¿Realiza tu empresa transferencias internacionales de datos (TID) a Estados Unidos? Si la respuesta que viene a tu cabeza es un “no”, quizá debas pensarlo mejor. Plantéate, por ejemplo, dónde está alojado tu correo electrónico o qué herramienta de email marketing utiliza tu compañía. Es posible que alguno de los proveedores de servicios con los que trabajas opere desde EE.UU. En ese caso, te interesa conocer todo lo relacionado con la sentencia del Tribunal de Justicia de la Unión Europea (TJUE), que invalidó el Escudo de la Privacidad UE-EE. UU (también conocido como Privacy Shield), y sus consecuencias.

En primer lugar, debes saber que una TID consiste en transferir datos personales desde un país europeo a otro que esté fuera del Espacio Económico Eurodvacpeo. El acuerdo Privacy Shield ha regulado, desde 2016 hasta julio de este año, la transferencia de datos personales entre la UE y Estados Unidos. En este artículo de nuestro blog ya analizamos los motivos del TJUE para invalidar Privacy Shield. Pero, quizá te preguntes qué debes hacer ahora.

¿Qué mecanismos podemos utilizar?

La sentencia no contempla ningún “periodo de gracia” en el que poder seguir realizando transferencias de datos a Estados Unidos. Algunos expertos hablan de la vuelta a la situación de incertidumbre de 2015, cuando el fallo del caso Schrems I anuló los acuerdos de Safe Harbor.

El Reglamento General de Protección de Datos ofrece mecanismos para regular las transferencias (cláusulas contractuales tipo, normas corporativas vinculantes…). Pero hay que tener en cuenta que exige a las organizaciones exportadoras de datos fuera de la Unión Europea que se aseguren de que los destinatarios de esos datos cumplen con un nivel de protección tan elevado como si estuvieran dentro de la UE.

En este sentido, el Comité Europeo de Protección de Datos (European Data Protection Board o EDPB por sus siglas), recomienda que se revise cada transferencia internacional realizada a EE.UU. para analizar si, en cada caso concreto, se puede garantizar la salvaguarda de los derechos y libertades de los interesados. Si una vez analizado el caso, se llega a la conclusión de que no se puede garantizar, la transferencia debe suspenderse. Pero, si hay necesidad de continuar con ella, es necesario consultar a la Autoridad de Control competente, en España, la Agencia Española de Protección de Datos (www.aepd.es).

¿Cómo podemos ayudarte?

Para algunas compañías la evaluación caso por caso puede ser difícil. Esto se debe a la falta de medios para verificar, por ejemplo, si existe un nivel adecuado de protección en un tercer país. Además, el EDPB está analizando qué medidas técnicas y organizativas podrán implementarse, tanto en las cláusulas tipo como en las normas corporativas vinculantes, con el objetivo de garantizar los derechos y libertades de los interesados en las TID a EE.UU.

A pesar de las dificultades, lo más recomendable para las compañías es abordar de forma activa este asunto. Es necesario tomar precauciones y documentar los procedimientos de protección de datos que apliquen. Para ello, ponemos a tu disposición a nuestro equipo de expertos abogados y consultores en Derecho TIC, que analizará las TID que lleva a cabo tu organización y te ayudará a prevenir problemas por incumplimiento de la normativa sobre protección de datos.

¿Quieres saber más? ¡Consúltanos!

by