El pasado mes de julio El Tribunal de Justicia de la Unión Europea invalidó la conocida como Privacy Shield, la decisión que permitía la transferencia de datos personales entre empresas europeas y estadounidenses. El objetivo de este tipo de decisiones, contempladas en el RGPD, es garantizar un nivel adecuado de protección de los datos que se transfieren a terceros países tras haber analizado su legislación interna y los compromisos adquiridos.
Sobre esta base, la sentencia señala que:
- Estados Unidos no ofrece una protección suficiente de los datos que se transfieren a ese país en lo relativo a garantías adecuadas, derechos exigibles y acciones legales efectivas;
- La evaluación del nivel de protección debe tener en cuenta, además de las condiciones acordadas en el contrato entre el exportador de datos y el destinatario de un tercer país, el posible acceso que puedan tener las autoridades públicas de ese tercer país a los datos transferidos;
- La normativa nacional estadounidense de acceso y utilización de los datos transferidos desde la Unión Europea no cumple las exigencias que marca el derecho europeo en base al principio de proporcionalidad. ya que los programas de vigilancia de Estados Unidos no se limitan al criterio del uso de la información estrictamente necesaria;
- Según la base de las disposiciones incluidas en el RGPD, las transferencias internacionales de datos a un tercer país deben hacerse bajo cláusulas tipo de protección con garantías equivalentes a las que aportan las transferencias realizadas en la propia Unión Europea;
Aclaraciones aportadas por el Supervisor Europeo de Protección de datos
Ante las repercusiones de la sentencia, el Supervisor Europeo de Protección de datos explica sus implicaciones y aclara algunas dudas, señalando que:
- Se suspenden o prohíben las transferencias de datos personales que incumplan las cláusulas de la Decisión 2010/87 / CE de la Comisión Europea sobre las Cláusulas contractuales estándar («SCC»), la decisión que garantiza que el nivel de protección de la transferencia de datos es equivalente al que tendría si se hiciera dentro de la Unión Europea;
- Es necesario, tanto para el exportador como para el destinatario de los datos, que antes de realizar la transferencia se aseguren de que el nivel de protección es adecuado y por lo tanto se cumple con las cláusulas estándar de protección de datos. En el caso de que no sea así, el exportador suspenderá la transferencia y / o rescindirá el contrato con el importador de datos;
- La legislación interna de los EEUU y en especial algunos programas que facilitan el acceso de las autoridades públicas a los datos transferidos desde la UE con fines de seguridad nacional limitan la protección de datos al no cumplir con el requisito de proporcional exigido por la ley de la eurozona. Por esta razón se ha declarado inválida la decisión que permitía la transferencia de datos;
- Únicamente podrán mantenerse cuando se basen en el consentimiento del interesado que deberá ser:
- Explícito;
- Específico;
- Informado: aportando toda la información sobre posibles riesgos, especialmente indicando que sus datos se transferirán a un país que no aporta una protección adecuada en base a los requisitos exigidos por la Unión Europea;
- En lo que se refiere a transferencias necesarias para la ejecución de un contrato, los datos personales únicamente se podrán transferir cuando la transferencia sea ocasional y objetivamente necesaria para la ejecución del contrato;
- Cuando se trata de transferencias imprescindibles por razones de interés público, se deberá comprobar que dicho interés es importante en base a situaciones muy específicas en las que cada exportador de datos tendrá que asegurarse de que se cumple el criterio de “estricta necesidad, evitando que se realicen de forma sistemática y a gran escala;
- Las empresas deberán revisar si las herramientas o soluciones informáticas que tienen contratadas implican transferencias de datos a los EEUU.