¿Cómo nos afecta la derogación del escudo de privacidad entre Europa y EE.UU.?

Fecha de publicación
15/09/2020
Autor
INCIBE (INCIBE)
¿Cómo nos afecta la derogación del escudo de privacidad entre Europa y EE.UU.?

El escudo de privacidad (Privacy Shield) fue diseñado por EE.UU., la Unión Europea y Suiza, su objetivo era proporcionar a las empresas a ambos lados del Atlántico un mecanismo de cumplimiento con los requisitos de protección de datos personales cuando son transferidos desde Europa y Suiza a Estados Unidos.

Sin embargo, el 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea (TJUE) emitió una sentencia declarando como ‘inválida’ la Decisión de la Comisión Europea (UE) 2016/1250 del 12 de julio de 2016 sobre la adecuación de la protección proporcionada por el Escudo de Privacidad UE-EE.UU. (Ver comunicado de prensa).

El TJUE entiende que no se da el mismo nivel de protección al usuario por la legislación estadounidense. El punto de roce está provocado por el hecho de que las leyes de EE.UU. permiten la recopilación de datos personales de ciudadanos no estadounidenses a través de medios electrónicos como Facebook, los cuales, podrían ser usados por los servicios de inteligencia estatal en casos de seguridad nacional, produciéndose un uso de los mismos más allá de lo estrictamente necesario.

¿Qué ocurrirá ahora?

Las empresas no podrán seguir transfiriendo los datos personales de usuarios a servidores de EE.UU. ya que a partir del 16 de julio serán ilegales y contrarias al RGPD.

Sin embargo, esto no supondrá una paralización de las empresas que se habían suscrito al escudo de privacidad. Los expertos consideran que existen alternativas a esta sentencia, una de ellas serían las cláusulas contractuales tipo, que a través de un contrato entre el exportador e importador de los datos permitirían seguir realizando las transferencias internacionales con garantías por parte del receptor de dichos datos, siempre y cuando el gobierno americano no realice una intromisión, en cuyo caso el contrato sería declarado nulo.

Algunos sectores son críticos con ese tipo de solución, pues consideran que tampoco ofrecen las garantías necesarias que exige el TJUE, ya que las empresas en EE.UU. no pueden garantizar la no injerencia del gobierno.

En medio de toda la incertidumbre, las autoridades en materia de protección de datos de cada país de la Unión Europea, permanecen a la espera de que haya pronunciamientos al respecto por parte de las autoridades europeas que aclaren la situación actual y propongan vías alternativas.

¿Existe alguna solución que evite la transferencia de datos?

Debe atenderse cada caso en particular según las transferencias de datos que se realicen, aunque según los expertos, una solución pasa porque las empresas almacenen y administren los datos personales de los usuarios en servidores ubicados fuera de EE.UU., en suelo europeo, los cuales estarían acogidos a la política de datos de la Unión Europea. A este respecto, ya están emergiendo soluciones en la nube como posible solución alternativa.

Esto supondría un coste extra para las empresas pero a cambio, también supondría una ventaja en cuanto a la facilidad de los trámites necesarios.

Extracto del punto 3 de la sentencia:

“…a no ser que exista una decisión de adecuación válidamente adoptada por la Comisión Europea, la autoridad de control competente está obligada a suspender o prohibir una transferencia de datos a un país tercero basada en cláusulas tipo de protección de datos adoptadas por la Comisión, cuando esa autoridad de control considera, a la luz de todas las circunstancias específicas de la referida transferencia, que dichas cláusulas no se respetan o no pueden respetarse en ese país tercero…”

Sin embargo en EE.UU., no ven la decisión de esta sentencia desde el mismo punto de vista, incluso alegan que si la Unión Europea se tomase en serio la privacidad de los usuarios, sus datos, realmente estarían más seguros con la legislación existente en EE.UU.

Supuestos validos en la transferencia de datos tras la sentencia

Actualmente, la Unión Europea debe pronunciarse más bien pronto que tarde acerca del camino a seguir para aquellas empresas afectadas, mientras tanto, las mismas, tendrán que buscar soluciones legales alternativas, como algunas de las comentadas que les permitan seguir ejerciendo el tratamiento de los datos personales de sus usuarios dentro del marco normativo europeo.

Si tienes dudas, llama al 017, la Línea de Ayuda en Ciberseguridad de INCIBE. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

017 tu linea de ayuda en ciberesguridad

Ir arriba