People Intouch siempre ha advertido a las organizaciones de que tratar datos empresariales sensibles en los EE. UU. hace que estos datos se encuentren al alcance de autoridades estadounidenses intrusivas (p. ej., el Departamento de Justicia, la Agencia de Seguridad Nacional y el Departamento de Seguridad Nacional). Este mes, la sentencia del Tribunal de Justicia de la Unión Europea en Schrems II confirma nuestras preocupaciones sobre este asunto y enfatiza la importancia de considerar dónde desea tratar los datos sensibles de su empresa en lo que respecta a las conductas indebidas.
El 16 de julio, el Tribunal de Justicia de la Unión Europea invalidó el marco del escudo de la privacidad UE-EE. UU. en su sentencia en Schrems II. El escudo de la privacidad representaba los fundamentos jurídicos sobre los que más de 5000 empresas se basaban para transferir datos personales de Europa a los EE. UU. de forma conforme a las normativas. Asimismo, la invalidación también tendrá un impacto considerable para empresas que no dependían del escudo de la privacidad para cumplir con el tratamiento de datos personales, dado que la sentencia recalca las dificultades que pueden derivar de transferir datos a los EE. UU. y protegerlos debidamente.
El RGPD crea un espacio europeo en igualdad de condiciones para la protección de datos personales dentro de la Unión Europea. La transferencia de datos personales fuera de la UE debería estar sujeta a un nivel (elevado) de protección equivalente. Con el fin de adaptar la transferencia transfronteriza de datos fuera de la UE, la Comisión Europea facilita decisiones de constataciones de protección para países específicos. Una decisión de constatación de la protección se compone de un acto de implementación y un proceso de examinación, que incluye criterios como los principios de legalidad, el acceso a la justicia y los estándares de derechos humanos internacionales. Una decisión de constatación de la protección para un país específico protege la transferencia internacional de datos a dicho país. Además de las decisiones de constatación de la protección, las transferencias de datos también se pueden realizar de conformidad con el RGPD, p. ej., celebrando cláusulas contractuales tipo (adoptadas por la Comisión Europea, pero que actualmente también se están cuestionando) o normas corporativas vinculantes.
El escudo de la privacidad no fue el primer contrato diseñado por la Comisión Europea para ofrecer una protección equivalente para la transferencia de datos personales a los EE. UU. El predecesor fue el marco de seguridad «Safe Harbor» que fue aprobado hace 20 años. El Tribunal de Justicia de la Unión Europea invalidó el marco Safe Harbor en Schrems I en 2015, porque no había una protección suficiente de los derechos fundamentales equivalente a la de la Unión Europea. Los EE. UU. antepusieron la seguridad nacional, los intereses públicos y la aplicación de la legislación sobre los principios del marco Safe Harbor en relación con la protección de datos personales.
La Comisión Europea aprobó formalmente el escudo de la privacidad UE-EE. UU. en 2016, como un sucesor mejorado del marco Safe Harbor. El escudo de la privacidad proporcionaba un programa de certificación voluntario al que las empresas podían inscribirse. Las empresas que solicitaban el programa de certificación tenían que estar cualificadas y comprometerse con los principios del escudo de la privacidad. Estos principios incluían, por ejemplo, responsabilizarse por transferencias posteriores, la integridad, el acceso y la responsabilidad de los datos. Sin embargo, el 16 de julio, el Tribunal de Justicia de la Unión Europea sentenció que el escudo de la privacidad tampoco ofrecía la protección suficiente. En concreto, el escudo de la privacidad no ofrece las garantías suficientes para conservar la seguridad de los datos personales transferidos desde los programas de vigilancia de los EE. UU. Además, el escudo de la privacidad no concede a las personas europeas a las que se refieren los datos los derechos ejecutables suficientes y recursos jurídicos efectivos en los EE. UU.
El Tribunal de Justicia de la Unión Europea de nuevo señala las dificultades que se derivan de transferir datos empresariales sensibles a los EE. UU. Dado que el escudo de la privacidad ya no forma un fundamento jurídico válido para la transferencia internacional de datos, las organizaciones que dependían de este tendrán que implementar nuevas disposiciones para seguir cumplimiento con los estándares europeos de protección de datos. Se deberá realizar un análisis de cada caso en particular para proteger los datos y seguir transfiriendo datos fuera de Europa.
Puede encontrar más información sobre la sentencia del Tribunal de Justicia de la Unión Europea en Schrems II aquí.