Ja no es poden transferir dades personals a Estats Units? Conseqüències de la invalidació del ‘privacy shield’

El Tribunal de Justícia de la Unió Europea (TJUE) ha invalidat el “Privacy Shield”, un dels acords marc clau que permetia la transferència de dades personals entre la UE i els EUA, arran de la Sentència dictada en el cas ‘Schrems contra Facebook’ (assumpte C-311/18: EU:C:2020:559 o “Schrems II).

Què són les transferències internacionals de dades?

De tots és sabut que, en una economia global tan digitalitzada com l’actual, les dades personals són objecte de transmissió entre els milers d’operacions mercantils que es duen a terme diàriament, no sols dins del territori de la UE sinó que traspassa les seves fronteres, per exemple, quan es compren béns o es sol·liciten serveis online, a l’hora d’utilitzar xarxes socials, quan es contracten serveis de hosting o plataformes cloud… Com veiem, les transferències de dades entre les organitzacions són absolutament necessàries i estan a l’ordre del dia.

No obstant això, la normativa de privacitat europea, que pretén protegir els drets dels interessats, no pot ser obstacle per evitar les transferències i entorpir l’activitat econòmica, i és per això que el propi Reglament Europeu de Protecció de Dades (RGPD) ha establert diversos mecanismes perquè aquestes transferències internacionals puguin donar-se de manera legal:

– d’una banda, existeixen les Decisions de la Comissió Europea, on estableix que un destinatari de dades situat en un tercer país és declarat de nivell adequat per a complir amb les exigències del RGPD durant el tractament de les dades transferides (és a dir, en usar-les, emmagatzemar-les i/o transferir-les);

– en segon lloc, i mancant aquesta decisió, poden oferir-se una sèrie de garanties per a procedir a la transferència, com les clàusules contractuals tipus, les normes corporatives vinculants (entre filials i la seva matriu, per exemple), adhesió a codis de conducta o mecanismes de certificació

– i, en tercer lloc, mancant la decisió o les garanties, únicament es podrà dur a terme la transferència si es compleixen una sèrie de condicions en casos específics establertes en el RGPD o requerir-se d’una autorització expressa per part de l’Autoritat de Control del país on està situat l’exportador.

Què és el Privacy Shield?

Amb base en aquests supòsits, el Privacy Shield és la Decisió de la Comissió Europea (Decisió (UE) 2016/1250) on declara que les empreses o organitzacions estatunidenques que s’adhereixen a aquest acord marc són qualificades com de nivell adequat, després de complir amb tots els requisits sol·licitats en aquest acord marc.

I, per què tant de rebombori amb la seva anul·lació?

Fa cinc anys, el TJUE ja va invalidar, provocant un gran enrenou, el que era l’antecedent del Privacy Shield: el Safe Harbour, que era l’acord que permetia, des de l’any 2000, les transferències internacionals entre UE i els EUA. Mancant aquest, es podien utilitzar les “Clàusules Contractuals Tipus” aprovades per la Comissió Europea, com a document a signar entre els exportadors i importadors de les dades abans de realitzar qualsevol transferència.

L’any 2016 s’aprovava l’Escut de Privacitat, per a facilitar les transferències. No obstant això, la història s’ha repetit. Aquest passat 17 de juliol, el TJUE ha invalidat les transferències de dades als EUA que s’emparen en el Privacy Shield, alhora que qüestiona si les clàusules contractuals tipus són vàlides, perquè aquestes en tot moment han de garantir un nivell de protecció equivalent a l’ofert a l’empara del RGPD, interpretat a la llum de la Carta dels Drets Fonamentals de la UE.

En aquest cas, Facebook ha sigut qui ha estat en el punt de mira per no complir amb els estàndards de protecció de dades de la Unió Europea: les dades transferides des de la UE als EUA per aquesta xarxa social no estaven segurs, perquè ni l’escut de privacitat ni les clàusules contractuals tipus respectaven les garanties i drets fonamentals reconeguts a la UE als seus ciutadans. La justícia europea ha assenyalat que, com ocorria amb el Safe Harbour, existeix un risc de “ingerències en els drets fonamentals de les persones” les dades de les quals es transfereixen, a causa que el govern i agències de seguretat americanes, emparant-se en la seguretat nacional, l’interès públic i el compliment de la llei estatunidenca, podien accedir a totes les dades. Així mateix, el TJUE, assenyala que l’accés i la utilització de les dades per part de les autoritats estatunidenques no s’ajusten al principi de proporcionalitat, de manera que la vigilància d’aquestes dades no es limita a “l’estrictament necessari”.

