LA JUSTICIA EUROPEA INVALIDA EL "UE-US PRIVACY SHIELD" - ¿CÓMO IMPACTA EN MI EMPRESA? - Tic&Law
21922
post-template-default,single,single-post,postid-21922,single-format-standard,ajax_fade,page_not_loaded,,select-theme-ver-2.4.1,wpb-js-composer js-comp-ver-4.7.4,vc_responsive

LA JUSTICIA EUROPEA INVALIDA EL «UE-US PRIVACY SHIELD» – ¿CÓMO IMPACTA EN MI EMPRESA?

El pasado jueves 16 de julio de 2020 el TJUE declaró inválida la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EEUU o “EU-US Privacy Shield”, vigente desde 2016 y en virtud del cual se permitía el intercambio de datos personales entre empresas americanas adheridas al citado acuerdo y empresas europeas. La decisión llega a raíz de dos reclamaciones de Maximiliam Schrems, un usuario de Facebook austriaco, que alegaba, entre otras cuestiones, que el Derecho y las prácticas de Estados Unidos no ofrecían suficiente protección frente al acceso, por parte de las autoridades públicas norteamericanas, a los datos de ciudadanos europeos transferidos a Estados Unidos y que dicho país no ofrece una protección suficiente de los datos que se transfieren a ese país.

¿Qué es el “EU-US Privacy Shield”?

El “EU-US Privacy Shield” fue diseñado por el Departamento de Comercio de EEUU y la Comisión Europea en apoyo del comercio transatlántico para proporcionar a las empresas a ambos lados del Atlántico un mecanismo para cumplir en las transferencias de datos personales de la Unión Europea (y Suiza) a los Estados Unidos con los derechos y garantías exigidos por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD).

El “EU-US Privacy Shield” entró en funcionamiento el 1 de agosto de 2016 y otorgaba protección a los derechos fundamentales de cualquier persona en la UE cuyos datos personales se transfirieran a los Estados Unidos para fines comerciales y otorgaba un nivel de protección adecuado a las empresas estadounidenses adheridas al mencionado Privacy Shield, asimilándolas al nivel de protección exigido a las empresas en territorio UE por el marco legal europeo vigente, el RGPD.

¿Por qué el Tribunal de Justicia de la Unión Europea (TJUE) ha declarado inválido el “Privacy Shield”?

En el marco de las dos reclamaciones presentadas por Maximiliam Schrems, la High Court irlandesa elevó una petición de decisión prejudicial ante el TJUE en base a la cual, este último procedió a examinar la validez de la dicho acuerdo conforme a las exigencias derivadas del RGPD y ha terminado considerando:

  • Que la referida Decisión reconoce la primacía de las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense, posibilitando de este modo injerencias en los derechos fundamentales de las personas cuyos datos personales se transfieren a ese país tercero. Según el TJUE, las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas en el Derecho de la Unión, en la medida en que los programas de vigilancia basados en la mencionada normativa no se limitan a lo estrictamente necesario; y
  • Que, contrariamente a lo que la Comisión consideró, el mecanismo del Defensor del Pueblo contemplado en dicha Decisión no se proporciona a las personas afectadas ninguna vía de recurso ante un órgano que ofrezca garantías sustancialmente equivalentes a las exigidas en el Derecho de la UE que puedan asegurar tanto la independencia del Defensor del Pueblo previsto en el antedicho mecanismo como la existencia de normas que faculten al referido Defensor del Pueblo para adoptar decisiones vinculantes con respecto a los servicios de inteligencia estadounidenses.

En resumen, el TJUE considera que EEUU no garantiza un nivel de protección adecuado, dado que el país destinatario (EEUU) debe ofrecer un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión Europea, refiriéndose principalmente a los «elementos pertinentes del sistema jurídico de dicho país».

¿Qué consecuencias tiene esta decisión judicial en las empresas?

La declaración de invalidez tiene un evidente impacto directo en todas aquellas empresas europeas que hayan contratado a proveedores estadounidenses cuya prestación de servicios implique una transferencia internacional de datos personales (por cuanto el tratamiento de datos que conlleva el servicio se realiza en suelo americano), como empresas proveedoras de CRMs, repositorios documentales, sistemas de correo electrónico, aplicaciones, softwares, etc. ya que dichas transferencias internacionales de datos personales han dejado automáticamente de ser conformes con el RGPD.

¿Cómo debo actuar si soy una empresa española o europea que trabaja con proveedores EEUU afectados por tal decisión?

Desde el punto de vista institucional, el jefe de justicia de la UE, Didier Reynders, ha declarado que se va a trabajar “para garantizar una respuesta rápida y coordinada a la sentencia. Esto es esencial para proporcionar seguridad jurídica a los ciudadanos y las empresas europeas”. A la espera de una respuesta coordinada, rápida y eficiente por parte de las autoridades de la UE y EEUU para garantizar un nuevo marco legal que otorgue seguridad jurídica a las empresas, la solución alternativa inmediata para las empresas afectadas por esta decisión judicial podría pasar por:

  • Adherirse a cláusulas tipo validadas por la Comisión Europea, esto es, una especie de contrato tipo en relación al tratamiento de los datos entre la compañía europea exportadora y la compañía estadounidense importadora de los datos en el marco, por ejemplo, de una prestación de servicios.
  • Aprobar “normas corporativas vinculantes” (“Binding Corporate Rules” o “BCR”), políticas de protección de datos adheridas por empresas establecidas en la UE para transferencias de datos personales fuera de la UE dentro de un grupo de empresas o empresas. Dichas reglas deben incluir todos los principios generales de protección de datos y derechos exigibles para garantizar salvaguardas apropiadas para las transferencias de datos, deben ser legalmente vinculantes y exigidos por todos los miembros interesados ​​del grupo y deben ser aprobadas por la autoridad de control competente.

 

En todo caso, consideramos prudente llevar a cabo las siguientes acciones:

  1. Realizar un análisis interno del impacto de dicha decisión del TJUE en la empresa, identificando los GAPS e incidencias contractuales que puedan surgir a raíz de la sentencia del TJUE.
  2. Diseñar para cada caso la solución legitimadora que enmiende el estatus actual de incumplimiento y mitigue los riesgos sancionadores asociados.
  3. Permanecer atentos a los próximos comunicados por parte de las autoridades europeas o nacionales al respecto.

 

En nifled tic&law estamos a vuestra disposición para acompañaros en la solución más adecuada a vuestras necesidades.

No hay comentarios.

Sorry, the comment form is closed at this time.