952 10 14 94

Al hablar de protección de datos, hay un término que muchas empresas desconocen y que, sin embargo, afecta de lleno a su actividad. Se trata del Privacy Shield, un acuerdo entre la Unión Europea y EEUU por el que se permite el flujo de datos de forma internacional y que ha sido anulado por el Tribunal de Justicia de la Unión Europea. En este artículo analizamos los efectos de esta anulación en la gestión de protección de datos de empresas y autónomos.

¿Qué es el Privacy Shield?

El Privacy Shield es un acuerdo por el que se ha regulado la transferencia de datos personales de la Unión Europea a los Estados Unidos de América entre el año 2016 y 2020. Este acuerdo nace como consecuencia de la proliferación por parte de muchas pymes y autónomos del uso de aplicaciones y servicios radicados en EEUU como Google (G-mail, G-Docs, G-Drive o G-Meet, …), Microsoft (Office 365, Teams o Sharepoint,…), ZOOM, Dropbox, Mailchimp, Whatsapp, Telegram, entre muchos otros. Servicios que, sin que muchas empresas sean plenamente conscientes de ello, suponen la exportación de datos a EEUU.

Para poder contratar proveedores cuyos servicios y/o tratamientos se alojan en EEUU y realizar estas exportaciones-transferencias internacionales de datos, se creó este acuerdo de Privacy Shield, por el que las empresas de EEUU se autocertifican y pueden tratar datos desde la UE sin necesidad de hacer trámites farragosos ni solicitar consentimientos complicados de obtener.

El tribunal de Justicia de la Unión Europea anula el Privacy Shield

El pasado mes de julio, el Tribunal de Justicia de la Unión Europea (TSJE) en la conocida como Sentencia Schrems II declaró nulo este acuerdo de privacidad, al considerar que no garantiza la protección de datos conforme al Reglamento Europeo de Protección de Datos (RGPD).

La anulación viene determinada porque las leyes americanas permiten el acceso sin restricciones por la NSA y el FBI-CIA a datos personales alojados en servidores/empresas de USA sin necesidad de mandamiento judicial, supuestamente para asuntos de seguridad nacional. Sin embargo, esto no se verifica por un órgano judicial, por lo que no se consideran suficientes las garantías para los ciudadanos europeos.

Cómo garantizar la protección de datos en empresas que usan servicios americanos

A pesar de que el acuerdo de Privacy Shield haya sido anulado por el TSJE, las empresas pueden seguir usando estos servicios y exportando datos a EEUU acogiéndose a las Cláusulas Contractuales Tipo, que se mantienen en vigor. Este tipo de cláusulas estándar son otro mecanismo de autorización para el flujo de datos, aunque en la sentencia se establece que se requieren acciones adicionales (no se especifican cuáles) para garantizar la protección de los datos.

Por tanto, siendo estrictos, el único mecanismo que queda disponible para poder exportar datos desde la UE hacia EEUU es el consentimiento libre, específico, inequívoco e informado de TODOS y cada uno de los interesados para que sus datos puedan exportarse a USA.

Esta base de legitimación es a nuestro juicio totalmente inviable para los sistemas de tratamiento que están en funcionamiento en la actualidad, ya que establece un mecanismo para conseguir que a todos los interesados se les requiera el consentimiento, que efectivamente lo consientan, que se eliminen los datos de los tratamientos a los que no se consiga su consentimiento, etc… Este es un problema de compleja solución práctica. Solamente tendría sentido para un tratamiento que se inicie de cero, incluyendo esta premisa en las condiciones de tratamiento.

Una solución idónea posible sería requerir a la empresa actual que presta los servicios que estos se efectúen dentro de la UE, o trasladar los servicios actuales a una empresa que garantice que los datos van a estar tratados y alojados siempre dentro de la UE.

En cualquier caso, la UE y el Departamento de Comercio USA llevan ya varias semanas revisando la situación y tratando de solucionar este problema, pero parece que llevará un tiempo llegar a conclusiones viables que no sean revocadas por el TJUE.

Demandas a empresas que incumplen con el RGPD

Schrems, promotor de la demanda de anulación del Privacy Shield ante el TJUE, ha iniciado ya procesos de demanda a grandes empresas americanas, e incluso a entidades españolas.

A este respecto, el lunes 17 de agosto, Schrems anunciaba a través de su organización NOYB (None of Your Business) su campaña de 101 quejas. El austriaco ha presentado reclamaciones en todas las autoridades de protección de datos europeas contra 101 web europeas además de contra Google y Facebook alegando que siguen usando Google Analytics o Facebook Connect y transfiriendo datos a Estados Unidos.

Riesgos para las empresas españolas que usan servicios americanos

Las empresas españolas que utilizan servicios basados total o parcialmente en USA están en riesgo de infracción por Transferencia Internacional de Datos sin autorización ni base de legitimación adecuada.

Soluciones para que las empresas cumplan con el RGPD

En nuestra opinión, la posible solución sería preguntar a Google, Microsoft, Mailchimp, Amazon, y a otros prestadores de servicios de USA:

1. Cuáles son las soluciones que previsiblemente van a adoptar, que no sean las SCC (Standard Contractual Clauses).

2. Si podrían garantizar que todos los tratamientos de datos se efectúen dentro de la UE, y el plazo previsible para su implementación efectiva.

En los casos de otros proveedores, sean locales y/o internacionales, hacer los mismos requerimientos.

Mientras esta situación no se resuelva, bien por el lado de las administraciones de la UE-USA, o bien por medio de los proveedores, el riesgo existe y la sanción es posible, aunque, en nuestra opinión, es poco probable a corto plazo.

Últimas entradas

Comparte en:
María José Ruiz

Maria Jose Ruiz de Audiolís

Responsable del Dpto. de Marketing y Comunicación de Audiolís, especialista en realizar contenidos de temática laboral y legal en torno al contrato de formación y otras modalidades contractuales.