El TUJE invalida el acuerdo Privacy Shield para la transferencia de datos a EEUU.
La Gran sala de Tribunal de Justicia de la Unión Europea, -en adelante TJUE- publicó el pasado 17 de julio, la sentencia sobre el asunto C-311/18 Data Protection Commissioner /Maximillian Schrems vs Facebook Ireland, ahora mismo más conocida como Schrems II” a través de la cuál analizó la conformidad del acuerdo respecto del Reglamento General de Protección de Datos y los mecanismos puestos por este para la realización de transferencias internacionales de datos a las empresas adheridas al Privacy Shield.
Estamos ante un acuerdo entre la UE y EEUU cuya finalidad era permitir la transferencia internacional de datos declarando a EEUU, a aquellas empresas que “cumpliendo” los requisitos estipulados en el mismo pudieran declarar contar con un nivel adecuado de protección de datos de los interesados. Lo podemos apodar acuerdo de “Schodinguer”, ya que ahora lo ves como Safe Harbour o puerto seguro, ahora no lo ves, porque en octubre de 2015 el propio TJUE declara la nulidad de la Decisión 2000/520 por el que se aprobaba el mismo; ahora lo ves de nuevo en 2016 pero como Privacy Shield, ahora no lo ves, porque lo volvemos a anular.
¿Qué ha pasado para que lo invaliden? Pues lo mismo que la vez pasada pero diferente. La anulación del Safe Harbour fue resultado de que conociéramos el PRIMS de la NSA, y con ello se comprobó cómo EEUU accedía vía imperativo legal a datos de europeos, sin que tuviera legitimación para ello conforme a nuestra normativa.
Privacy Shield se supone que albergaba más garantías que el acuerdo anterior, pero ya en las revisiones anuales que tuvo desde su publicación en el 2016, se evidenciaban las grietas. EEUU sigue imponiendo la obligación de acceso a datos cuando los pidan sus autoridades, y lejos de intentar mediar ha incidido en que no dejará de hacerlo, así que el TJUE considera que Privacy Shield no ofrece las garantías suficientes para que las empresas adheridas cumplan plenamente con el RGPD, y de paso aclara que ese acceso a datos por parte de las autoridades estadounidenses está dentro del marco del RGPD y salvo que se apliquen sus principios, es ilegítimo tal como se ha estado haciendo o exige que se haga.
Una vez invalidado todas las empresas tanto de aquí como del otro lado del charco, que realizan transferencias internacionales de datos, o que prestan servicios de computación en la nube, pueden decir “¡Houston tenemos problemas!” ya que como indicó la Gran Sala en su sentencia, dichas transferencias deberían ser paralizadas. Pero tranquilos, existen otras herramientas que podrían ser una solución, algunas de ellas temporales y con el tiempo agotándose, como son las contractuales entre las organizaciones que hacen parte de la transferencia (todavía bajo el halo de la anterior regulación europea de protección de datos y prontas a ser revisadas), la creación de normas corporativas vinculantes, la adhesión a códigos tipo aprobados por la UE, o las certificaciones en privacidad que cada vez van cogiendo más carrerilla. Opciones hay, otra cosa es que tan alcanzables son. Os recomendamos hablar con vuestros equipos técnicos y de privacidad para saber dónde están vuestros datos, y en caso que hayan transferencias de datos, bajo qué se amparan para realizarlas.
¿Tendremos un tercer acuerdo? Estoy casi segura. Esperemos que esta vez dure un poco más, gracias a que se tengan en cuenta todas las garantías, y que el partner del otro lado del Atlantico se comprometa a cumplirlas.
Jeimy Poveda
Team Leader Grupo de Trabajo ITSM4Privacidad del Comité de Estándares de itSMF España