A principios de este mes, el Tribunal de Justicia de la Unión Europea emitió un fallo que tendrá importantes implicaciones para todas las empresas que transfieren datos personales a nivel internacional.

No se trata solo de multinacionales o empresas tecnológicas; Las transferencias internacionales son cruciales para todo tipo de empresas, grandes y pequeñas. Pueden suceder cuando las empresas almacenan datos en la nube, envían datos a otras organizaciones o contratan proveedores con sede fuera de Europa.

La última decisión se produjo en la larga batalla legal entre el activista austríaco de privacidad Max Schrems y el gigante de las redes sociales Facebook, que ya ha tenido un gran impacto en las transferencias internacionales de información personal. En 2013, cuando todavía era estudiante, Schrems presentó una queja contra Facebook.

Su queja surgió de las revelaciones del denunciante Edward Snowden, que reveló que las autoridades estadounidenses interceptaban y retenían información de compañías de medios sociales de manera rutinaria. Se presentó un caso en Irlanda, donde Facebook tiene su sede en la UE, y los casos relacionados se han llevado a cabo en los tribunales desde entonces.

La queja gira en torno a la validez de las transferencias de datos personales de la UE a los EE. UU. El Reglamento general de protección de datos, al igual que su predecesor, la Directiva de protección de datos de 1995, contiene una prohibición general de las transferencias de datos personales fuera de la UE. Sin embargo, esta prohibición se puede superar de varias maneras.

Los más populares son donde la transferencia es a un país que la Comisión Europea ha decidido que brinda protección adecuada a los datos personales (una llamada 'decisión de adecuación'), o donde el exportador de datos y el importador de datos acuerdan un contrato que contiene Cláusulas contractuales estándar aprobadas por la Comisión Europea. Ambos métodos estaban bajo escrutinio en este caso.

El caso original del Sr. Schrems llevó a una decisión en 2015 que el marco anterior de “Puerto seguro” para las transferencias de datos a los Estados Unidos no ofrecía una protección adecuada para las personas en Europa.

El último caso ha pasado a considerar la validez de las cláusulas contractuales estándar y el reemplazo de Safe Harbor, el Escudo de privacidad UE / EE. UU., Que en realidad es una decisión de adecuación parcial para ciertas empresas en los EE. UU. Schrems argumentó que ni el Escudo de privacidad UE / EE. UU. Ni las cláusulas contractuales estándar ofrecían protección adecuada a sus datos una vez que habían sido transferidos a los EE. UU., Debido a los amplios poderes de las autoridades estadounidenses sobre los datos personales de ciudadanos no estadounidenses.

En la parte más llamativa de la sentencia, el Tribunal dictaminó que el Escudo de privacidad UE / EE. UU. No ofrece garantías adecuadas para la protección de datos, debido a los amplios poderes del gobierno de los EE. UU. Para recopilar y revisar los datos personales que se encuentran en su jurisdicción. En consecuencia, el Tribunal anuló la decisión de adecuación con respecto al Escudo de Privacidad UE / EE. UU.

Las transferencias de datos en ese marco ya no serán válidas. Al igual que con una decisión similar en 2015 con respecto a Safe Harbor, la Comisión de la UE y las autoridades estadounidenses pueden intentar nuevamente encontrar un esquema de reemplazo, pero esto parece cada vez más difícil, particularmente a la luz de la agenda cada vez más proteccionista de la administración estadounidense existente.

Sin embargo, quizás lo más importante es que el Tribunal también dictaminó sobre el uso de cláusulas contractuales estándar, que pueden usarse para transferir datos a cualquier parte del mundo, no solo a los EE. UU. Para gran alivio de muchas empresas, el Tribunal confirmó el uso de cláusulas contractuales estándar como un medio para validar las transferencias fuera de la UE.

Pero al hacerlo, el Tribunal enfatizó que establecer cláusulas contractuales estándar por sí solas no es suficiente para garantizar una protección adecuada. En cambio, los exportadores de datos también deben considerar el contexto legal en el país receptor. Cuando las leyes del destinatario no brinden una protección adecuada, el uso de cláusulas contractuales estándar no es suficiente y el exportador de datos no debe transferir los datos.

Entonces, ¿qué significa todo esto para las empresas? De alguna manera, hemos estado aquí antes. Con respecto al Escudo de privacidad, la situación actual es casi idéntica a la de 2015, cuando la sentencia anterior anuló el marco de Safe Harbor. En ese momento, los reguladores europeos instaron a un enfoque cauteloso y enfatizaron que las empresas no deberían dejar de transferir datos de inmediato, lo que podría tener un impacto negativo en los individuos.

Pero eso estaba bajo el antiguo régimen, antes del Reglamento General de Protección de Datos y el fortalecimiento significativo de las reglas de protección de datos.

El regulador del Reino Unido, la Oficina del Comisionado de Información, nuevamente adoptó un enfoque cauteloso y declaró que, al menos por ahora, las empresas pueden continuar los arreglos de transferencia existentes utilizando Privacy Shield, pero no deben comenzar nuevas transferencias en el marco ahora difunto. Otros reguladores europeos han adoptado un enfoque más fuerte y las empresas recomendadas ahora cambian a un método alternativo de transferencia o dejan de exportar datos por completo.

Cualquier empresa que transfiera datos personales a los EE. UU. Utilizando el marco Privacy Shield sería prudente hacer un inventario de inmediato. Deben evaluar la situación para comprender la escala del problema y considerar qué pasos tomar para eliminar cualquier riesgo de protección de datos.

Esto puede implicar el uso de otro método para validar esas transferencias de datos o considerar si existen soluciones alternativas. Pero deben tener cuidado de no detener simplemente las transferencias de datos sobre la base de este juicio, sin tener en cuenta todas las posibles consecuencias más amplias.

También se debe revisar el uso de cláusulas contractuales estándar. Esta decisión significa que es probable que las transferencias de datos internacionales estén sujetas a un escrutinio mucho mayor y que potencialmente se vuelvan más difíciles. Y con el período de transición posterior al Brexit que finaliza el 31 de diciembre de 2020, las transferencias de datos entre la UE y el Reino Unido estarán sujetas a estas estrictas normas a partir del próximo año. Ahora realmente es el momento para que las empresas revisen todos sus flujos de datos internacionales.

Jon Belcher

Jon Belcher es abogado comercial de Blake Morgan, especializado en gobernanza de la información, cumplimiento de protección de datos, intercambio de información y temas de libertad de información.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí