¿QUÉ HACEMOS CON LAS TRANSFERENCIAS DE DATOS A EE.UU.?

Desde mediados de julio de 2020, la mayoría de transferencias internacionales de datos personales a EE.UU. se encuentran en una situación irregular. Consideramos que es importante aclarar la situación actual y plantear soluciones; puesto que es habitual trabajar con empresas o estar integrados en grupos empresariales y / o contar con proveedores ubicados en EE.UU., en particular proveedores informáticos y de software o cloud computing como Microsoft, Google, ZOOM, Mailchimp, Zoho, Dropbox, Whastapp, Amazon Web Services, etc.

La situación en la que nos hallamos tiene su origen en la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) al caso C-311/18 (Caso Schrems II). Esta sentencia incide sobre el nivel de protección de los datos proporcionado por EE.UU en lo relativo a garantías adecuadas, derechos exigibles y acciones legales efectivas, así como sobre las Standard Contractual Clauses (SCC – cláusulas contractuales tipo). En definitiva, la sentencia invalida el acuerdo Escudo de Privacidad entre la U.E. y EE.UU.(Privacy Shield) que habilitaba gran parte de las transferencias internacionales a EE.UU.

En cualquier caso, existen varias opciones para regularizar las transferencias internacionales de datos a EE.UU.:

  • SCC, con las debidas medidas adicionales que garanticen el nivel de protección equiparable al del RGPD e interpretado conforme a la Carta de los Derechos Fundamentales de la U.E., son la mejor garantía de la que disponemos en estos momentos, aunque, por sí solas, pueden no resultar suficientes en el caso de EE.UU.
  • Consentimiento del interesado, aunque si el volumen de afectados es alto, puede resultar una opción compleja y poco práctica.
  • Normas corporativas vinculantes, códigos de conducta o mecanismos de certificación.
  • Solicitud de autorización a la Agencia Española de Protección de Datos.

De acuerdo con la estrategia del Supervisor Europeo de Protección de Datos para las Instituciones y Organismos de la Unión Europea, se recomienda a todas las entidades llevar a cabo una Evaluación de Impacto de transferencias internacionales (TIA, Transfer Impact Assesment) para valorar la necesidad de las transferencias a EE.UU., contemplar la posibilidad de cambiar de proveedores; o en su caso la necesidad de notificación a la Agencia Española de Protección de Datos para su autorización, suspensión o prohibición.

Por tanto, si cualquier entidad, empresa o institución realiza transferencias de datos personales a EE.UU., debería regularizar la situación de estas a través de la realización de una Evaluación de Impacto de transferencias internacionales (TIA).

No dude en contactarnos si utiliza servicios de cualquier proveedor estadounidense o forma parte de un grupo empresarial que transfiera datos personales a EE.UU.; de forma que podamos asesorarle y proponerle la mejor solución para su adecuación legal.