La Unión Europea y Estados Unidos firmaron el acuerdo conocido como Privacy Shield (‘Escudo de Privacidad’) para garantizar que las empresas americanas adheridas al mismo, cerca de 5.400, aplicaban los mismos estándares de protección de datos que las empresas europeas regidas por el RGPD. Hace pocos días, el Tribunal de Justicia de la Unión Europea (TJUE) invalidó este acuerdo que permitía, entre otras cosas, las transferencias internacionales de datos.
La razón, explica Lidia Castillejo, responsable de Desarrollo de Negocio de la plataforma de email marketing Acrelia, se basa en que el Reglamento de Protección de Datos (RGPD/ GDPR) aplica restricciones a las empresas que quieren transferir información personal fuera de Europa, incluyendo la recopilada en formularios de contacto o para el envío de newsletters. “El RGPD dispone que esta transferencia solo puede realizarse si el país de destino garantiza un nivel de protección de datos acorde a los principios y obligaciones del RGPD. Así pues, la decisión de anular el Privacy Shield obliga a las empresas europeas a revisar todos los proveedores cuyo servicio implica transferencia internacional de datos, como por ejemplo Whatsapp, Trello, Mailchimp, Slack, Dropbox y muchos más servicios y aplicaciones cuyos datos se alojan en servidores de EEUU. “No afecta a aquellos que utilizan servidores europeos o españoles, como hacemos en Acrelia”.
Índice de temas
¿Por qué el TJUE ha invalidado Privacy Shield?
El activista y abogado Max Schrems, usuario de Facebook desde 2008, interpuso una demanda contra esta red social en Irlanda, alegando que no garantizaba un nivel de protección de datos suficiente. Los datos personales de los usuarios de Facebook en Europa son transferidos, total o parcialmente por la filial irlandesa a servidores pertenecientes a Facebook Inc., situados en el territorio de Estados Unidos, donde son objeto de tratamiento.
Según el comunicado del Tribunal de Justicia, “las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización, por las autoridades estadounidenses, de los datos transferidos desde la Unión a ese país tercero, y que la Comisión evaluó en la Decisión Escudo de la privacidad, no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas, en el Derecho de la Unión, por el principio de proporcionalidad, en la medida en que los programas de vigilancia basados en la mencionada normativa no se limitan a lo estrictamente necesario”.
Es decir, las empresas americanas deben cumplir las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense, lo que significa que pueden verse obligadas a entregar datos personales de los usuarios a las agencias gubernamentales, de inteligencia y seguridad, lo que vulnera la RGPD y la Carta de Derechos Fundamentales de la UE. Por esta razón, el tribunal de justicia europeo ha decidido invalidar el “Escudo de Privacidad” y, por tanto, todas las transferencias de datos basadas en él.
¿Qué pasará a partir de ahora?
Privacy Shield no es el primer acuerdo entre Estados Unidos y Europa sobre privacidad. De hecho, el ‘Escudo de Privacidad’ sustituyó a Safe Harbour, que permitía a las empresas almacenar datos de usuarios europeos en EEUU.
Al ser declarado invalido, las más de 5.300 empresas americanas que están adheridas al programa, no podrán transferir datos personales europeos a servidores del país norteamericano. “Habrá que ver cómo responde Estados Unidos y si adapta su legislación, o si llega a un acuerdo de algún tipo con la Comisión Europea”, añade Lidia Castillejo.
¿Qué debo hacer si trabajo con proveedores de EEUU?
A lo largo de estos días, muchas empresas europeas se están preguntado cómo les afecta esta decisión judicial. Tras la anulación del escudo de privacidad, tienen la obligación de cumplir con las exigencias del RGPD, y trabajar solo con quienes acrediten que cumplen con la normativa de protección de datos, incluyendo proveedores de hosting y de servicios de correo electrónico.
La responsable de Acrelia advierte que ahora “es imperativo revisar todas las transferencias de datos con Estados Unidos y el mecanismo de garantía utilizado. En caso de ser Privacy Shield, conviene buscar otro que lo sustituya o, si no es posible, dejar de transferir datos personales”.
No hacerlo, podría implicar graves sanciones, por lo que es muy recomendable contar con el asesoramiento adecuado y trabajar con una empresa especializada en privacidad, derecho digital y nuevas tecnologías para solventar dudas. “Nosotros, por ejemplo, trabajamos con servidores alojados en Europa, por lo que cumplimos con el RGPD y la anulación del Privacy Shield no afecta a los envíos de nuestros clientes”.