El TJUE anuló el acuerdo Privacy Shield en 2020, impidiendo que las transferencias de datos personales entre la UE y EE. UU. sin la adopción de cláusulas contractuales tipo. Repasamos qué supuso esta anulación para los responsables y encargados del tratamiento.
En este artículo hablamos de:
¿Qué supuso la anulación del acuerdo Privacy Shield?
El acuerdo Privacy Shield entre EE.UU. y la Unión Europea llevaba en vigor desde 2016, cuando se firmó para que las empresas con base en Estado Unidos que se acogieran al mismo pudiesen realizar transferencias de datos personales de sus usuarios europeos al otro lado del Atlántico. De hecho, este acuerdo vino a sustituir al también tumbado por la justicia, Safe Harbor.
En sus 4 años de vida, alrededor de 5.400 empresas se había adherido al Privacy Shield, su anulación por parte del Tribunal de Justicia de la Unión Europea (TJUE) supuso varios problemas para las empresas que usaban servicios fuera de la UE con acceso a datos personales de ciudadanos europeos.
Hasta 2020, el Prviacy Shield garantizaba que los datos personales transferidos a los servidores en EE.UU. cumplían con la misma garantía en materia de protección de datos que exige el RGPD en Europa. Sin embargo, tras la demanda presentada contra Facebook Irlanda por el abogado y activista austriaco, Max Schrems, el TJUE sentenció que dadas las leyes actuales en EE.UU., esa garantía no se puede asegurar.
Lo que vino a decir el TJUE es que como las empresas americanas pueden verse obligadas a entregar datos personales de sus usuarios a las agencias del gobierno de EE.UU., para cumplir así con la ley y las exigencias relativas a la seguridad nacional y el interés público, esto vulneraba el RGPD y la Carta de Derechos Fundamentales de la UE. Lo que llevó al Tribunal a anular el Privacy Shield y consecuentemente todas las transferencias de datos amparadas por él.
Esta anulación del acuerdo del «Escudo de Privacidad» abrió la puerta a una nueva negociación entre EE.UU. y la UE para volver a alcanzar un nuevo acuerdo con el que se permitiera la transferencia internacional de datos con EE.UU., puesto que tras esa sentencia, las empresas tuvieron que dejar de transferir datos personales a servidores en EE.UU. con efecto inmediato. Ese acuerdo, cómo veremos más adelante, llegó finalmente en julio de 2023.
¿Quién se vio más afectado y cuánto?
Como decíamos, unas 5.300 empresas norteamericanas estaban adheridas al Privacy Shield; empresas cuyos servicios son muy usados en Europa, tales como WhatsApp, Trello, Mailchimp, Slack o Dropbox, entre muchas otras. Estas empresas ya no podían seguir transfiriendo datos personales de sus usuarios europeos a sus sedes en EE. UU. No se vieron afectadas aquellas empresas con servidores en Europa y que no hacían transferencias de datos personales fuera de la Unión Europea.
¿Qué ocurrió entonces con las filiales cuyos servidores están al otro lado del Atlántico o en países fuera de la UE?
Aquellas que quisieron seguir haciendo transferencias internacionales de datos, debieron recurrir a las cláusulas contractuales estándar (SCC) para no violar lo dispuesto en el RGPD.
Estas SCC son acuerdos de derecho privado para transferir datos personales a servidores en terceros países, pero la ley exige que deben ser examinadas por las autoridades de protección de datos competentes (en España, la AEPD), de manera que se pueda comprobar que cumplen con la normativa europea vigente y garantizan un nivel adecuado de protección de datos. Sin embargo, hay que señalar que bajo estas cláusulas, los ciudadanos de la UE perderían la posibilidad de emprender cualquier tipo de acción legal en contra.
Además, las empresas americanas, incluso con estas cláusulas, seguirían teniendo el mismo problema que ha llevado a la anulación del Privacy Shield, la ley estadounidense puede obligarles a permitir el acceso a datos personales de sus usuarios a las agencias gubernamentales.
¿Se pueden hacer ahora transferencias de datos a EE. UU.?
Actualmente, desde el 10 de julio de 2023, ya se pueden realizar transferencias de datos personales a EE. UU., en virtud del nuevo Marco de Privacidad UE-EEUU, aprobado por la Comisión Europea.
Este nuevo Marco permite la transferencia de datos sin necesidad de tomar otras medidas, como las mencionadas cláusulas contractuales tipo, ya que la Comisión considera que EE. UU. ofrece un nivel de garantía en protección de datos equivalente al del RGPD. Eso sí, las empresas a las que se transfieran los datos deben estar adheridas a dicho acuerdo, es decir, han sido certificadas por la FTC (Comisión Federal de Comercio) o del DoT (Departamento de Transporte de EE. UU.).
¿Y para empresas no adheridas al nuevo marco? Grupo Atico34 te ayuda
Pese a la aprobación del Marco de Privacidad UE-EEUU, si la empresa estadounidense a la que se transfieren datos personales de ciudadanos de la UE, no está certificada por la FTC o el DoT, es decir, no cumple con los requisitos del Marco, sigue siendo necesario recurrir a las SCC o dejar de transferir datos, si no se quiere incurrir en una infracción y su correspondiente sanción.
Es el momento de revisar las políticas de transferencia internacional de datos personales, para lo que se recomienda contar con el correcto asesoramiento y trabajar con una empresa especializada en protección de datos y privacidad, como Atico34, donde podremos ayudarte a solucionar todas tus dudas respecto a lo que implica el Marco de Privacidad UE-EEUU y cómo debes proceder para seguir transfiriendo datos personales a servidores en EE.UU.