Quines conseqüències comporta aquesta sentència?

La invalidació del Privacy Shield comporta que ja no es pot utilitzar aquesta decisió de la Comissió Europea com a mitjà senzill, àgil i fluid per a realitzar les Transferències Internacionals entre la UE i les entitats adherides dels EUA. Ja que el TJUE ha considerat que els EUA no garanteix un nivell de protecció de dades personals adequat a les exigències de la normativa del RGPD.

Per tant, totes les transferències internacionals que es produeixen diàriament i que s’emparen en aquesta decisió són il·legals.

Llavors, s’han de deixar d’utilitzar els serveis oferts per les empreses nord-americanes?

El fet que aquesta decisió s’hagi invalidat no significa que no puguem realitzar transferències a través dels altres mecanismes que estableix el RGPD, no obstant això, hauran de complir-se sense excepció. Recordem que el RGPD estableix unes sancions ingents pel seu incompliment, podent arribar fins als 20 milions d’euros o el 4 % del volum de facturació global de l’any anterior.

Per evitar aquestes sancions, les pròpies organitzacions hauran d’establir els seus propis protocols davant les Transferències Internacionals, mentre les autoritats de protecció de dades europees i dels EUA no arribin a un altre acord sobre aquest tema.

Recomanacions per a les entitats que realitzin transferències als EUA

El RGPD exigeix a les organitzacions i entitats exportadores de dades fora de l’UE que s’assegurin que els destinataris de les dades compleixin amb un nivell de protecció tan elevat com si s’estigués realitzant dins de la UE.

Per a complir amb el RGPD, s’hauran de revisar els tractaments que poden veure’s afectats per les transferències. Posteriorment, s’hauran de detectar i valorar, amb ajuda del DPD de l’entitat o professionals de la privacitat, els possibles riscos associats a aquests tractaments i les mesures aplicables perquè aquests continuïn sent concordants al RGPD i així regularitzar les transferències internacionals.

Per a regularitzar, doncs, les transferències, pot tenir-se en compte el següent:

– en primer lloc, valorar la necessitat de la transferència internacional i, si fos el cas, estudiar la possibilitat de canviar de proveïdor mentre les autoritats de privacitat no arribin a un acord, perquè una mala gestió de les transferències comportarà una quantiosa sanció;

– en molts casos, aquest canvi pot resultar inviable i, per això, mancant decisió de la Comissió, es poden signar entre exportador i importador les Clàusules Contractuals Tipus, que no han estat invalidades per la sentència Schrems II. Aquestes són documents privats jurídicament vinculants. Sempre hauran de valorar-se cas per cas (per aquest fet, les empreses d’EEUU podrien posar problemes a l’hora de signar-les);

– en el si d’empreses matrius i les seves filials poden crear-se les denominades normes corporatives vinculants, que seran com una espècie de “paraigua” que regirà tota la normativa de privacitat tant per a l’empresa matriu com les seves filials;

altres alternatives, com a garanties, per a realitzar de manera lícita transferències internacionals són o bé l’adhesió a codis de conducta o els mecanismes de certificació que van acompanyats de compromisos d’aplicació de garanties adequades vinculants i exigibles a les entitats.

Però, i si aquestes tampoc són la solució?

El RGPD assenyala una sèrie d’excepcions que es permeten per a situacions específiques (art. 49 RGPD), com, per exemple, el consentiment explícit del propi interessat (després d’haver estat informat dels possibles riscos per a ell) o la necessitat de tractament de les dades per a la celebració o execució d’un contracte, en el qual l’interessat sigui part, entre altres.

En conclusió, s’hauran de revisar totes les transferències internacionals basades en Privacy Shield per adaptar-les a cada cas concret. A partir d’ara, es presenta un gran repte per a la Comissió de la UE, ja que haurà de negociar novament amb les autoritats americanes perquè aquesta decisió no comporti un desastre en el sector empresarial transfronterer en un món cada vegada més globalitzat. D’altra banda, estarem pendents de qualsevol notificació i comunicació que puguin fer les autoritats de control al respecte.

Si teniu dubtes sobre les transferències internacionals de dades, passos a seguir sobre aquest tema o sobre els vostres drets com a usuaris, l’equip de PymeLegal està a la vostra disposició.