Consulte el PDF

El Privacy Shield o Escudo de Seguridad constituía hasta ahora el marco normativo que por excelencia legitimaba las transferencias de datos personales desde Europa a Estados Unidos, éste surgió como sustituto de los principios Safe Harbour o de Puerto Seguro, que fueron a su vez anulados por el Tribunal de Justicia de la UE en 2015.

 

La decisión original de TJUE de anular el Safe Harbour fue el resultado de una reclamación de Maximilian Shcrems contra Facebook Irlanda, que buscaba prohibir las transferencias de sus datos desde dicho país a Estados Unidos (Schrems I). Dicha solicitud se fundaba en la supuesta participación de Facebook en el programa clandestino de vigilancia electrónica PRISM liderado por la Agencia de Seguridad Nacional norteamericana, cuya existencia fue filtrada Edward Snowden en 2013.

 

La nulidad de Safe Harbour en 2015 generó entonces gran incertidumbre a nivel legal y comercial, no solo a las miles de empresas que transferían directamente datos personales entre la UE a los Estados Unidos, sino además a todas aquellas que utilizaban prestadores de servicios de nube cuyos servidores se ubican en dicho país. Como respuesta rápida se negoció un nuevo tratado por el cual el gobierno norteamericano asumía garantizar los derechos de protección de datos respecto de la información transferida desde estados miembros de la UE, este tratado fue denominado Privacy Shield y aprobado en julio 2016 por la Comisión Europea.

 

Tan solo 4 años han transcurrido desde entonces, y ante una nueva reclamación de Maximilian Shcrems el Tribunal de Justicia de la UE vuelve a concluir que el acceso y utilización de los datos personales establecidos en la normativa estadounidense no cumplen con las exigencias fijadas por el derecho de la UE, el cual requiere una equivalencia sustancial con la protección de los datos personales garantizada en la Unión (Schrems II).

 

Aun no se a adoptado una decisión a nivel de las Autoridades Estatales de Control (Agencia Española de Protección de Datos), respecto de cómo proceder ante este nuevo cambio en las reglas de juego, y si es que se concederá algún periodo de gracia para que las empresas regularicen su situación, como ocurrió en ocasión de la caída del Safe Harbour. Lo que es seguro es que todas aquellas empresas que actualmente estén transfiriendo datos a los Estados Unidos deberán de analizar su situación y regularizarla.

 

El Reglamento General de Protección de Datos (RGPD) establece algunas alternativas que permitirían continuar transfiriendo información a los Estados Unidos, como ser firmar unas cláusulas contractuales tipo, pedir autorización a la Autoridad de Control, establecer Normas Corporativas Vinculantes o Códigos de Conductas Corporativos aprobados con arreglo al RGPD. Sin embargo, todas estas alternativas repercutirán en una mayor dificultad y trabajo por parte de las empresas involucradas, así como para las propias Autoridades de Control, quienes deberán aprobar y fiscalizar la adecuación de estas.