Anulación del Privacy Shield – ¿El fin de las transferencias de datos personales a EEUU?
El pasado 16 de Julio, el TJUE (Tribunal de Justicia de la Unión Europea) ha dictado una sentencia que anula la decisión 2016/1250 de la Comisión, la cual declaraba que el acuerdo Privacy Shield ofrecía un escudo adecuado de protección, de cara a las transferencias internacionales de datos de carácter personal entre EU y los Estados Unidos.
¿Cuando existe transferencia internacional de datos?
En la sociedad actual en la que vivimos, donde la tecnología y la digitalización son pilares fundamentales de las relaciones entre compañías, multitud de datos personales son transmitidos diariamente tanto dentro como fuera de nuestras fronteras.
Cuando esos datos tienen movilidad dentro de nuestro terrirorio nacional o dentro de la UE dicha transmisión se encuentra amparada dentro del marco del RGPD y las normativas nacionales; ahora bien, cuando la transmisión de datos tiene como destino EEUU o cualquier otro país fuera de la UE, es cuando hablamos de transferencia internacional de datos.
El RGPD, contemplando esta posibilidad en un mundo donde las transacciones online son una cuestión ordinaria y podemos estar contratando un servicio del cloud donde el CPD se encuentre fuera de nuestras fronteras, ya estableció toda una serie mecanismos para facilitar que las transferencias internacionales de datos se realicen conforme a la legalidad.
Estos mecanismos son:
- Acuerdos adoptados entre la UE y terceros países en los que se establece que el nivel de protección que ofrecen es análogo al establecido por la normativa europea.
- Normas corporativas vinculantes (para grupos de empresas con matriz y filiales sitas en distintos países), adhesión a códigos de conducta o cláusulas contractuales tipo.
- En tercer lugar, solicitud de autorización de la transmisión internacional de datos a la autoridad de control (la AEPD en nuestro caso, si somos quienes exportamos los datos).
¿Qué establecía el Acuerdo Privacy Shield?
Antes de explicar qué es el Privacy Shield, pongámonos en antecedentes: en el año 2000 se aprobaba el acuerdo Safe Harbour que permitía las transferencias internacionales de datos entre Europa y EEUU, equiparando el nivel de protección de los datos entre ambos países (decisión 200/520/CE). Este acuerdo fue anulado en Octubre 2015 por el TJUE a raíz de la sentencia del caso Schrems.
A raíz de esta situación, fue cuando en el año 2016 el Pricavy Shield (escudo de privacidad) entró para sustituir al antiguo Safe Harbour y servir como escudo y amparo de las transferencias internacionales de datos entre estos dos países. La decisión de la Comisión Europea 2016/1250 establece que todas aquellas compañías que se adhieran a este acuerdo marco serían consideradas como que disponían de un nivel adecuado de protección de los datos de carácter personal.
Ahora, en Julio de 2020, el TJUE declara la anulación de la decisión de la Comisión Europea 2016/1250, dejando así sin efecto el Privacy Shield.
¿Cuál es la consecuencia de su anulación?
La consecuencia directa inmediata de la anulación del acuerdo es que ya no se pueden realizar transferencias internacionales de datos personales a EUA bajo el amparo de dicho acuerdo, el cual aportaba agilidad, siempre y cuando la transferencia fuera a compañías o entidades adheridas al acuerdo.
¿Debo dejar de operar con las compañías de EUA a las que se les transfieran datos personales?
No, lo que significa es que hay que revisar todos los tratamientos de datos que conlleven este tipo de transferencias internacionales para establecer y adoptar cualquier otro mecanismo habilitado por la normativa europea que nos permita continuar operando dentro de la legalidad y garantizando la protección adecuada de los datos.
Por lo tanto, deberemos establecer protocolos para las transferencias internacionales de datos personales, a la espera de que las autoridades de ambos países lleguen a un acuerdo y establezcan un nuevo marco en este sentido.
Hay que tener muy presente el régimen sancionador de la normativa ante su incumplimiento y la realización de transferencias internacionales de datos sin cumplir con los mecanismos establecidos en la misma. Las sanciones pueden suponer el 4% de la facturación del año anterior, pudiendo llegar hasta los 20 millones de euros.
Actuaciones a realizar inmediatamente
Como indicábamos al inicio del artículo, a falta del vigor del Privacy Shield deberemos acudir al resto de mecanismos que el RGPD habilita para poder realizar transferencias internacionales de datos.
Por ello, las actuaciones deberían ser:
- Revisar todas las operaciones que supongan transferencias de datos con los EUA. Valorar su necesaria continuidad.
- Valorar la posibilidad de establecer cláusulas tipo, normas corporativas vinculantes o adherirse a códigos de conducta.
- Solicitar autorización a la autoridad de control.
En Skycorp no sólo realizamos adecuaciones a la normativa vigente de protección de datos, sino que disponemos de un servicio de mantenimiento de protección de datos que le permite estar al día de todos los cambios que se produzcan y adecuarse a ellos de forma rápida, manteniendo siempre el máximo nivel de adecuación a la legalidad vigente en la materia.
