El Tribunal de Justicia de la Unión Europea ha vuelto a anular el marco jurídico que permitía compartir datos de carácter personal entre la Unión Europea (UE) y los Estados Unidos (EEUU) como ya hizo en 2015 cuando anuló el acuerdo de Puerto Seguro (Safe Harbor) con los mismos argumentos que ahora aplica en una nueva sentencia. En esta ocasión, se considera que el esquema de Escudo de Privacidad (Privacy Shield) no respeta los derechos fundamentales de los ciudadanos de la Unión Europea cuando sus datos son transferidos y tratados en Estados Unidos.

Pongámonos en situación: una transferencia internacional de datos tiene lugar cuando los datos personales que son tratados por un responsable o un encargado del tratamiento en el Espacio Económico Europeo son enviados a un tercer país u organización internacional, fuera de dicho territorio. Para que este tratamiento de datos esté de acuerdo a los especificado en el RGPD, solo puede llevarse a cabo cuando el tercer país u organización internacional tiene un nivel adecuado o se dan otras garantías adecuadas en materia de protección de datos personales. El objetivo final es conseguir que se sigan dando las condiciones adecuadas que garanticen el derecho fundamental a la protección de datos personales de las personas físicas objeto del tratamiento.

A efectos de poder llevar a cabo una transferencia internacional de datos, el RGPD establece en sus artículos 45 y 46 las “garantías adecuadas” que permiten tratar los datos en un destino fuera del espacio europeo:

  • Una decisión de adecuación de la Comisión Europea sobre el nivel de protección de un tercer país u organización.
  • Un instrumento jurídicamente vinculante y exigible entre autoridades y organismos públicos.
  • Las normas corporativas vinculantes, aprobadas por la autoridad de protección de datos competente.
  • Las cláusulas contractuales tipo de protección de datos.
  • Un código de conducta o una certificación aprobado según establece el RGPD y acompañado por compromisos vinculantes y exigibles al responsable o encargado del tratamiento en el tercer país de aplicar garantías adecuadas en materia de protección de datos.

Cuando se dé alguna de las garantías indicadas y se obtenga la autorización de la autoridad de protección de datos personales, se podrá llevar a cabo la transferencia internacional de datos.

Cuando en 2015 el tribunal de la UE anuló el acuerdo de Puerto Seguro (Safe Harbor) al considerar que los datos transferidos desde Europa a EEUU no estaban seguros (el gobierno y las agencias de seguridad americanas podían acceder a todos los datos sin respetar las garantías y derechos fundamentales a la privacidad reconocidos en la UE a sus ciudadanos), se estableció un nuevo acuerdo que permitía la trasferencia de datos personales entre la UE y EEUU siempre que la empresa receptora de los datos estuviera adherida a un sistema de control denominado “Escudo de Privacidad” (Privacy Shield). De este modo, se facilitaban las transferencias internacionales haciéndolas de una forma mucho más sencilla y fluida.

Con la anulación del acuerdo Privacy Shield se pone en un limbo legal la utilización de muchas herramientas o aplicaciones basadas en el cloud (los principales proveedores de soluciones cloud están en EEUU). Esta anulación requerirá leer la letra pequeña de muchos contratos de servicios (todos los que se basaban en privacy shield) y replantear algunos servicios o cambiar de proveedor que aloje exclusivamente los datos en centros de datos ubicados en la unión europea.

La consecuencia de todo ello es que la gran mayoría de las transferencias internacionales que se producen todos los días entre Europa y EEUU no cumplirían con lo establecido en el RGPD, obligando a las empresas a adoptar garantías adicionales de forma inmediata que legitimen la transferencia de datos, si no quieren arriesgarse a asumir el riesgo de sanciones por incumplimiento del RGPD.

Esta sentencia afecta a cientos de miles de empresas europeas que usan los servicios de alguna de las 5.378 compañías americanas que actualmente están adheridas a Privacy Shield: redes sociales, empresas tecnológicas, de marketing, de finanzas, de servicios, etc. Y seguro afectará en gran parte a la economía digital entre la Unión Europea y Estados Unidos. Se espera que la Comisión de la UE se ponga a negociar nuevamente con las autoridades americanas para que esta decisión no comporte una debacle en el sector empresarial en un mundo cada vez más globalizado como ya sucedió en 2015.

 

José Manuel Machacón                                                                                                                                                 Responsable área TIC/LOPD

error: