CUESTIONES PRÁCTICAS SOBRE LA INVALIDEZ DEL PRIVACY SHIELD POR PARTE DEL TJUE

Logo Privacy Shield Certified

Antes de saber qué podemos hacer tras el fallo del Tribunal de Justicia de la Unión Europea (en adelante el “TJUE”) en el que invalida el Privacy Shield, debemos tener claro qué es una transferencia internacional de datos y cómo llevarla a cabo conforme al RGPD.

En primer lugar, una transferencia internacional de datos se da cuando existe “flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea (en adelante “UE”) más Liechtenstein, Islandia y Noruega)”.

En segundo lugar, cuando existe esa transferencia internacional de datos debemos cumplir una serie de requisitos para que sea legal llevarla a cabo:

  • Los responsables y encargados del tratamiento podrán realizar transferencias internacionales de datos sin necesidad de una autorización de la Agencia Española de Protección de Datos siempre que el tratamiento de datos observe lo dispuesto en el RGPD y que los destinatarios de los datos se encuentren en un país, un territorio o uno o varios sectores específicos de ese país u organización internacional que haya sido declarado de nivel de protección adecuado por la Comisión Europea (ver listado). En este listado aparecen los Estados Unidos de América (en adelante “EE.UU.”), pero únicamente aquellas entidades certificadas en el marco del Privacy Shield (Escudo de Privacidad) entre los EE.UU. y la UE, creado al amparo de la Decisión (UE) 2016/1250 de la Comisión Europea, de 12 de julio de 2016.
  • Si no existe decisión de adecuación, se deberá tener las siguientes garantías:
  1. a) Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos
  2. b) Normas corporativas vinculantes
  3. c) Cláusulas tipo de protección de datos adoptadas por la Comisión
  4. d) Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión
  5. e) Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados
  6. f) Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.
  • Si no existe decisión de adecuación y tampoco garantías, únicamente se pueden hacer las transferencias internacionales si se cumple cualquiera de las siguientes condiciones:
  1.  a) El interesado haya dado explícitamente su consentimiento.
  2. b) La transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado.
  3. c) La transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica.
  4. d) La transferencia sea necesaria por razones importantes de interés público.
  5. e) La transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones.
  6. f) La transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.
  7. g) La transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.

En el caso de que ninguna de las excepciones anteriores sea aplicable, se podrá llevar a cabo una transferencia basada en intereses legítimos imperiosos del responsable del tratamiento cumpliendo los requisitos establecidos en el artículo 49 del RGPD in fine.

Dicho esto, y, en tercer lugar, vamos a explicar para los profanos en la materia, qué es el Privacy Shield o Escudo de Privacidad y el porqué de su importancia.

Debemos indicar que se trata del segundo intento entre los EE. UU. y de la UE para regular las transferencias internacionales de la UE a empresas americanas, de forma que las empresas que con carácter voluntario se adscribiesen a este segundo acuerdo no tengan que aplicar garantías adicionales en materia de privacidad. Recordemos que el primer acuerdo fue el Safe Harbour o Puerto Seguro que, obviamente, tuvo el mismo fatídico desenlace. Ninguno de los dos “inventos” ha demostrado que realmente las entidades norteamericanas traten, en principio, con la misma diligencia los datos personales que lo haría una entidad de la UE.

Y esto, ¿Por qué? Al margen de posibles cuestiones políticas, el TJUE en su reciente sentencia ha entendido que además de que las culturas europeas y norteamericanas tienen conceptos muy diferentes de lo que significa la privacidad y la protección de datos, principalmente las entidades radicadas en territorio de los EE. UU. deben facilitar, en aras a la seguridad nacional, toda clase de datos siempre que las autoridades se lo requieran. En la sentencia se pone de evidencia que el escudo de privacidad no alcanza el nivel de protección de datos europeo.

¿Y ahora qué hacemos?

Mientras no se alcanza un nuevo acuerdo marco entre el Departamento de Comercio de los EE. UU. y la Comisión Europea para poder transferir datos personales europeos a los EE. UU., deberemos:

  • Revisar las condiciones generales de contratación con aquellos proveedores ubicados en los EE. UU.
  • En esas condiciones generales de contratación debería especificarse si el proveedor estaba adscrito al Privacy Shield o bien se suscribieron las cláusulas contractuales tipo de la UE.
  • Si el proveedor estaba adscrito al Privacy Shield, se deberá suscribir las cláusulas contractuales tipo de la UE para poder continuar trabajando con ese proveedor, evaluando si el ordenamiento jurídico del país de destino alcanza el estándar europeo y acordando con el destinatario garantías adicionales. Si no lo hace, o bien media alguna de las garantías explicadas anteriormente para el caso en el que no existe decisión de adecuación, o bien se da cualquiera de las circunstancias detalladas en este artículo cuando hay falta de decisión de adecuación y de garantías.

 

Víctor Altimira e Irene López

Socios Abogados de ILVALEGAL Abogados

 

Compartir:

Share on facebook
Share on twitter
Share on linkedin

Más entradas de blog:

DÍA DE LA INTERNET SEGURA

¡Que este día nos inspire a educar, proteger y promover la seguridad en línea!   #internetsegura #seguridadenlinea #proteccióndedatos

ILVALEGAL es un despacho de abogados especializado en el derecho de las nuevas tecnologías en el que asesoramos al cliente,
desde el dinamismo y la innovación, basándonos en la cercanía y la inmediatez. Ofrecemos soluciones integrales unificando los aspectos tecnológicos con los legales.