¿Ya no se pueden transferir datos personales a Estados Unidos? Consecuencias de la invalidación del ‘privacy shield’

El Tribunal de Justicia de la Unión Europea (TJUE) ha invalidado el “Privacy Shield”, uno de los acuerdos marco clave que permitía la transferencia de datos personales entre la UE y EEUU, a raíz de la Sentencia dictada en el caso ‘Schrems contra Facebook’ (asunto C-311/18: EU:C:2020:559 o “Schrems II).

¿Qué son las transferencias internacionales de datos?

De todos es sabido que, en una economía global tan digitalizada como la actual, los datos personales son objeto de transmisión entre las miles operaciones mercantiles que se llevan a cabo diariamente, no sólo dentro del territorio de la UE sino que traspasa sus fronteras, por ejemplo, cuando se compran bienes o solicitan servicios online, al usar redes sociales, cuando se contratan servicios de hosting o plataformas cloud. Ello provoca que las transferencias de datos entre las organizaciones son absolutamente necesarias y están a la orden del día.  

Sin embargo, la normativa de privacidad europea, que pretende proteger los derechos de los interesados, no puede ser óbice para evitar las transferencias y entorpecer la actividad económica, y es por ello que el propio Reglamento Europeo de Protección de Datos (RGPD) ha establecido diversos mecanismos para que estas transferencias internacionales puedan darse de forma legal:

  • por un lado, existen las Decisiones de la Comisión Europea, donde establece que un destinatario de datos ubicado en un tercer país es declarado de nivel adecuado por cumplir con las exigencias del RGPD durante el tratamiento de los datos transferidos (es decir, al usarlos, almacenarlos y/o transferirlos).
  • En segundo lugar, y a falta de esta Decisión, pueden ofrecerse una serie de garantías para proceder a la transferencia, como las cláusulas contractuales tipo, las normas corporativas vinculantes (entre filiales y su matriz, por ejemplo), adhesión a códigos de conducta o mecanismos de certificación.
  • Y en tercer lugar, y a falta de Decisión o garantías, únicamente se podrá llevar a cabo la transferencia si se cumplen una serie de condiciones en casos específicos establecidas en el RGPD o requerirse de una autorización expresa por parte de la Autoridad de Control del país donde está ubicado el exportador.

¿Qué es el Privacy Shield?

Con base en estos supuestos, el Privacy Shield es la Decisión de la Comisión europea (Decisión (UE) 2016/1250) donde declara que las empresas u organizaciones estadounidenses que se adhieren a este acuerdo marco son calificadas como de nivel adecuado, tras cumplir con todos los requisitos solicitados en dicho acuerdo marco.   

Y, ¿Por qué tanto alboroto con su anulación?

Hace cinco años, el TJUE ya invalidó, provocando un gran revuelo, el que era el antecedente del Privacy Shield: el Safe Harbour, que era el acuerdo que permitía, desde el año 2000, las transferencias internacionales entre UE y EEUU. A falta de éste, se podían utilizar las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea, como documento a firmar entre los exportadores e importadores de los datos antes de realizar cualquier transferencia.

En el año 2016 se aprobaba el Escudo de privacidad, para facilitar las transferencias. Sin embargo, la historia se ha repetido. Este pasado 17 de julio, el TJUE ha invalidado las transferencias de datos a EEUU que se amparan en el Privacy Shield, a la vez que cuestiona si las cláusulas contractuales tipo son válidas, pues éstas en todo momento deben garantizar un nivel de protección equivalente al ofrecido al amparo del RGPD, interpretado a la luz de la Carta de los Derechos Fundamentales de la UE.

En este caso, Facebook ha sido quien ha estado en el punto de mira, dado que no ha cumplido con los estándares de protección de datos de la Unión Europea: los datos transferidos desde la UE a EEUU por esta red social no estaban seguros, pues ni el escudo de privacidad ni las cláusulas contractuales tipo respetaban las garantías y derechos fundamentales reconocidos en la UE a sus ciudadanos. La justicia europea ha señalado que, como ocurría con el Safe Harbour, existe un riesgo de “injerencias en los derechos fundamentales de las personas” cuyos datos se transfieren, a causa de que el gobierno y agencias de seguridad americanas, amparándose en la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense, podían acceder a todos los datos. Asimismo, el TJUE, señala que el acceso y la utilización de los datos por parte de las autoridades estadounidenses no se ajustan al principio de proporcionalidad, de modo que la vigilancia de estos datos no se limita a lo “estrictamente necesario”.

