Transferencias Internacionales de datos tras el Schrems II: ¿Qué ha cambiado?
La decisión del Tribunal de Justicia de la Unión Europea (TJUE) en el caso Schrems II en julio de 2020 ha reformulado significativamente el panorama de las transferencias internacionales de datos personales.
Esta sentencia invalidó el Escudo de Privacidad UE-EE.UU. como mecanismo válido para la transferencia de datos personales de la UE a EE.UU., poniendo en tela de juicio la suficiencia de las protecciones ofrecidas bajo otros mecanismos de transferencia. Este artículo explora las implicaciones de esta decisión para las entidades legales en España y ofrece una visión sobre cómo deben adaptarse.
Contexto de la Decisión Schrems II
El caso Schrems II surge de una queja de Max Schrems, un activista austríaco de protección de datos, quien argumentó que su privacidad estaba en riesgo con las transferencias de datos de Facebook desde la UE a los EE.UU., dadas las leyes de vigilancia estadounidenses. El TJUE concluyó que el Escudo de Privacidad UE-EE.UU. no proporcionaba el nivel de protección exigido por el derecho de la UE, principalmente porque las leyes de vigilancia de EE.UU. limitan el acceso a los derechos de los ciudadanos de la UE.
Impacto Legal en las Transferencias de Datos
Invalidación del Escudo de Privacidad: La inmediata consecuencia de Schrems II es la invalidación del Escudo de Privacidad, lo que afecta a aproximadamente 5,000 empresas que dependían de este marco para las transferencias de datos transatlánticas.
Evaluación de las Cláusulas Contractuales Estándar (CCE): El TJUE no invalidó el uso de las CCE, pero enfatizó que las empresas deben realizar una evaluación caso por caso para asegurarse de que los países destinatarios proporcionan una protección de datos equivalente a la de la UE. Si no es así, deben implementarse medidas adicionales para proteger los datos.
Nuevas Obligaciones para las Entidades en España
Evaluaciones de Impacto de Transferencia: Las empresas en España ahora deben realizar Evaluaciones de Impacto de Transferencia de Datos antes de cualquier transferencia internacional utilizando CCE. Estas evaluaciones deben documentar que el país receptor ofrece garantías adecuadas y que se pueden respetar los derechos de los sujetos de datos de la UE.
Implementación de Medidas Adicionales: Si las evaluaciones revelan insuficiencias en la protección en el país receptor, las empresas deben considerar medidas adicionales, como cifrados fuertes o pseudonimización de datos antes de la transferencia.
Revisión y Actualización de Contratos: Es esencial revisar y, si es necesario, actualizar los contratos que incluyen CCE para asegurar que reflejen las obligaciones adicionales impuestas por el TJUE.
Desafíos y Consideraciones Prácticas
Incertidumbre Regulatoria: Una de las principales dificultades post-Schrems II es la incertidumbre sobre qué constituye medidas suficientes para asegurar la protección de datos en terceros países. Las directrices definitivas de las autoridades europeas son críticas para clarificar estos requisitos.
Riesgo de Litigios y Sanciones: Las empresas que no cumplen con las exigencias de Schrems II corren un mayor riesgo de enfrentar litigios y sanciones por parte de las autoridades de protección de datos.
En resumen
La decisión Schrems II exige un cambio significativo en cómo las entidades en España y toda la UE abordan las transferencias de datos internacionales. Las empresas deben estar proactivamente comprometidas con la conformidad legal y preparadas para adaptarse a las orientaciones que emanan de las autoridades reguladoras. El cumplimiento no solo protege contra riesgos legales y financieros sino que también preserva la confianza de los clientes y socios comerciales.
