El Tribunal de Justicia de la Unión Europea (TJUE) dictaminó el pasado 16 de julio que el acuerdo «Privacy Shield» de intercambio de datos con Estados Unidos no es válido. Esto tiene ciertas implicaciones para el tratamiento de datos, que intentaremos explicar a continuación.

El «Privacy Shield» es un acuerdo internacional por el que se consideraba que las empresas de Estados Unidos ofrecían un nivel de protección de datos similar a las europeas. De este modo, las transferencias de datos entre unas y otras podían producirse con la misma libertad que entre dos empresas europeas.

Sin embargo, el TJUE ha dictaminado que -dadas las exigencias internas de la legislación estadounidense- no es cierto que el nivel de protección sea equiparable. De manera que retira este estatus especial que tenían los Estados Unidos.

Esto puede tener consecuencias para las empresas europeas que envíen datos a ese país, aunque sea de forma temporal.

Por ejemplo, tener un servidor en la nube alojado en Estados Unidos pasa a ser una situación de riesgo. También lo puede ser cualquier tipo de encargo de tratamiento realizado por empresas estadounidenses, o venta de datos para fines publicitarios si el destinatario está en este país.

 

No todas las transferencias de datos a Estados Unidos quedan prohibidas

Sin embargo, esto no significa que todas las transferencias de datos a Estados Unidos estén prohibidas. Pueden continuar las siguientes:

  • Transferencias realizadas por el propio sujeto interesado (un ciudadano X que decide entregar sus propios datos a una empresa estadounidense).
  • Transferencias «necesarias«: pueden continuar las transferencias que sean imprescindibles, tales como enviar un correo electrónico a Estados Unidos o hacer una reserva con una empresa estadounidense.
  • Transferencias de otro tipo: pueden hacerse, pero Estados Unidos deja de tener una situación especial. Eso implica que se exige las mismas medidas de control que para cualquier otro país tercero. Estas medidas aparecen reguladas en los artículos 44 y siguientes del RGPD, y en general implican verificar que el tercer país ofrezca las debidas garantías. En todo caso, además, se exige que el interesado (si se va a obtener su consentimiento para la transferencia) esté debidamente informado de las consecuencias de la transferencia.
  • Respecto a las grandes empresas (Google, Microsoft, Facebook,…), que puedan tener sedes tanto en Europa como en Estados Unidos, en general se debe presuponer que las mismas cumplirán en Europa con sus obligaciones y no transferirán los datos a Estados Unidos sin garantizar la debida protección de los mismos. Es su responsabilidad hacerlo (bajo pena de graves multas).

 

Garantizando la protección de datos

De todos modos, lo que sí pasa a estar absolutamente prohibido es disponer de servidores en Estados Unidos sin garantizar la protección de los datos y sin informar de este extremo a los usuarios afectados. Otro tanto puede ocurrir con cualquier tipo de encargo de tratamiento que tenga como destinataria una empresa estadounidense sin que se ofrezca las citadas garantías.

En caso de llevar a cabo estas transferencias de forma ilegal, ustedes mismos sí que podrían acabar siendo sancionados por dicha práctica. De modo que recomendamos que su Delegado de Protección de Datos o departamento equivalente estudie las consecuencias concretas de este fallo para su empresa.

Desde Sinapsis estamos a su disposición para prestar el asesoramiento necesario a nuestros clientes. Si tienen alguna pregunta sobre este tema, no duden en preguntarnos.

Para más información: https://noyb.eu/en/CJEU-Media-Page

Fabián Plaza es un abogado y escritor que ama los acuerdos, las relaciones internacionales y la resolución pacífica de conflictos. Además, es el Delegado de Protección de Datos de Sinapsis