El Tribunal de Justicia de la Unión Europea ha declarado inválida la decisión de adecuación de la Comisión europea, denominada “Privacy Shield”. Por lo tanto, se invalidan transferencias internacionales a Estados Unidos. Así dejó en evidencia el acceso eventual de los servicios de inteligencia estadounidenses a los datos personales transferidos de los ciudadanos europeos.
Reconocimiento de Estados Unidos
Estados Unidos ha sido considerado desde el día 12 de julio de 2016 como un destinatario adecuado por la Comisión europea. El único requisito es que las entidades estadounidenses destinatarias de los datos personales de ciudadanos europeos formaran parte del Escudo de Privacidad entre Unión Europea y Estados Unidos.
Transferencias internacionales tras la Sentencia del Tribunal de Justicia Europeo
Sin embargo, tras la Sentencia del Tribunal de Justicia Europeo del pasado 16 de julio de 2020, Estados Unidos ya no tiene el reconocimiento de la Comisión. Por lo tanto, se abre de nuevo un futuro incierto respecto a las garantías que ofrecen EEUU en esta materia.
El Tribunal europeo afirma que el tratamiento de los datos de los ciudadanos europeos con fines de seguridad pública, defensa o seguridad del Estado por parte de las autoridades estadounidenses no puede excluir la aplicación del RGPD. Del mismo modo, insta a las autoridades de control a velar por su cumplimiento.
Consecuencias para transferencias internacionales a Estados Unidos
Por su parte, los responsables y/o encargados del tratamiento deben recurrir a cláusulas tipo adoptadas por la Comisión o la autoridad de control competente. Se incluyen otras cláusulas o garantías adicionales que no contradigan ni mermen los derechos o las libertades fundamentales de los ciudadanos europeos.
Para evitar sanciones, las propias organizaciones deberán establecer sus propios protocolos ante las Transferencias internacionales. Hay que hacerlo mientras las autoridades de protección de datos europeas y de EEUU no lleguen a otro acuerdo al respecto.
Posibles soluciones
Para regularizar, entonces, las transferencias, puede tenerse en cuenta lo siguiente:
- Valorar la necesidad de la transferencia internacional y, si fuera el caso, estudiar la posibilidad de cambiar de proveedor mientras las autoridades de privacidad lleguen a un acuerdo.
- Se pueden firmar entre exportador e importador las Cláusulas contractuales Tipo, que no han sido invalidadas por la Sentencia Schrems II. Éstas son documentos privados jurídicamente vinculantes. Siempre tendrán que valorarse caso por caso.
- En las empresas del mismo grupo pueden crearse las denominadas Normas Corporativas Vinculantes, que serán como una especie de “paraguas” que regirá toda la normativa de privacidad tanto para la empresa matriz como sus filiales.
- Otras alternativa, por ejemplo, es la adhesión a códigos de conducta o los mecanismos de certificación con los compromisos de aplicación de garantías adecuadas vinculantes y exigibles a las entidades.
