El acuerdo Privacy Shield entre Estados Unidos y la Unión Europea ha sido invalidado hace unos días por el Tribunal de Justicia de la Unión Europea.
Este hecho va a tener consecuencias para todas aquellas empresas que vengan exportando datos de carácter personal a EEUU. Sobre todo, va a tener especial impacto para todas aquellas empresas que trabajan con proveedores tecnológicos cuyos servidores están ubicados en aquel país.
¿Qué es el Privacy Shield y para qué servía?
Los países que no forman parte del Espacio Económico Europeo no están bajo la regulación del Reglamento General de Protección de Datos (RGPD). Esta regulación es la que establece las garantías y derechos de los ciudadanos europeos con respecto al tratamiento de sus datos de carácter personal.
Cuando los datos personales de los ciudadanos europeos son transferidos a países fuera del ámbito de la Unión, el RGPD establece que dicha transferencia sólo debe realizarse si en el país de destino, se garantizan niveles de protección equivalentes a los de la UE.
Como EEUU no es un país cuya regulación en materia de protección de datos garantice dichos niveles de protección, se configuró un acuerdo específico para aportar esas garantías en las transferencias internacionales de datos. Dicho acuerdo es el Privacy Shield y fue suscrito entre la Unión Europea y Estados Unidos en el año 2006. Las empresas estadounidenses adheridas a dicho acuerdo, se comprometen a garantizar niveles de seguridad equivalentes a los de la Unión Europea. Y gracias a ese acuerdo se establecía un flujo legal de datos entre Europa y EEUU si las empresas de estadounidenses se adherían al mismo.
¿Por qué se ha anulado el acuerdo de Privacy Shield?
El Tribunal de Justicia de la Unión Europea ha considerado que el Privacy Shield no daba garantías adecuadas y reales a los ciudadanos de la Unión Europea, dado que los derechos de los ciudadanos europeos se verían afectados si organismos de EEUU como la NSA o el FBI solicitasen acceso a dichos datos a las empresas receptoras de los mismos. Y con independencia de que esa solicitud se produzca por motivos de seguridad nacional o legales de otro tipo, en el contexto de la legislación de EEUU.
¿Y ahora qué pasa?
Las transferencias internacionales que se venían realizando amparadas en el Privacy Shield deben dejar de realizarse y es necesario buscar alternativas legales para poder realizar esas transferencias con las adecuadas garantías exigidas por el RGPD.
Esto implica que las empresas europeas deben revisar qué transferencias internacionales realizan a EEUU. Muchas de esas transferencias se estarán produciendo porque cuentan con proveedores de servicios tecnológicos de EEUU. Algo muy habitual en el caso de servicios SaaS y Cloud. Y tendrán que verificar si dichas empresas tienen ubicados sus servidores en Europa o en EEUU.
Si los servidores están ubicados en EEUU, será necesario buscar alternativas contractuales que garanticen la legalidad de esas transferencias. Y si bien existen las cláusulas contractuales tipo de la Decisión 2010/87/UE, hay que tener en cuenta que dichas cláusulas no serán garantía suficientes si no evitan la intrusión de organismos estadounidenses sobre los datos de ciudadanos europeos por motivos de seguridad nacional o similares, es decir, será necesario establecer garantías adicionales en ese sentido.
En el caso de las empresas multinacionales con sede en EEUU y que vinieran realizando transferencias internacionales entre compañías del grupo amparadas en el Privacy Shield, lo que tendrán que hacer es plantear esas transferencias en virtud de Normas Corporativas Vinculantes (BCR) específicas que garanticen los adecuados niveles de seguridad para los datos transferidos.
