12 de abril, 2022

Antecedentes

Han pasado casi dos años desde que el Tribunal de Justicia de la Unión Europea (TJUE) dictó sentencia en el Asunto C-311/18, mayormente conocida como “Sentencia Schrems II”.

Dicha sentencia invalidaba el Escudo de Privacidad (Privacy Shield) al considerar que los requisitos del Derecho nacional estadounidense y, en particular, algunos programas que permiten a las autoridades públicas de los Estados Unidos acceder a los datos personales transferidos desde la UE a los EE.UU. con fines de seguridad nacional, imponen limitaciones a la protección de los datos personales que no están circunscritos de un modo que ofrezca garantías sustancialmente equivalentes a las exigidas en el Derecho de la Unión, y que esta legislación no proporciona ninguna vía de recurso judicial contra las autoridades de los EE.UU. a los titulares de los datos.

Los mecanismos disponibles para efectuar transferencias internacionales en ausencia del Privacy Shield y de una decisión de adecuación válida, son las Cláusulas Contractuales Tipo (en inglés, Standard Contractual Clauses, SCCs) y las Normas Corporativas Vinculantes (en inglés Binding Corporate Rules, BCRs). No obstante, el Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés) emitió sus Recomendaciones 1/2020 sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de los datos personales de la UE. En estas recomendaciones se establece que el mero uso de las SCC no es suficiente y sostiene que los responsables o encargados del tratamiento deben verificar, de manera individualizada, las circunstancias de las transferencias y las medidas complementarias que hayan podido aplicar, de forma que se proporcionen garantías adecuadas para la realización de transferencias internacionales de datos a EE.UU.

Asimismo, la Comisión Europea actualizó las SCC teniendo en cuenta la sentencia Schrems II y la opinión conjunta del Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos. No obstante, la mera existencia y actualización de estas nuevas SCCs no es suficiente, puesto que debe realizarse la evaluación de las garantías existentes, como comentado anteriormente.

¿Un nuevo Privacy Shield 2.0?

La Presidenta de la Comsión, Ursula von der Leyen, y el Presidente Joe Biden anunciaron el “acuerdo de principio” sobre un nuevo sistema de intercambio de datos entre la UE y los EE.UU. Si bien nos encontramos ante un anuncio meramente político, este “nuevo marco supone un compromiso sin precedentes por parte de EE.UU. para aplicar reformas que refuercen la privacidad y las libertades civiles aplicables a las actividades de inteligencia de EE.UU.” según declaraciones de la Comisión en un comunicado. Joe Biden, por su parte, aseguró que este nuevo acuerdo facilitará el flujo de datos entre EE.UU. y Europa para “facilitar unas relaciones económicas de 7,1 billones de dólares (6,4 billones de euros)”.

No obstante, se plantean una serie de retos para los juristas a la hora de la elaboración del nuevo acuerdo, puesto que EE.UU. no se ha planteado modificar sus leyes de vigilancia, en concreto la Foreign Intelligence Surveillance Act (FISA), en su sección 702, que permite al gobierno norteamericano recoger, tratar y difundir el contenido de comunicaciones electrónicas de proveedores de internet alojados en los EE.UU.; y la Executive Order (EO) 12333, que especifica, al margen de FISA, las circunstancias en las que las agencias de inteligencia estadounidenses pueden acceder a datos de una persona en el extranjero si esta se comunica con una persona en el territorio norteamericano o a la inversa.

Igualmente, cualquier nuevo acuerdo deberá ser, en primer lugar, una decisión ejecutiva de la Comisión Europea que deberá ser revisada primeramente por el Consejo Europeo de Protección de Datos. También cabe recordar que la decisión podría ser impugnada ante el Tribunal de Justicia de la Unión Europea o incluso el propio alto tribunal podría adoptar medidas preliminares si este nuevo acuerdo viola las sentencias anteriores.

Mientras este nuevo acuerdo ve la luz, las empresas que decidan hacer transferencias internacionales de datos a EE.UU., deberán realizar una evaluación específica y de manera individualizada teniendo en cuenta los siguientes aspectos:

  • Conocer las transferencias que existen.
  • Verificar los instrumentos en los que se basan las transferencias.
  • Evaluar la legislación o la práctica del tercer país que pueda afectar a la eficacia de las garantías adecuadas de los instrumentos de transferencia en los que se basa.
  • Determinar y adoptar las medidas complementarias necesarias para que el nivel de protección de los datos transferidos se ajuste a la normativa de equivalencia esencial de la UE.
  • Adoptar cualquier fase de procedimiento formal que pueda requerir las medidas complementarias.
  • Revisar periódicamente los riesgos involucrados y las medidas implementados para abordar los cambios de regulaciones de privacidad y los entornos de riesgo asociados con las transferencias.

Llevar a cabo transferencias internacionales de datos desde Europa a terceros países sin el debido asesoramiento conlleva el riesgo de incurrir en infracciones del RGPD, con las correspondientes sanciones y órdenes de suspensión por no cumplir estos requisitos.  Desde Certus ofrecemos asesoramiento especializado en materia de protección de datos mediante un análisis exhaustivo de todos los flujos de datos personales de tu empresa.

Hablamos de...

Comparte el post

Leave A Comment