Privacy Shield: qué implica que la justicia europea haya invalidado este acuerdo para transferir datos entre EE UU y la UE

0
84

El Tribunal de Justicia de la Unión Europea (TJUE) informaba este jueves mediante un comunicado de prensa que invalidaba “la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.”. Es decir: el organismo jurídico anulaba el famoso ‘Privacy Shield’ de 2016 entre la Unión Europea y Estados Unidos que permitía el intercambio de datos personales con fines comerciales entre ambos territorios.

Esta resolución se produce, dice el comunicado del TJUE, porque “las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización, por las autoridades estadounidenses, de los datos transferidos desde la Unión a ese país tercero no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas, en el Derecho de la Unión, por el principio de proporcionalidad, en la medida en que los programas de vigilancia basados en la mencionada normativa no se limitan a lo estrictamente necesario”.

El Tribunal de Justicia señala también que, con respecto a algunos programas de vigilancia, “de la referida normativa no se desprende en modo alguno que existan limitaciones a la habilitación que otorga para la ejecución de esos programas, ni tampoco que existan garantías para las personas no nacionales de los Estados Unidos que sean potencialmente objeto de esos programas”.

Traduciendo esto a palabras más comprensibles, el TJUE cree que Estados Unidos no da garantías suficientes para proteger la privacidad de los datos, ya que su normativa no es suficientemente estricta o, al menos, no cumple los estándares del Reglamento General de Protección de Datos (RGPD). “En EE. UU. las autoridades pueden requerir a las empresas la entrega de datos y estas deben dárselos casi sin remedio, mientras que las compañías europeas tienen herramientas para evitarlo”, comenta Javier Prenafeta, abogado especialista en Tecnología de la firma 451.legal.

El acuerdo afectaba principalmente a las empresas digitales. Sin embargo, aunque obviamente será un inconveniente para gigantes como Google, Apple, Microsoft o Twitter, que utilizaban la disposición para transferir legalmente los datos personales de los ciudadanos europeos a sus bases en EE. UU., quienes realmente se verán más afectadas serán las pequeñas empresas.

En total, ‘Privacy Shield’ engloba a más de 5.300 compañías. Las grandes empresas tecnológicas están adheridas al acuerdo pero tienen asimismo sus propios mecanismos de control. Sin embargo, “la decisión deja a algunos proveedores -normalmente pequeños- sin cobertura legal para transferencias internacionales de datos”, expone el abogado.

“Esto implica que el uso de CRMs, repositorios documentales, sistemas de correo electrónico… u otros que basen el cumplimiento del RGPD con arreglo al ‘Privacy Shield’ ahora no se podrían usar, o si se usan hay una infracción porque la transferencia internacional de datos sería ilícita”, explica.

Apunta también que esto “ya pasó cuando se declaró inválido el Acuerdo de Puerto Seguro, que era básicamente lo mismo”. Hablamos de ‘Safe Harbour’, el marco legal que fue el predecesor del ‘Privacy Shield’.

El jefe de justicia de la UE, Didier Reynders, ha dicho que se va a trabajar “para garantizar una respuesta rápida y coordinada a la sentencia. Esto es esencial para proporcionar seguridad jurídica a los ciudadanos y las empresas europeas”. “Estamos en contacto con todos los diferentes socios para ver cómo es posible avanzar”, ha añadido.

Sin embargo, en opinión de Prenafeta es “poco probable” que se diseñe “un sustituto” para ‘Privacy Shield’ pues es la segunda vez que se anula un acuerdo de este tipo. El abogado cree que lo que sucederá de ahora en adelante será que “las empresas se adherirán a cláusulas tipo validadas por la Comisión Europea” -una especie de contrato tipo en relación al tratamiento de los datos- o que crearán de forma interna “normas corporativas vinculantes” que cumplan con los requisitos de la RGPD.

Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.