Este martes 16 de julio, el Tribunal de Justicia de la Unión Europea ha invalidado Privacy Shield, la decisión que permitía hasta ahora la transferencia de datos personales por parte de empresas de la Unión Europea hacia Estados Unidos. No obstante, el Tribunal avala las transferencias de datos realizadas en base a las cláusulas contractuales.
Como ya ocurriera en 2015 con Safe Harbour (Caso Schrems I), la Corte europea ha publicado hoy una sentencia en la que afirma que Estados Unidos no ofrece un nivel de protección de los datos personales adecuado, por lo que invalida el mecanismo que la Comisión había puesto en marcha tras el final de Safe Harbour.
¿Qué es Privacy Shield?
El Reglamento General de Protección de Datos (RGPD) prohíbe la realización de transferencias internacionales de datos desde la Unión Europea a un país tercero sin que existan garantías suficientes para garantizar una adecuada protección. En este sentido el RGPD señala, entre otras, garantías: una decisión adoptada por la Comisión Europea de acuerdo con la cual estima que el país receptor ofrece un nivel adecuado de protección, la adopción de instrumentos jurídicamente vinculantes, las cláusulas tipo de protección de datos adoptadas por una autoridad de control o la Comisión Europea, los códigos de conducta, los mecanismos de certificación, las cláusulas contractuales, las normas corporativas vinculantes o una autorización de la autoridad de control.
En 2016, como garantía para la realización de transferencias de datos a EE.UU, la Comisión Europea adoptó la Decisión 2016/1250, conocida como Privacy Shield. De acuerdo con esta Decisión, las empresas europeas podían transferir datos a las empresas estadounidenses que estuvieran adheridas al marco Privacy Shield.
¿Por qué invalida el Tribunal Privacy Shield?
La sentencia concluye que el nivel de protección que ofrece Estados Unidos no es equivalente al que ofrece la Unión Europea debido, entre otros motivos, a que considera que los programas de vigilancia de las autoridades estadounidenses son desproporcionados y limitan el ejercicio de los derechos a los ciudadanos.
¿Qué pasará ahora?
Actualmente, resulta precipitado realizar una valoración y hay que estar pendiente del análisis anunciado por parte de las Agencias de Protección de Datos europeas sobre las consecuencias de la sentencia.
No obstante, al no existir ya un acuerdo entre la UE y EEUU que legitime las transferencias de datos, las empresas españolas deben:
- analizar si realizaran transferencias internacionales de datos a empresas estadounidenses al utilizar algunos de sus servicios; y
- si las realizan en base al acuerdo de Privacy Shield, utilizar alguna de las otras garantías que permite el RGPD y que puedes consultar desde este enlace.
Desde Adigital Policy, seguiremos atentos a las novedades que se produzcan en torno a Privacy Shield e iremos actualizando toda la información en nuestra página web.