantía de seguridad.
¿Puedo confiar en una de las excepciones del Artículo 49 GDPR para transferir datos a los Estados Unidos?
Sí, siempre y cuando se cumplan las disposiciones establecidas en el artículo. Podría cumplirse cuando las transferencias se basan en el consentimiento, es explícito y específico y se ha informado sobre los posibles riesgos. También sería posible realizar una transferencia de datos si existe un contrato. Hay que tener en cuenta que los datos personales únicamente se pueden transferir de manera ocasional. Si fuese necesaria la transferencia por motivos de interés público, también entraría dentro de estas excepciones.
¿Puedo seguir usando SCC o BCR para transferir datos a otro tercer país que no sea EE. UU.?
Se debería evaluar si el nivel de protección requerido por la legislación de la UE se respeta en el país al que tiene que hacerse la transferencia para determinar si las garantías proporcionadas por los SCC o los BCR pueden cumplirse. Si se considerase dicho nivel de protección inadecuado y no hubiese medidas complementarias que pudiesen garantizar el nivel adecuado de protección, no podría realizarse la transferencia.
¿Qué tipo de medidas complementarias puedo introducir si estoy usando SCC o BCR para transferir datos a terceros países?
Habría que evaluar caso por caso para proporcionar las medidas adecuadas, porque el EDPB (Comité Europeo de Protección de Datos) aún no ha proporcionado orientación sobre las medidas específicas que podrían usarse, por lo que iremos actualizando esta información.
Si utilizo Normas Corporativas Vinculantes (BCR) con una empresa de los Estados Unidos ¿Qué tengo que hacer?
Los BCR también se verían afectados, por lo que se deben tener en cuenta todas las circunstancias que afecten a la transferencia y todas las posibles medidas complementarias para poder ofrecer las garantías de seguridad adecuadas. Si la seguridad de la transferencia no puede garantizarse después de esta consideración, la transferencia debería detenerse por completo.
