Sentencia contra el Escudo de Privacidad UE y EEUU
Sentencia contra el Escudo de Privacidad UE y EEUU
El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea (TJUE) ha dictado una sentencia en donde invalida el Escudo de Privacidad entre la Unión Europea y Estados Unidos respecto de las transferencias de datos.
Las razones del TJUE para anular el escudo de privacidad se basan principalmente en la falta de garantías por parte de EEUU, ya que las contempladas no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas, en el Derecho de la Unión, no respetándose el principio de proporcionalidad, así como no se contemplan para los interesados derechos exigibles a las autoridades estadounidenses ante los tribunales, pues el mecanismo del Defensor del Pueblo que estaba establecido, no ofrece las garantías necesarias a los interesados.
Invalidado el Escudo
Así, el posible acceso y utilización por parte de las autoridades estadounidenses a los datos personales transferidos desde la Unión Europea, impiden considerar a Estados Unidos como una jurisdicción con un nivel de protección equivalente al de la Unión Europea. En consecuencia, concluye el TJUE, debe declararse invalidado el Escudo de Privacidad.
¿Y ahora que hacemos?
Las consecuencias son bastante importantes, pues se ven afectadas las transferencias de datos con y deja en vilo las relaciones empresariales entre entidades europeas y americanas.
Se espera alguna reacción por parte de la AEPD para dar algo de luz al respecto, pero mientras tanto parece que lo más sensato es solicitar a las entidades americanas otros requisitos que aseguren que la transferencia es segura para el tratamiento de datos (art. 46 RGPD):
a) Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos
b) Normas corporativas vinculantes
c) Cláusulas tipo de protección de datos adoptadas por la Comisión que siguen siendo válidas
- Decisión 2001/497/CE, de 15 de junio de 2001, relativa a cláusulas contractuales tipo para la transferencia de datos personales entre responsables del tratamiento a un tercer país
- Decisión 2004/915/CE, de 27 de diciembre de 2004, por la que se modifica la Decisión 2001/497/CE en lo relativo a la introducción de un conjunto alternativo de cláusulas contractuales tipo para la transferencia de datos personales a terceros países
- Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE d
e) Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados
f) Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión
f) Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.
Como funcionaba antes el Escudo
Cuando el Escudo de Privacidad estaba activo, para realizar transferencias de datos personales desde la UE, las entidades debían auto certificar su adhesión a los principios ante el Departamento de Comercio (o su delegado) («el Departamento»).
Aunque las decisiones de las entidades de adherirse al Escudo de la privacidad eran voluntarias, el cumplimiento efectivo era obligatorio.
Para adherirse al Escudo de privacidad, las entidades debían:
a) someterse a las competencias de investigación y ejecución de la Comisión Federal de Comercio («la FTC»), el Departamento de Transporte u otro organismo oficial que garantice eficazmente el cumplimiento de los principios (en el futuro podrán incluirse como anexo otros órganos oficiales estadounidenses reconocidos por la UE);
b) declarar públicamente su compromiso de cumplir los principios;
c) hacer públicas sus políticas de privacidad acordes con estos principios;
d) aplicarlos en su totalidad.
El incumplimiento por parte de una entidad puede ser objeto de medidas de ejecución en virtud del artículo 5 de la Ley de la Comisión Federal de Comercio que prohíbe actos desleales o fraudulentos en el comercio o que afecten al comercio [USC, título 15, artículo 45, letra a)] o en virtud de otras leyes o reglamentos que prohíban estos actos.
El listado de entidades certificadas podía consultarse aquí: https://www.privacyshield.gov/list
¿Afecta esto a cualquier empresa?
Analice el listado de sus proveedores / colaboradores e identifique aquellos residentes en Estados Unidos de Norte América. Si cede datos a otras entidades de ese país le afecta igualmente.