El pasado 16 de Julio de 2020 se hacía pública una sentencia por parte del Tribunal de Justicia de la Unión Europea (TJUE) que supondría un punto de inflexión sobre la manera en la que se realizan las transferencias internacionales de datos a EEUU. El Privacy Shield o Escudo de Privacidad entre UE-EEUU quedaba invalidado al considerarse que no se garantizaba la correcta protección de datos, por parte de EEUU, de los ciudadanos europeos. No obstante, el TJUE declara que la Decisión 2010/87 de la Comisión, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, es válida.
Contextualizando el “Privacy Shield”
Nos encontramos ante uno de los acuerdos marco clave que permitía la transferencia de datos personales entre la UE y EEUU, a raíz de la Sentencia dictada en el caso ‘Shrems contra Facebook’ (asunto C-311/18: EU:C:2020:559 o “Shrems II).
Concretamente, el Privacy Shield es la Decisión de la Comisión europea (Decisión (UE) 2016/1250) donde declara que las empresas u organizaciones estadounidenses que se adhieren a este acuerdo marco son calificadas como de nivel adecuado, tras cumplir con todos los requisitos solicitados en dicho acuerdo marco.
Su importancia era vital para garantizar las transferencias de datos internacionales de manera óptima y legal. Diariamente, se producen millones de transmisiones de datos en todo el mundo, como consecuencia de operaciones mercantiles. Compra de bienes y/o servicios; uso de redes sociales; trabajar en la nube… El mundo cada vez es más digital, haciendo imprescindibles las transferencias de datos diarias para poder hacer cualquier tipo de operación.
Previamente al Privacy Shield, el TJUE ya invalidó su antecedente, el Safe Harbour, otro acuerdo que permitía las transferencias internacionales entre EEUU y UE desde el año 2000.
En el año 2016 se aprobaba el Escudo de privacidad, para facilitar las transferencias. Sin embargo, la historia se ha repetido. El TJUE ha invalidado las transferencias de datos a EEUU que se amparan en el Privacy Shield, a la vez que cuestiona si las cláusulas contractuales tipo son válidas, pues éstas en todo momento deben garantizar un nivel de protección equivalente al ofrecido al amparo del RGPD, interpretado a la luz de la Carta de los Derechos Fundamentales de la UE.
Facebook, el gran precedente.
La compañía Facebook siempre ha estado en el punto de mira respecto a la transferencia de datos personales al no cumplir con las medidas de protección de datos estándar de la UE. Los datos transferidos desde la UE a EEUU por esta red social no estaban seguros, pues ni el escudo de privacidad ni las cláusulas contractuales tipo respetaban las garantías y derechos fundamentales reconocidos en la UE a sus ciudadanos. Asimismo, el TJUE, señala que el acceso y la utilización de los datos por parte de las autoridades estadounidenses no se ajustan al principio de proporcionalidad, de modo que la vigilancia de estos datos no se limita a lo “estrictamente necesario”.
¿Qué consecuencias conlleva esta Sentencia para las empresas?
La invalidación del Privacy Shield conlleva que ya no se puede utilizar esta Decisión de la Comisión Europea como medio sencillo, ágil y fluido para realizar las transferencias Internacionales entre la UE y las entidades adheridas de EEUU. Ya que el TJUE ha considerado que EEUU no garantiza un nivel de protección de datos personales adecuado a las exigencias de la normativa del RGPD. Por lo tanto, todas las transferencias internacionales que se producen diariamente y que se amparan en esta Decisión son ilegales.
Lo importante a destacar es que, el hecho de que se haya invalidado no quiere decir que las empresas no puedan trasferir datos a EEUU. En este sentido, debemos ampararnos en otros mecanismos ofrecidos por el RGPD. Para ello, las empresas deberán establecer sus propios protocolos ante las Transferencias internacionales de datos entre EU y EEUU.
Recomendaciones para las transferencias de datos de manera legal:
- Valorar la necesidad de la transferencia internacional.
- Firmar entre exportador e importador las Cláusulas contractuales Tipo, que no han sido invalidadas por la Sentencia Shrems II. Éstas son documentos privados jurídicamente vinculantes. Siempre tendrán que valorarse caso por caso.
- En el seno de empresas matrices y sus filiales pueden crearse las denominadas normas corporativas vinculantes, que serán como una especie de “paraguas” que regirá toda la normativa de privacidad.
- Otras alternativas, como garantías, para realizar de forma lícita transferencias internacionales son o bien la adhesión a códigos de conducta o los mecanismos de certificación que van acompañados de compromisos de aplicación de garantías adecuadas vinculantes y exigibles a las entidades.
El RGPD señala una serie de excepciones que se permiten para situaciones específicas (art. 49 RGPD), como, por ejemplo, el consentimiento explícito del propio interesado (tras haber sido informado de los posibles riesgos para él) o la necesidad de tratamiento de los datos para la celebración o ejecución de un contrato, en el que el interesado sea parte, entre otras.
Sea cual sea el caso, cada empresa deberá revisar y adaptar todas las transferencias internacionales basadas en Privacy Shield. ¿Tienes alguna duda sobre transferencia de datos internacionales? ¿Quieres garantizar que tu empresa cumple con el RGPD? No dudes en contactar con nuestro equipo de expertos para recibir asesoramiento y cumplir con la normativa.
