Efectos de la sentencia del caso C-311/18 de Facebook Irlanda y Schrems: declaración del Escudo de Privacidad nulo
29/07/2020Efectos de la sentencia del caso C-311/18 de Facebook Irlanda y Schrems [1]: Declaración del Escudo de Privacidad nulo.
El Tribunal de Justicia de la Unión Europea (TJUE) ha declarado inválido el Escudo de Privacidad o Privacy Shield [2]. El TJUE, una vez examinó la validez de la Decisión de Protección de la Privacidad (Decisión 2016/1250 sobre la protección proporcionada por el Escudo de Privacidad de la Unión Europea y los Estados Unidos de América), consideró que los requisitos de la legislación interna de los Estados Unidos y, en particular, ciertos programas que permiten el acceso de las autoridades públicas de los Estados Unidos a los datos personales transferidos desde la Unión Europea a los Estados Unidos para fines de seguridad nacional, dan lugar a limitaciones en la protección de datos personales que no se circunscriben de manera satisfactoria con los requisitos que son esencialmente equivalentes a los exigidos por el Reglamento General de protección de datos (GDPR).
Esta sentencia marca un antes y un después entre las relaciones de los Estados Unidos y la Unión Europea en materia de privacidad, ya que los efectos de la desaparición de la Privacy Shield supone que cualquier transferencia internacional de datos basada en este marco legal es ilegal.
Por este motivo, las empresas que realizan transferencias de datos personales a alguna empresa situada, directa o indirectamente, en Estados Unidos, quedan directamente afectadas.
Ante esta situación, desde Complia, en espera del pronunciamiento de autoridades de control más precisas [3], hemos preparado un breve comunicado para fijar los primeros pasos a llevar a cabo:
El Tribunal de Justicia de la Unión Europea (TJUE) ha declarado inválido el Escudo de Privacidad o Privacy Shield [2]. El TJUE, una vez examinó la validez de la Decisión de Protección de la Privacidad (Decisión 2016/1250 sobre la protección proporcionada por el Escudo de Privacidad de la Unión Europea y los Estados Unidos de América), consideró que los requisitos de la legislación interna de los Estados Unidos y, en particular, ciertos programas que permiten el acceso de las autoridades públicas de los Estados Unidos a los datos personales transferidos desde la Unión Europea a los Estados Unidos para fines de seguridad nacional, dan lugar a limitaciones en la protección de datos personales que no se circunscriben de manera satisfactoria con los requisitos que son esencialmente equivalentes a los exigidos por el Reglamento General de protección de datos (GDPR).
Esta sentencia marca un antes y un después entre las relaciones de los Estados Unidos y la Unión Europea en materia de privacidad, ya que los efectos de la desaparición de la Privacy Shield supone que cualquier transferencia internacional de datos basada en este marco legal es ilegal.
Por este motivo, las empresas que realizan transferencias de datos personales a alguna empresa situada, directa o indirectamente, en Estados Unidos, quedan directamente afectadas.
Ante esta situación, desde Complia, en espera del pronunciamiento de autoridades de control más precisas [3], hemos preparado un breve comunicado para fijar los primeros pasos a llevar a cabo:
- Identificar, en el Registro de Actividades de Tratamiento (RAT), los datos personales que se ven afectados por transferencias internacionales de datos dentro de la organización.
- Hacer / actualizar el inventario de los Encargados de Tratamiento donde puede haber transferencias internacionales de datos.
- Contactar con los proveedores afectados para pedir información sobre qué medidas, de acuerdo con la Ley, están preparando para continuar con la prestación del servicio. Si es posible, hacer conjuntamente un Plan de Acción.
- Hacer el análisis de riesgos correspondiente a los datos que se tratan dentro de la organización. No es lo mismo un correo electrónico para una newsletter que tratar datos de salud, por ejemplo.
- Revisar las políticas de privacidad de los tratamientos y actualizar aquellas que queden afectadas.
- Valorar la situación una vez se disponga de toda la información, a fin de ver cuál será la opción más adecuada para la organización.
- Documentar, mediante la formalización de actas de reuniones, todas las acciones que realiza la organización para acreditar la voluntad de cumplimiento en caso de inspección de la autoridad de control.
[1] http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageInd
[2] https://www.privacyshield.gov/welcome
[3] La Agencia Española de Protección de Datos se ha limitado a emitir un pequeño comunicado sin indicaciones que den una idea clara de cómo se dará respuesta a este cambio: https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/transferencias-internacionales/comunicado-privacy-shield
[2] https://www.privacyshield.gov/welcome
[3] La Agencia Española de Protección de Datos se ha limitado a emitir un pequeño comunicado sin indicaciones que den una idea clara de cómo se dará respuesta a este cambio: https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/transferencias-internacionales/comunicado-privacy-shield