El Tribunal de Justicia de la Unión Europea (TJUE) invalida la Decisión que permitía las transferencias internacionales de datos basadas en el Escudo de la privacidad UE-EE. UU (Privacy Shield).
El Reglamento de Protección de Datos (RGPD) impone importantes restricciones a las entidades para transferir datos personales fuera del Espacio Económico Europeo, solo permitiéndolas, en principio, cuando el país destinatario en cuestión garantiza un nivel de protección adecuado y suficiente de dichos datos teniendo en cuenta los principios y obligaciones que indica el propio RGPD.
¿Qué es ‘Privacy Shield’?
Hasta ahora, el procedimiento por excelencia de las entidades norteamericanas para demostrar este nivel suficiente de protección era adherirse al Escudo de la privacidad UE-EE. UU., conocido como Privacy Shield, el acuerdo firmado entre Estados Unidos y la Europa por el cual las entidades americanas adheridas al programa garantizaban que aplicaban los mismos estándares de protección de datos que las empresas europeas.
En base a esto, una empresa europea que deseara contratar, por ejemplo, con un proveedor de servicios ubicado en Estados Unidos que, para la realización de las actividades objeto del contrato debiera tratar datos personales de la empresa, podía garantizar un nivel de seguridad suficiente si estaba adherido a dicho escudo. Esto ya no será así a partir de ahora, pues este acuerdo ha quedado invalidado por el TJUE.
Alternativamente al Privacy Shield, así como para empresas de países diferentes a los Estados Unidos, otro de los mecanismos estrella que se utiliza como garantía para poder realizar una transferencia internacional son las cláusulas contractuales tipo aprobadas por la Comisión Europea. El TJUE ha analizado también la validez de estas, aunque, en este caso, ha declarado que estas seguirían siendo válidas, aunque es necesario que el Responsable del Tratamiento que realiza la exportación de los datos valore, en relación con el estándar europeo, el nivel de protección que la normativa del país de destino garantiza y las medidas de seguridad implementadas por el destinatario.
De cualquier forma, las autoridades de control serán las que tengan el papel de suspender o prohibir una transferencia de datos personales basada en este tipo de cláusulas cuando las disposiciones contenidas en estas no se respeten o no pueden respetarse en ese país.
Consulta aquí comunicado de prensa sobre la sentencia que ha dado lugar a esta decisión.
La decisión del TJUE
Con la decisión tomada por el TJUE, en consecuencia, las empresas deben revisar todas las transferencias de datos que realicen, y en relación con las que se produzcan a los Estados Unidos, revisar qué mecanismo de garantía se ha empleado. En el caso de que el mecanismo sea la adhesión al Privacy Shield, se deberá buscar otro que lo sustituya o, de no ser posible, cesar en la realización de la transferencia.
En el caso de transferencias internacionales causadas por la contratación de proveedores ubicados fuera del Espacio Económico Europeo, recordemos que las empresas sujetas al RGPD tienen la obligación de elegir solo aquellos proveedores que acrediten que cumplen con la normativa de protección de datos, es decir, el RGPD. Por ello, la revisión de los proveedores cuyos servicios implican transferencias internacionales es imperativa y su omisión podría conllevar graves sanciones.
Artículo escrito por:
Metricson es una firma de servicios legales especializada en negocios tecnológicos e innovadores y ayuda a empresas de todo el mundo a desarrollar y proteger su actividad con las máximas garantías legales.
Si quieres más información o quieres saber más acerca de nuestros servicios, no dudes en ponerte en contacto con nosotros aquí
Photo by Michael Dziedzic on Unsplash