El TJUE ha anulado finalmente el acuerdo Privacy Shield; las empresas ya no podrán transferir datos personales de usuarios europeos a servidores en EE.UU.
¿Qué sucederá ahora tras la anulación del acuerdo? Los profesionales de la privacidad, serán clave para ayudar a las empresas con los cambios.
En este artículo hablamos de:
¿Qué supone la anulación de este acuerdo?
El acuerdo Privacy Shield entre EE.UU. y la Unión Europea llevaba en vigor desde 2016, cuando se firmó para que las empresas con base en Estado Unidos que se acogieran al mismo pudiesen realizar transferencias de datos personales de sus usuarios europeos al otro lado del atlántico. De hecho, este acuerdo vino a sustituir al también tumbado por la justicia, Safe Harbor.
En sus 4 años de vida, alrededor de 5.400 empresas se había adherido al Privacy Shield, pero ahora que el Tribunal de Justicia de la Unión Europea (TJUE) ha anulado dicho acuerdo, ¿qué supone para estas empresas?
Hasta ahora, el Prviacy Shield garantizaba que los datos personales transferidos a los servidores en EE.UU. cumplían con la misma garantía en materia de protección de datos que exige el RGPD en Europa. Sin embargo, tras la demanda presentada contra Facebook Irlanda por el abogado y activista austriaco, Max Schrems, el TJUE ha sentenciado que dadas las leyes actuales en EE.UU., esa garantía no se puede asegurar.
Lo que viene a decir el TJUE es que como las empresas americanas pueden verse obligadas a entregar datos personales de sus usuarios a las agencias del gobierno de EE.UU., para cumplir así con la ley y las exigencias relativas a la seguridad nacional y el interés público, esto vulneraría el RGPD y la Carta de Derechos Fundamentales de la UE. Lo que ha llevado al Tribunal a anular el Privacy Shield y consecuentemente todas las transferencias de datos amparadas por él.
Esta anulación del acuerdo del «Escudo de Privacidad» probablemente abrirá la puerta a una nueva negociación entre EE.UU. y la UE para volver a alcanzar un nuevo acuerdo con el que se permita la transferencia internacional de datos con EE.UU. Puesto que tras esta sentencia, las empresas deberán dejar de transferir datos personales a servidores en EE.UU. con efecto inmediato.
¿Quién se verá más afectado y cuánto?
Como decíamos, unas 5.300 empresas norteamericanas estaban adheridas al Privacy Shield; empresas cuyos servicios son muy usados en Europa, tales como WhatsApp, Trello, Mailchimp, Slack o Dropbox, entre muchas otras. Estas empresas ya no podrán seguir transfiriendo datos personales de sus usuarios europeos a sus sedes en EE.UU. No se verán afectadas aquellas empresas que tengan servidores en Europa y no hagan transferencias de datos personales fuera de la Unión Europea.
¿Qué ocurre entonces con las filiales que cuyos servidores están al otro lado del Atlántico o en países fuera de la UE?
Por el momento, si quieren seguir haciendo transferencias internacionales de datos, deberán recurrir a las cláusulas contractuales estándar (SCC) para no violar lo dispuesto en el RGPD.
Estas SCC son acuerdos de derecho privado para transferir datos personales a servidores en terceros países, pero la ley exige que deben ser examinadas por las autoridades de protección de datos competentes (en España, la AEPD), de manera que se pueda comprobar que cumplen con la normativa europea vigente y garantizan un nivel adecuado de protección de datos. Sin embargo, hay que señalar que bajo estas cláusulas, los ciudadanos de la UE perderían la posibilidad de emprender cualquier tipo de acción legal en contra.
Además, las empresas americanas, incluso con estas cláusulas, seguirían teniendo el mismo problema que ha llevado a la anulación del Privacy Shield, la ley estadounidense puede obligarles a permitir el acceso a datos personales de sus usuarios a las agencias gubernamentales.
¿Cómo te podemos ayudar en Atico34?
Con la reciente anulación del Privacy Shield, todas las empresas que operan en la UE y que estuviesen transfiriendo datos personales de sus usuarios a servidores alojados en EE.UU., tendrán que dejar de hacerlo para no incurrir en graves sanciones.
Es el momento de que estas empresas revisen las políticas de transferencia internacional de datos personales, para lo que se recomienda contar con el correcto asesoramiento y trabajar con una empresa especializada en protección de datos y privacidad, como Atico34, donde podremos ayudarte a solucionar todas tus dudas respecto a lo que implica la anulación del Privacy Shield y qué debes hacer a partir de ahora si vas a seguir transfiriendo datos personales a servidores en EE.UU.