Plan de acción tras la invalidez del Privacity Shield

El pasado 16/07/2020 el Tribunal de Justicia de la Unión Europea (TJUE) dictó una sentencia de gran calado, que afecta a las condiciones legales de las transferencias internacionales de datos desde la UE a Estados Unidos.

La analizamos a continuación:

Contexto

El RGPD establece como principio que las transferencias de datos realizadas desde Europa a operadores situados fuera del Espacio Económico Europeo[1] sólo serán lícitas si cumplen las condiciones previstas en el RGPD (arts. 44-49), las cuales dependen del país de destino de los datos. El incumplimiento de dichas condiciones se califica como infracción muy grave, sancionable con multa de hasta 20.000.000 euros.

En el caso concreto de las transferencias de datos a Estados Unidos, una gran parte quedaba habilitada legalmente en el marco del denominado Escudo de Privacidad (Privacy Shield), por el cual se consideraban lícitas las transferencias de datos dirigidas a las empresas americanas que se hubieran adherido a dicho marco, que conllevaba su compromiso de cumplimiento de una serie de principios de protección de datos.

Ejemplo: el uso de Google Drive por una entidad europea para el almacenamiento de datos conllevaba la transferencia de los datos a los servidores de Google ubicados en EE. UU. Dicha transferencia era conforme al RGPD, al estar Google LLC adherida al Privacy Shield.

Sentencia TJUE

El TJUE acaba de declarar la invalidez del Escudo de Privacidad UE-EE. UU., por 2 motivos principales:

• Que la legislación americana concede a sus autoridades, en particular por exigencias de seguridad nacional, un amplio margen para exigir a las empresas locales el acceso a los datos transferidos desde la UE. Dicho acceso y utilización es considerado por el TJUE como una injerencia excesiva y desproporcionada en los derechos fundamentales de los ciudadanos europeos.
• La constatación de las limitaciones del derecho a la tutela judicial efectiva existentes en EE. UU., que impiden garantizar a los titulares de los datos la posibilidad de ejercer acciones legales ante tribunales independientes e imparciales para hacer valer sus derechos.

• Al día de la fecha, las autoridades europeas de protección de datos están analizando los efectos de la sentencia, con objeto de adoptar un enfoque común y una respuesta armonizada a la situación creada.

Consecuencias prácticas

1. La sentencia del TJUE no contempla ningún “período de gracia”, por lo que su efecto es inmediato.
2.   La sentencia no provoca un vacío legal en materia de transferencias de datos a EE. UU., ya que el RGPD prevé otros instrumentos o garantías para habilitar dichas transferencias. Uno de dichos instrumentos son las llamadas “cláusulas contractuales tipo”, adoptadas en su día por la Comisión UE.
3. La misma sentencia del TJUE ha ratificado la validez de las cláusulas contractuales tipo, como base para la licitud de las transferencias a EE. UU. No obstante, el TJUE matiza que las autoridades de protección de datos europeas pueden suspender o prohibir las transferencias basadas en dichas cláusulas, cuando constate que no están siendo respetadas.
4. Aunque es de esperar que las autoridades de UE-EE. UU. inicien en breve una negociación para acordar un nuevo instrumento que sustituya al Privacy Shield, los resultados no llegarán en el corto plazo.
5. A su vez, es previsible que las empresas de EE. UU. que operan en la UE muevan ficha con rapidez para adoptar otro instrumento de los previstos en el RGPD que permita garantizar la continuidad de las transferencias con sus clientes europeos.
6. A la espera de la posición común que adopten las autoridades europeas de protección de datos, las transferencias de datos a EE. UU. que a fecha actual se basan en el Privacy Shield no son conformes al RGPD.
7. No obstante el punto anterior, cabe esperar que la Agencia Española de Protección de Datos conceda cierto margen de adaptación antes de iniciar actuaciones sancionadoras.

Recomendaciones

Siendo muchas las incógnitas pendientes de despejar, con un criterio de prudencia recomendamos dar los siguientes pasos a todo responsable o encargado del tratamiento:

1. Identificar las transferencias de datos realizadas actualmente a operadores de EE. UU. (ej.: uso de Mailchimp. Gmail, Drive, Dropbox, Office 365, Zoom, Facebook…)
2. Determinar para cada transferencia identificada si estaba basada en el Privacy Shield y/o en otro instrumento de los previstos en el RGPD. Entre otros, a fecha actual los siguientes operadores de EE.UU. han adoptado las cláusulas contractuales tipo: Google (G Suite), Amazon Web Services, Microsoft Corporation, The Rocket Science Group (Mailchimp), Zoom Video Communications, Calendly, Slack Technologies, Facebook, Twitter International Company, Linkedin Corporation…
3. Según los casos, analizar la posición adoptada por los operadores de EE. UU. afectados por la sentencia del TJUE y, en su caso, solicitarles confirmación de qué medidas pretenden adoptar y en qué plazo.
4. Cuando sea viable, valorar la posibilidad de sustituir los servicios actualmente recibidos de operadores de EE. UU. por otros similares de empresas europeas.
5. En función de las decisiones que se tomen en cada caso, actualizar la documentación afectada del sistema de gestión de la privacidad:
   • Registro de las actividades de tratamiento
   • Cláusulas informativas offline y online
   • Política de privacidad de la página web, etc.

En DATUSLEX realizamos el seguimiento de este importante asunto y ofrecemos a nuestros clientes un estudio personalizado sobre las implicaciones para su actividad y posibles soluciones a implementar.

El Espacio Económico Europeo lo forman los países de la UE más Islandia, Noruega y Liechtenstein.