La sentencia Schrems II del TJUE invalida el Privacy Shield

El Tribunal de Justicia de la Unión Europea, en el marco del asunto “C-311/18, Data Protection Commissioner v Facebook Ireland and Maximillian Schrems” (también conocido como “Caso Schrems II”), ha anulado la validez del “Escudo de Privacidad” entre UE y EEUU (“Privacy Shield”) para la transferencia de datos entre la UE y los EEUU, es decir, el uso de sistemas y servicios americanos para tratar datos personales europeos.

En este asunto, se cuestionaba de nuevo -como ya ocurrió con el “Safe Harbor” en el 2015 – las garantías que brindan tanto las “Cláusulas Contractuales Tipo” como del “Escudo de Privacidad”, dos maneras legales hasta hoy para poder tratar datos de los ciudadanos europeos en Estados Unidos (pensar en Google Cloud USA, Amazon Web Services USA, Slack, MailChimp, Facebook, etc.). Se alegó que ambos instrumentos conllevan una limitación de los derechos fundamentales cuando se realizan transferencias de los datos personales a los EEUU. El TJUE ha decidido invalidar la “Privacy Shield” pero mantener la validez de las Cláusulas Tipo.

Todo ello implica que las transferencias de datos de la UE a empresas estadounidenses basadas en el sistema del “Privacy Shield” dejan de ser legales, al perder validez la protección del Privacy Shield. Por lo tanto, toda empresa europea exportadora de datos (que usa servicios en USA) deberá adoptar otras garantías legales adecuadas para este tratamiento, como es la firma de las “Cláusulas Contractuales Tipo” de la Comisión o pedir una autorización a la autoridad de control. Varias empresas estadounidenses ya ofrecen firmar estas cláusulas contractuales, y ahora – si no se sustituye de nuevo el Privacy Shield – las demás tendrán que hacerlo. Además de ello, será necesario realizar las oportunas modificaciones a las políticas de privacidad y realizar nuevos análisis de riesgos internos, con el fin de evitar cualquier tipo de infracción del RGPD y ulterior sanción.

En el 2015, las agencias de protección de datos ofrecieron un plazo para subsanar la situación. Queda por ver si vuelven a hacerlo. Sino, será un “mad rush” para hacer firmar estos contratos si las empresas europeas quieren seguir usando los servicios estadounidenses o buscar otra solución (cambiar de servidores, autorizaciones especiales…).

Como en Across Legal hemos estado trabajando con vosotros para el tema de la protección de datos, podemos ayudarle para analizar la situación y firmar estos contratos tipos en el corto plazo u otra solución (como mover los datos y los servicios a servidores en la UE). Habría que revisar la lista de proveedores (hosting, mailing, drive, etc.)  y ver lo que se puede hacer.

Esperamos que esto sea de utilidad. Un saludo (¡y feliz verano!)

Port Relacionados

Leave a comment

13 − Ocho =