Efectes de la sentència del cas C-311/18 de Facebook Irlanda i Schrems: declaració de l’Escut de Privadesa nul
29/07/2020Efectes de la sentència del cas C-311/18 de Facebook Irlanda i Schrems[1]: declaració de l’Escut de Privadesa nul.
El Tribunal de Justícia de la Unió Europea (TJUE) ha declarat invàlid l'Escut de Privacitat o Privacy Shield[2]. El TJUE, un cop va examinar la validesa de la Decisió de Protecció de la Privacitat (Decisió 2016/1250 sobre la protecció proporcionada per l'Escut de Privacitat de la Unió Europea i els Estats Units d'Amèrica), va considerar que els requisits de la legislació interna dels Estats Units i, en particular, uns certs programes que permeten l'accés de les autoritats públiques dels Estats Units a les dades personals transferides des de la Unió Europea als Estats Units per a fins de seguretat nacional, donen lloc a limitacions en la protecció de dades personals que no es circumscriuen de manera satisfactòria amb els requisits que són essencialment equivalents als exigits pel Reglament General de Protecció de Dades (GDPR).
Aquesta sentència marca un abans i un després entre les relacions del Estats Units i la Unió Europea en matèria de privacitat, ja que els efectes de la desaparició de la Privacy Shield suposa que qualsevol transferència internacional de dades basada en aquest marc legal és il·legal.
Per aquest motiu, les empreses que realitzen transferències de dades personals a alguna empresa situada, directa o indirectament, als Estats Units, queden directament afectades.
Davant d’aquesta situació, des de Complia, tot esperant el pronunciament d’autoritats de control més precises[3], hem preparat un breu comunicat per fixar els primers passos a dur a terme:
El Tribunal de Justícia de la Unió Europea (TJUE) ha declarat invàlid l'Escut de Privacitat o Privacy Shield[2]. El TJUE, un cop va examinar la validesa de la Decisió de Protecció de la Privacitat (Decisió 2016/1250 sobre la protecció proporcionada per l'Escut de Privacitat de la Unió Europea i els Estats Units d'Amèrica), va considerar que els requisits de la legislació interna dels Estats Units i, en particular, uns certs programes que permeten l'accés de les autoritats públiques dels Estats Units a les dades personals transferides des de la Unió Europea als Estats Units per a fins de seguretat nacional, donen lloc a limitacions en la protecció de dades personals que no es circumscriuen de manera satisfactòria amb els requisits que són essencialment equivalents als exigits pel Reglament General de Protecció de Dades (GDPR).
Aquesta sentència marca un abans i un després entre les relacions del Estats Units i la Unió Europea en matèria de privacitat, ja que els efectes de la desaparició de la Privacy Shield suposa que qualsevol transferència internacional de dades basada en aquest marc legal és il·legal.
Per aquest motiu, les empreses que realitzen transferències de dades personals a alguna empresa situada, directa o indirectament, als Estats Units, queden directament afectades.
Davant d’aquesta situació, des de Complia, tot esperant el pronunciament d’autoritats de control més precises[3], hem preparat un breu comunicat per fixar els primers passos a dur a terme:
- Identificar, al Registre d’Activitats de Tractament (RAT), les dades personals que es veuen afectades per transferències internacionals de dades dins de l’organització.
- Fer/actualitzar l’inventari dels Encarregats de Tractament on hi poden haver transferències internacionals de dades.
- Contactar amb els proveïdors afectats per demanar informació sobre quines mesures, d’acord amb la Llei, estan preparant per continuar amb la prestació del servei. Si és possible, fer conjuntament un pla d’acció.
- Fer l’anàlisi de riscos corresponent a les dades que es tracten dins de l’organització. No és el mateix un correu electrònic per una newsletter que tractar dades de salut, per exemple.
- Revisar les polítiques de privacitat dels tractaments i actualitzar aquelles que quedin afectades.
- Valorar la situació un cop es disposi de tota la informació, per tal de veure quina serà la opció més adient per l’organització.
- Documentar, mitjançant la formalització d’actes de reunions, totes les accions que realitza l’organització per tal d’acreditar la voluntat de compliment en cas d’inspecció de l’autoritat de control.
[1] http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageInd
[2] https://www.privacyshield.gov/welcome
[3] L’Agencia Espanyola de Protecció de Dades s’ha limitat a emetre un petit comunicat sense indicacions que donin una idea clara de com es donarà resposta a aquest canvi: https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/transferencias-internacionales/comunicado-privacy-shield
[2] https://www.privacyshield.gov/welcome
[3] L’Agencia Espanyola de Protecció de Dades s’ha limitat a emetre un petit comunicat sense indicacions que donin una idea clara de com es donarà resposta a aquest canvi: https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/transferencias-internacionales/comunicado-privacy-shield