SENTENCIA CASO SCHREMS: EL “SAFE HARBOR” Y LAS TRANSFERENCIAS INTERNACIONALES DE DATOS A EEUU

A tenor de las muchas informaciones publicadas al respecto de las transferencias internacionales de datos a EEUU, queremos hacerle algunas consideraciones:

  • Europa NO ha creado una prohibición para enviar datos hacia EEUU: ha declarado nula una decisión de la Comisión Europea que, básicamente, permitía la transferencia de datos personales desde Europa hacia EEUU sin necesidad de recurrir a autorizaciones especiales para llevarlas a cabo (adhiriéndose las empresas americanas al denominado “Safe Harbor”).
  • El resultado de la sentencia viene dado porque EEUU no protege adecuadamente los datos de ciudadanos europeos (como ha quedado demostrado cuando, autoridades como la NSA, acceden a estos datos sin que nadie pueda hacer nada al respecto). Y sí, es cierto que también las autoridades europeas lo hacen, pero en la mayoría de los casos se basan en órdenes judiciales para hacerlo.
  • ¿Es pues “legal” que empresas de EEUU sigan teniendo los datos de los europeos?. Es pronto para decirlo. Lo que es seguro es que harían bien en empezar a identificar -a nivel de las empresas que puedan tener subcontratadas y que tengan acceso a estos datos por el servicio que les prestan- los contratos que tienen suscritos con ellas, su vigencia y su posible revisión para adaptarlos al nuevo escenario.

Así pues, no había nada “ilegal” hasta la sentencia. Las idas y venidas de datos Europa-EEUU se iniciaron con el paraguas legal perfectamente válido; la nulidad del “Safe Harbor” es sobrevenida.

¿Qué convendría hacer si su empresa pertenece a Grupo Empresarial cuya matriz está en EEUU, o tiene proveedores encargados del tratamiento ubicados en EEUU?

  • Si en la actualidad está cediendo datos de sus empleados y/o clientes a la empresa matriz en EEUU, debería informar a aquéllos del cambio que se ha producido, solicitando su consentimiento para continuar tratando sus datos en EEUU.
  • Revisar los contratos con proveedores encargados del tratamiento ubicados en EEUU que tienen acceso a los datos de empleados y/o clientes, y adoptar unas “Cláusulas Tipo”, como las ya aprobadas por Europa para la transferencia de datos hacia países a los que la Comisión Europea no reconocía un nivel adecuado de protección. Y es que, desde ahora, Europa considera que EEUU es un país que no lo ofrece.
  • Solicitar información detallada a la matriz, o proveedores americanos, sobre sus sistemas y las medidas de seguridad que tiene implementadas, y probar que son sistemas son seguros, tener listos todos los procedimientos y políticas, y adoptar -en el Grupo de empresas- unas Normas Corporativas Vinculantes.

 Resumiendo: lo que se hacía hasta ahora tenía el amparo legal del “Safe Harbor”. Pero ahora la Unión Europea ha dictado sentencia, y las empresas en EEUU deberán adaptarse.

No obstante, la Unión Europea y  EEUU deben forjar un nuevo acuerdo de transferencia de datos transatlántico para ayudar a preservar los datos entre dos de los mayores socios comerciales del mundo.

La sentencia del Tribunal de Justicia de la Unión Europea crea nuevos riesgos legales para las empresas y dificulta crear un mercado único digital, ya que crea situaciones en las que el regulador en un país podría bloquear las transferencias de una empresa a los EEUU, mientras que el regulador en otro podría permitirlo.

La Comisión Europea ha dicho que está trabajando con las autoridades nacionales de protección de datos para asegurarse directrices claras para las empresas y para tratar de evitar un mosaico de contradecir las decisiones de los diferentes reguladores nacionales.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *