El Tribunal de Justicia de la Unión Europea (TJUE) ha invalidado a fecha de 16/07/2020, el marco regulatorio conocido como Privacy Shield, el cual posibilitaba la transferencia masiva de datos de carácter personal entre la Unión Europea y Estados Unidos (EE. UU.)
En materia de protección de datos, las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio de la Unión Europea (UE) a destinatarios establecidos en países fuera del Espacio Económico Europeo.
El RGPD en sus artículo 44 dispone que solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el capítulo V del RGPD, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional.
Todas las disposiciones previstas en el capítulo V del RGPD se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el RGPD no se vea menoscabado.
Dentro de las disposiciones del mencionado capitulo V del RGPD se encuentran las causas que legitiman llevar a cabo una transferencia internacional de datos, y hasta el momento el Privacy Shield era una legitimación suficiente para llevar a cabo transferencias internacionales de datos, entre EE. UU. y la UE.
Este tratado de carácter internacional validaba el nivel de privacidad de las transferencias internacionales de datos de carácter personal, equiparándolo a un nivel similar al establecido por el Reglamento General de Protección de Datos (RGPD) en Europa. Sin embargo, la resolución del TJUE, popularmente conocida como Schrems II, aclara que la validez de las cláusulas contractuales establecidas en el presente dictamen, como garantía para la realización de transferencias internacionales de este tipo de información, no es adecuada para garantizar los derechos de los usuarios cuando sus datos personales son transferidos a EE. UU. motivo por el cual, todas las transferencias internacionales de datos que se venían haciendo, bajo el paraguas del Privacy Shield deben de dejar de hacerse.
¿Y ahora qué?
Esta es la pregunta que se hacen multitud de organizaciones tanto europeas como de EE. UU.
Ante esta nueva situación acaecida, tras la decisión de declarar invalido el Privacy Shield, aquellas entidades que realicen transferencias de datos de carácter personal bajo las condiciones del mencionado tratado internacional deberán revisar sus flujos de datos y valorar la toma de medidas alternativas con el fin de garantizar la adecuación de estas, para garantizar la privacidad de los datos de los interesados.
El RGPD reconoce otras vías que legitiman llevar a cabo transferencias internacionales de datos, como lo son, las normas corporativas vinculantes, códigos de conducta o mecanismos de certificación como los propios sellos contemplados en el RGPD (aún pendientes de desarrollo).
Asimismo, no debemos olvidar la posibilidad de legitimar las transferencias, a través de las cláusulas contractuales tipo; u otras vías previstas en el RGPD como podría ser el consentimiento.
Próximos pasos
Como ya ocurrió en 2015 con la invalidación del Tratado Safe Harbour, predecesor del Privacy Shield, la incertidumbre actual se está apoderando del sector de la privacidad que espera con anhelo el posicionamiento o pronunciamiento de las Autoridades de Control europeas y que arroje algo de luz a la problemática actual.
De momento la Autoridad de Control de Berlín, se ha pronunciado, solicitando a las organizaciones alemanas que dejen de utilizar el Privacy Shield como método de legitimación de sus transferencias internacionales de datos y busquen otras vías para regularizar sus flujos de transferencias de datos.
Por su parte la ICO Autoridad de Control en materia de protección de datos en Reino Unido, ha dispuesto un “disclaimer” en su web, indicando a las organizaciones que dejen de utilizar el Privacy Shield solo para aquellas transferencias internacionales de datos que supongan nuevos flujos de datos.
Por lo que a nosotros respecta, esperamos el pronunciamiento de la Agencia Española de Protección de Datos, para esclarecer la situación actual, y, con las ideas claras, poder tomar las acciones oportunas y poder asesorar a nuestros clientes, para que sus flujos de transferencias internacionales de datos se adecuen de nuevo a las exigencias y disposiciones de la normativa vigente en materia de protección de datos, tras este trascendental cambio.
Desde Sothis os mantendremos informados de todas aquellas novedades que se produzcan en este sentido para ofrecer el mejor asesoramiento posible en la materia y mantener indemnes a nuestros clientes, de cualquier tipo de sanción como consecuencia del incumplimiento del RGPD.