¿Qué consecuencias conlleva esta Sentencia?

La invalidación del Privacy Shield conlleva que ya no se puede utilizar esta Decisión de la Comisión Europea como medio sencillo, ágil y fluido para realizar las transferencias Internacionales entre la UE y las entidades adheridas de EEUU.  Ya que el TJUE ha considerado que EEUU no garantiza un nivel de protección de datos personales adecuado a las exigencias de la normativa del RGPD.

Por lo tanto, todas las transferencias internacionales que se producen diariamente y que se amparan en esta Decisión son ilegales.

Entonces, ¿se debe dejar de utilizar los servicios ofrecidos por las empresas estadounidenses?

El hecho de que esta Decisión se haya invalidado no significa que no podamos realizar transferencias a través de los otros mecanismos que establece el RGPD, sin embargo, deberán cumplirse sin excepción. Recordemos que el RGPD establece unas sanciones ingentes por su incumplimiento, pudiendo llegar hasta los 20 millones de euros o el 4% del volumen de facturación global del año anterior.

Para evitar dichas sanciones, las propias organizaciones deberán establecer sus propios protocolos ante las Transferencias internacionales, mientras las autoridades de protección de datos europeas y de EEUU no lleguen a otro acuerdo al respecto.

Recomendaciones para las entidades que realicen transferencias a EEUU

El RGPD exige a las organizaciones y entidades exportadoras de datos fuera de la UE que se aseguren que los destinatarios de los datos cumplan con un nivel de protección tan elevado como si se estuviera realizando dentro de la UE.

Para cumplir con el RGPD, se deberán revisar los tratamientos que pueden verse afectados por las transferencias. Posteriormente, se deberán detectar y valorar, con ayuda del DPD de la entidad o profesionales de la privacidad, los posibles riesgos asociados a dichos tratamientos y las medidas aplicables para que dichos tratamientos sigan siendo acordes al RGPD y así regularizar las transferencias internacionales.

Para regularizar, entonces, las transferencias, puede tenerse en cuenta lo siguiente:

  • en primer lugar, valorar la necesidad de la transferencia internacional y, si fuera el caso, estudiar la posibilidad de cambiar de proveedor mientras las autoridades de privacidad lleguen a un acuerdo, pues una mala gestión de las transferencias conllevará una cuantiosa sanción.
  • En muchos casos este cambio puede resultar inviable y, por ello, a falta de Decisión de la Comisión, se pueden firmar entre exportador e importador las Cláusulas contractuales Tipo, que no han sido invalidadas por la Sentencia Schrems II. Éstas son documentos privados jurídicamente vinculantes. Siempre tendrán que valorarse caso por caso (por este hecho, las empresas de EE. UU. podrían poner problemas en la hora de firmarlas).
  • En el seno de empresas matrices y sus filiales pueden crearse las denominadas normas corporativas vinculantes, que serán como una especie de “paraguas” que regirá toda la normativa de privacidad tanto para la empresa matriz como sus filiales.
  • Otras alternativas, como garantías, para realizar de forma lícita transferencias internacionales son o bien la adhesión a códigos de conducta o los mecanismos de certificación que van acompañados de compromisos de aplicación de garantías adecuadas vinculantes y exigibles a las entidades.

Pero ¿y si éstas tampoco son la solución?

El RGPD señala una serie de excepciones que se permiten para situaciones específicas (art. 49 RGPD), como, por ejemplo, el consentimiento explícito del propio interesado (tras haber sido informado de los posibles riesgos para él) o la necesidad de tratamiento de los datos para la celebración o ejecución de un contrato, en el que el interesado sea parte, entre otras.

En conclusión, se deberán revisar todas las transferencias internacionales basadas en Privacy Shield para adaptarlas a cada caso concreto. A partir de ahora, se presenta un gran reto para la Comisión de la UE, pues deberá negociar nuevamente con las autoridades americanas para que esta decisión no comporte un desastre en el sector empresarial transfronterizo en un mundo cada vez más globalizado. Por otro lado, estaremos pendientes de cualquier notificación y comunicación que puedan hacer las autoridades de control al respeto.

Si tenéis dudas sobre las transferencias internacionales de datos, pasos a seguir al respecto o sobre vuestros derechos como usuarios, el equipo de PymeLegal está a vuestra disposición.