fbpx

El pasado 16 de julio de 2020 el TJUE declaró inválido el Privacy Shield o Escudo de Privacidad para la realización adecuada y ordenada de las transferencias internacionales de datos a los Estados Unidos.

Fruto de la cuestión prejudicial planteada por el Data Protection Commissioner (DPC) en el Asunto C-311/18, el TJUE analiza la reclamación planteada por un usuario austriaco de Facebook (Maximilian Schrems). La persona considera que sus datos personales son transferidos por la compañía Facebook a servidores que se encuentran situados en EEUU y que no cuentan con las garantías legales suficientes.

Transferencias internacionales de datos

Conclusiones

Entre las conclusiones a las que podemos llegar, se encuentran principalmente tres:

  1. Declarada anulada la Decisión 2016/1250 de la Comisión, mediante la cual se declaraba que el Privacy Shield mantenía un nivel adecuado de protección para las transferencias internacionales de datos a EEUU y sustituía oficialmente al Safe Harbour o Puerto Seguro, también declarado inválido en 2015.
  1. Anulada la Decisión 2016/1250 de la Comisión, mediante la cual se declaraba que el Privacy Shield mantenía un nivel adecuado de protección para las transferencias internacionales de datos a EEUU y sustituía oficialmente al Safe Harbour, también declarado inválido en 2015.
  1. Queda anulada la Decisión 2016/1250 de la Comisión, mediante la cual se declaraba que el Privacy Shield mantenía un nivel adecuado de protección para las transferencias internacionales de datos a EEUU y sustituía oficialmente al Safe Harbour, también declarado inválido en 2015.

Del Safe Harbour al Privacy Shield, y ….. ¿del Privacy Shield a dónde?

Como hemos visto, el TJUE declaró inválido en 2015 el Safe Harbour para dar paso al Privacy Shield. Pero ahora que el Privacy Shield es nulo. La pregunta que tenemos que hacernos es: ¿sin el Privacy Shield pueden realizarse transferencias internacionales a EEUU?

La cuestión planteada no está exenta de polémicas. Cabe recordar que muchos de los principales servicios, tanto de cloud como de mensajería y redes sociales, se encuentran en EEUU (Microsoft Teams, Facebook Inc., AWS Amazon, Dropbox, MediaFire o Mail Chimp). Y otros muchos en países como Irlanda (iCloud de Apple, OneDrive -Microsoft365 o Google Suite).

Por lo que si estamos trabajando con proveedores fuera de la Unión Europea, no queda más remedio que proceder a la revisión de las condiciones y clausurado de los contratos. Al mismo tiempo y siguiendo lo establecido en los artículos 45 y 46 RGPD, pueden servir de legitimación:

  • Las cláusulas contractuales tipo de protección de datos adoptadas por la Autoridad de control.
  • La posesión de un certificado, sello o marca de protección.
  • La adhesión a un código de conducta.
  • La adhesión a normas corporativas vinculantes de un grupo de empresas o unión de empresas.
  • Los Instrumentos jurídicamente vinculantes y exigibles entre las Autoridades u Organismos públicos o la autorización específica de la Autoridad de control mediante cláusulas contractuales entre el RT/ET y el RT, o entre el ET y SubET, que no hayan sido adoptadas por la Comisión EU o las disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

En todo caso, parece que la alternativa más razonable y más práctica se encuentra en las Cláusulas Contractuales Tipo (CCT) de protección de datos. Encontrando estas su base jurídica en las siguientes normas:

  • Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010. Relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países. De conformidad con la Directiva 95/46/CE.
  • Decisión 2001/497/CE, de 15 de junio de 2001. Relativa a cláusulas contractuales tipo para la transferencia de datos personales entre responsables del tratamiento a un tercer país.
  • Decisión 2004/915/CE, de 27 de diciembre de 2004. Por la que se modifica la Decisión 2001/497/CE en lo relativo a la introducción de un conjunto alternativo de cláusulas contractuales tipo para la transferencia de datos personales a terceros países.

Otra alternativa sería acudir a las Normas Corporativas Vinculantes o Binding Corporate Rules (BCR). Respaldadas por el Grupo del Artículo 29 en el Documento de Trabajo 02/2012. Fruto del artículo 63 RGPD y alternativa a las Cláusulas Contractuales Tipo, pueden ser consideradas como aquellas políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.

Compártelo en tus redes sociales

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Ir arriba
Abrir chat
¡Hola! Encantados de conocerte.

¿En qué podemos ayudarte?

También, puedes llamarnos al 611 69 91 74 o mandarnos un e-mail a contacto@nivolap.es.

Equipo de Nivolap Abogacía Digital.