Invalidación del Privacy Shield ¿Podrán las empresas seguir realizando transferencias internacionales a EE.UU?

El pasado 16 de julio, el Tribunal de Justicia de la Unión Europea (TJUE) dictó su sentencia sobre el asunto “Data Protection Comissioner / Maximillian Schrems y Facebook Ireland” (C-311/18), invalidando la Decisión de Escudo de Privacidad UE-EE.UU. (“Privacy Shield”), en el que confían más de 5.000 empresas estadounidenses para llevar a cabo las transferencias internacionales de datos de forma segura conforme a la normativa europea de protección de datos (RGPD).

¿Por qué ya no es válido el Escudo de Privacidad?

El TJUE ha determinado que el Escudo de Privacidad no es válido en base a dos motivos principales:

  • Los programas de vigilancia de EE.UU. no se limitan a lo estrictamente necesario y proporcional según lo exige la legislación de la UE, no cumpliéndose los requisitos del artículo 52 de la Carta de Derechos Fundamentales de la U, en el que se establece que “cualquier limitación del ejercicio de los derechos y libertades reconocidos por la presente Carta deberá ser establecida por la ley y respetar el contenido esencial de dichos derechos y libertades” y que “dentro del respeto del principio de proporcionalidad, sólo podrán introducirse limitaciones a dichos derechos y libertades cuando sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás”. Esto implica que toda normativa debe establecer reglas claras y precisas que contengan exigencias mínimas de modo que las personas cuyos datos se hayan transferido dispongan de garantías suficientes que permitan proteger de manera eficaz sus datos personales contra los riesgos de abuso.
  • La vigilancia que realiza EE.UU. carece de reparación judicial, por lo que los interesados no tienen derecho a la tutela judicial efectiva, tal y como establece el artículo 47 de la Carta de los Derechos Fundamentales de la UE. En este sentido, el RGPD es claro a la hora de que al evaluar la adecuación del nivel de protección de cualquier país se tendrá en cuenta la existencia de derechos efectivos y exigibles que sean reconocidos a los interesados cuyos datos personales hayan sido transferidos, y que se provean recursos administrativos y acciones judiciales que sean efectivos. Todo tercer país debe garantizar que haya un control independiente de la protección de datos y debe establecer mecanismos de cooperación con las autoridades de protección de datos de los Estados miembros.

¿Qué implicaciones legales conlleva esta Sentencia?

La Comisión ha calificado a EE.UU. como un destinatario no seguro, por lo que las transferencias internacionales realizadas al amparo del Privacy Shield perderán su legitimidad y será necesario llevar a cabo otras acciones y mecanismos que prevé la normativa vigente.

El TJUE ha reafirmado la validez de las SCC (Standard Contractual Clauses). Estas cláusulas son un instrumento que permite a los responsables del tratamiento realizar transferencias internacionales con garantías, suscribiendo un contrato entre el exportador e importador de la información por el que, este último, se comprometa a tratar la información de un modo respetuoso al RGPD. Estas cláusulas deberán estipular las medidas de seguridad técnicas y organizativas necesarias que deben aplicar los encargados del tratamiento establecidos en un tercer país que no ofrezca la protección adecuada para garantizar un nivel de seguridad apropiado conforme a los riesgos que entraña el tratamiento y la naturaleza de los datos que han de protegerse. Tal y como establece el artículo 28 del RGPD, el importador de los datos (encargado del tratamiento) deberá tratar los datos personales transferidos sólo en nombre del exportador de datos (responsable del tratamiento) y de conformidad con las instrucciones que reciba y las obligaciones impuestas en las cláusulas.

Por lo expuesto anteriormente con respecto a estas SCC, las partes tendrán que estar ahora más atentas que nunca a los términos del acuerdo para legitimar la transferencia de dichos datos. Esto implicará que los importadores de los datos deberán asumir una serie de obligaciones a las que no estaban acostumbrados, tales como la realización de análisis de riesgos, colaborar con los responsables del tratamiento en la realización de auditorías periódicas con respecto a la seguridad de los datos y al cumplimiento de las obligaciones establecidas en el RGPD. Igualmente, estas SCCs deberán incluir obligaciones a los encargados con respecto a la posibilidad o no de contar con subencargados del tratamiento, por lo que responderán en caso de futuros incumplimientos por parte de sus subencargados.

Como apéndice a estas SCC, deberán incorporarse el siguiente contenido:

  • Las actividades correspondientes a la transferencia del importador y del exportador.
  • Las categorías de interesados.
  • Las categorías de datos.
  • Las categorías especiales de datos (si las hubiese).
  • Operaciones del tratamiento.
  • Medidas técnicas y organizativas aplicadas para garantizar la seguridad de la transferencia.

Asimismo, cabe recordar que el artículo 49 del RGPD establece ciertas excepciones para situaciones específicas para llevar a cabo transferencias internacionales en ausencia de garantías adecuadas, tales como:

  • Que el interesado haya dado explícitamente su consentimiento a la transferencia propuesta, una vez haya sido informado de los posibles riesgos para él de dichas transferencias.
  • Que la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable, así como para la ejecución de medidas precontractuales adoptadas a solicitud del interesado,
  • Que dicha transferencia sea necesaria por razones de interés público,
  • Que sea necesaria para la formulación, ejercicio o defensa de reclamaciones,
  • Que sea necesaria para proteger los intereses vitales del interesado o de otras personas.
  • Que la transferencia se realice desde un registro público que tenga por objeto facilitar información al público y esté abierto a la consulta del público o de cualquier persona que pueda acreditar un interés legítimo.

Igualmente, se podrán realizar transferencias en caso de:

  • La transferencia no sea repetitiva,
  • Afecte a un número limitado de interesados,
  • Es necesaria a los fines de intereses legítimos perseguidos por el responsable sobre los que no prevalezcan los derechos y libertades del interesado (siempre y cuando el responsable haya evaluado todas las circunstancias con respecto a dicha transferencia).

La decisión del TJUE ofrece una claridad significativa en ciertos aspectos, pero plantea otras preguntas que deberán ser resueltas por las Autoridades de Protección de Datos nacionales de los Estados Miembros, el Comité Europeo de Protección de Datos y expertos en la materia.

No obstante, las empresas europeas deberán evaluar sus transferencias de datos a la luz de la decisión del TJUE, necesitarán asesoramiento especializado en la materia de cara a valorar la aplicación de las SCC, así como de buscar el consentimiento y otras exenciones descritas en el Artículo 49, comprobando de manera fehaciente que tanto la empresa importadora y el país de destino cumplen con los estándares mínimos de seguridad y garantizan el cumplimiento de la protección de los datos de carácter personal que establece el RGPD.

Jorge Carranza Martínez | Legal Counsel | L-A

¿Comenzamos?

Cuéntanos un poco sobre tu negocio y te contactaremos en menos de 24 horas.