fbpx

El pasado 16 de julio de 2020 el TJUE declaró inválido el Privacy Shield o Escudo de Privacidad para la realización adecuada y ordenada de las transferencias internacionales de datos a los Estados Unidos.

Fruto de la cuestión prejudicial planteada por el Data Protection Commissioner (DPC) en el Asunto C-311/18, el TJUE analiza la reclamación planteada por un usuario austriaco de Facebook (Maximilian Schrems). La persona considera que sus datos personales son transferidos por la compañía Facebook a servidores que se encuentran situados en EEUU y que no cuentan con las garantías legales suficientes.

Transferencias internacionales de datos

Conclusiones

Entre las conclusiones a las que podemos llegar, se encuentran principalmente tres:

  1. Declarada anulada la Decisión 2016/1250 de la Comisión, mediante la cual se declaraba que el Privacy Shield mantenía un nivel adecuado de protección para las transferencias internacionales de datos a EEUU y sustituía oficialmente al Safe Harbour o Puerto Seguro, también declarado inválido en 2015.
  1. La normativa interna de EEUU no contiene una regulación homóloga a los principios y exigencias que se recogen en nuestro Reglamento General de Protección de Datos.En este sentido,el TJUE concluye que “las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización, por las autoridades estadounidenses, de los datos transferidos desde la Unión a los Estados Unidos […], no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas en el Derecho de la Unión” (apartado 185).
  1. El eje central se centra en el respeto del principio de proporcionalidad. Así las cosas, se analizan losprogramas de vigilancia basados en los artículos 702 de la FISA y en el Decreto E.O. 12333 (apartados 178 a 182) para terminar concluyéndose que ambas normas no satisfacen las exigencias mínimas establecidas por el Derecho de la Unión con respecto al principio de proporcionalidad (apartado 184), entendiéndose que “para cumplir el requisito de proporcionalidad según el cual las excepciones a la protección de los datos personales y las limitaciones de esa protección no deben exceder de lo estrictamente necesario, la normativa controvertida que conlleve la injerencia debe establecer reglas claras y precisas que regulen el alcance y la aplicación de la medida en cuestión e impongan unas exigencias mínimas, de modo que las personas cuyos datos se hayan transferido dispongan de garantías suficientes que permitan proteger de manera eficaz sus datos de carácter personal contra los riesgos de abuso. En particular, dicha normativa deberá indicar en qué circunstancias y con arreglo a qué requisitos puede adoptarse una medida que contemple el tratamiento de tales datos, garantizando así que la injerencia se limite a lo estrictamente necesario”.

Del Safe Harbour al Privacy Shield, y ….. ¿del Privacy Shield a dónde?

Como hemos visto, el TJUE declaró inválido en 2015 el Safe Harbour para dar paso al Privacy Shield. Pero ahora que el Privacy Shield es nulo. La pregunta que tenemos que hacernos es: ¿sin el Privacy Shield pueden realizarse transferencias internacionales a EEUU?

La cuestión planteada no está exenta de polémicas. Cabe recordar que muchos de los principales servicios, tanto de cloud como de mensajería y redes sociales, se encuentran en EEUU (Microsoft Teams, Facebook Inc., AWS Amazon, Dropbox, MediaFire o Mail Chimp). Y otros muchos en países como Irlanda (iCloud de Apple, OneDrive -Microsoft365 o Google Suite).

Por lo que si estamos trabajando con proveedores fuera de la Unión Europea, no queda más remedio que proceder a la revisión de las condiciones y clausurado de los contratos. Al mismo tiempo y siguiendo lo establecido en los artículos 45 y 46 RGPD, pueden servir de legitimación:

  • Las cláusulas contractuales tipo de protección de datos adoptadas por la Autoridad de control.
  • La posesión de un certificado, sello o marca de protección.
  • La adhesión a un código de conducta.
  • La adhesión a normas corporativas vinculantes de un grupo de empresas o unión de empresas.
  • Los Instrumentos jurídicamente vinculantes y exigibles entre las Autoridades u Organismos públicos o la autorización específica de la Autoridad de control mediante cláusulas contractuales entre el RT/ET y el RT, o entre el ET y SubET, que no hayan sido adoptadas por la Comisión EU o las disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

En todo caso, parece que la alternativa más razonable y más práctica se encuentra en las Cláusulas Contractuales Tipo (CCT) de protección de datos. Encontrando estas su base jurídica en las siguientes normas:

  • Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010. Relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países. De conformidad con la Directiva 95/46/CE.
  • Decisión 2001/497/CE, de 15 de junio de 2001. Relativa a cláusulas contractuales tipo para la transferencia de datos personales entre responsables del tratamiento a un tercer país.
  • Decisión 2004/915/CE, de 27 de diciembre de 2004. Por la que se modifica la Decisión 2001/497/CE en lo relativo a la introducción de un conjunto alternativo de cláusulas contractuales tipo para la transferencia de datos personales a terceros países.

Otra alternativa sería acudir a las Normas Corporativas Vinculantes o Binding Corporate Rules (BCR). Respaldadas por el Grupo del Artículo 29 en el Documento de Trabajo 02/2012. Fruto del artículo 63 RGPD y alternativa a las Cláusulas Contractuales Tipo, pueden ser consideradas como aquellas políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.

Compártelo en tus redes sociales

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Ir arriba
Abrir chat
¡Hola! Encantados de conocerte.

¿En qué podemos ayudarte?

También, puedes llamarnos al 611 69 91 74 o mandarnos un e-mail a contacto@nivolap.es.

Equipo de Nivolap Abogacía Digital.