Protección de datos en la empresa: ¿por qué se ha invalidado el Privacy Shield? ​

Estados Unidos no ofrece un nivel de protección adecuado desde el punto de vista de protección de datos de carácter personal. Recordemos el escándalo del acceso a datos por parte de las agencias de seguridad nacional.

La normativa de protección de datos europea (Reglamento General de Protección de Datos o RGPD) exige a las entidades que exporten datos de carácter personal a Estados Unidos que aporten garantías adicionales para suplir esa falta de protección a través de la adopción de ciertos mecanismos. Uno de ellos era el Privacy Shield, que permitía a los importadores de datos establecidos en Estados Unidos registrarse como un destino seguro. Este era el mecanismo de cumplimento utilizado por grandes compañías como por ejemplo Amazon, Google o Facebook y por la mayoría de proveedores de IT establecidos en Estados Unidos que ofrecen servicios a clientes europeos.

El 16 de julio el Tribunal de Justicia de la Unión Europea (TJUE) ha declarado inválido el marco Privacy Shield al considerar que no aporta suficientes garantías debido al acceso a los datos por parte de las autoridades de Estados Unidos.

Las entidades que traten datos de carácter personal deben analizar si transfieren datos de carácter personal a Estados Unidos. Transferir datos es enviar datos o permitir el acceso a los mismos para cualquier finalidad. Para identificar las transferencias se debe analizar, por ejemplo, si pertenecen a un grupo de empresas con sede o matriz en Estados Unidos o si se utilizan proveedores de servicios tecnológicos establecidos en Estados Unidos, incluyendo servicios de software, de alojamiento, o de soporte.

Aunque las transferencias internacionales deben estar identificadas en el registro de tratamiento de las entidades que traten datos de carácter personal, recomendamos ponerse en contacto con el administrador o responsable de sistemas y llevar a cabo un análisis de la situación actual de la empresa, ya que puede haberse contratado nuevos servicios de IT.

En caso de que se hayan detectado transferencias de datos a Estados Unidos, se deberá chequear cuál es el mecanismo en el que se ha utilizado para dicha transferencia: es decir si la entidad importadora de datos estaba registrada en Privacy Shield o si se utilizaron los otros mecanismos disponibles: Cláusulas Estándar firmadas entre importador y exportador o Normas Corporativas Vinculantes.

Los exportadores dispondrán de un plazo de gracia otorgado por las autoridades para implementar otro mecanismo de transferencias en caso de que alguna de sus transferencias se hiciera en el marco de Privacy Shield.

Otro de los mecanismos para regularizar las transferencias internacionales implica que el exportador e importador firmen unas cláusulas tipo. El TJUE considera que dichas cláusulas siguen siendo válidas, pero considera que es responsabilidad del exportador asegurarse de que los datos transferidos sobre la base de cláusulas tipo tienen un nivel de protección equivalente al europeo, analizando el potencial acceso por parte de las autoridades de dicho país. Los exportadores deberán evaluar el nivel de protección de sus países destino y deberán pedir garantías adicionales para la protección de los datos en caso necesario.

En consecuencia, las entidades deberán estar pendientes de las directrices que vayan dictando las autoridades supervisoras para implementar un mecanismo adecuado que les permita continuar llevando a cabo sus transferencias.

Contacte con nosotros si necesita asesoramiento sobre cómo identificar y regularizar sus transferencias internacionales a Estados Unidos.

LEAN Abogados