Noticias

Comienza el contenido principal

Guía legal para que las empresas transfieran datos a EE UU de forma segura

| Noticias | Privacy, IT & Digital Business

Isabel Martinez Moriel y María Zarzalejos presentan una guía legal en Cinco Días para que las empresas transfieran datos a EE UU de forma segura tras la sentencia del Tribunal de Justicia de la Unión Europea que invalidaba el Privacy Shield, acuerdo entre Estados Unidos y la UE para regular las transferencias de datos entre ambos territorios

En julio de este año, el Tribunal de Justicia de la Unión Europea (TJUE) dictó una sentencia en la que invalidaba el Privacy Shield (en español, escudo de privacidad), el acuerdo entre Estados Unidos y la UE para regular las transferencias de datos entre ambos territorios. Los magistrados comunitarios consideraron que el sistema no cumplía con las garantías que exige el Reglamento General de Protección de Datos (RGPD). 

El fallo dibujó un escenario complicado para muchas empresas españolas. “Al principio hubo mucha preocupación ya que un gran número de compañías tienen sus servidores en entidades estadounidenses”, recuerda María Zarzalejos, asociada en el área de privacidad de Andersen. No es para menos: las infracciones en materia de protección de datos conllevan multas de hasta 20 millones de euros o el 4% de la facturación global de la compañía en los casos más graves.

¿Qué deben hacer las organizaciones para poder convertir en legítimas las transferencias de datos? “Para empezar, deben ponerse en contacto con los servidores para anular el traslado de información a Estados Unidos”, aconseja. En este sentido, poco después de publicarse la sentencia, gigantes tecnológicos como Amazon, Google o Apple anunciaron que iban a trasladar la información que viene de compañías europeas a sus servidores ubicados en el continente.

Cláusulas tipo

Otra vía legal son las cláusulas contractuales tipo, o las SCC por sus siglas en inglés (standard contractual  clauses). Este instrumento legal permite realizar transferencias internacionales con garantías, suscribiendo un contrato entre el exportador e importador de los datos por el que el último se compromete a tratar la información respetando la normativa europea.

En su sentencia, el tribunal europeo confirmó la validez de estas cláusulas, si bien matizó que el responsable debe hacer una evaluación previa del contenido de las SCC para garantizar que se mantiene un nivel de protección equivalente al fijado en el RGPD.

 En este sentido, el Comité Europeo de Protección de Datos (CEPD) ha emitido varios documentos en los que  concreta que el análisis debe abarcar desde las circunstancias específicas de la transferencia hasta el régimen jurídico aplicable en el país importador. 

Es decir, que las entidades deben valorar si la legislación o la práctica del país receptor de la información podría suponer un obstáculo para el cumplimiento de las obligaciones en materia de privacidad. De ser así, el organismo europeo aconseja adoptar medidas de salvaguarda adicionales.

Actitud proactiva

Por su parte, Isabel Martínez, directora del área de privacidad de Andersen, destaca que las empresas deben cumplir con “el principio de accountability” (o responsabilidad). Es decir, que deben mostrar una actitud proactiva e implementar las medidas adicionales que crean convenientes para cumplir con el reglamento europeo. Asimismo, deberán monitorizar las decisiones adoptadas “para asegurarse de que las transferencias internacionales de datos se están llevando a cabo correctamente”, asevera la jurista.

Si bien los organismos europeos han arrojado un poco de luz con sus recomendaciones, lo cierto es que las empresas no lo tienen nada fácil. Al fin y al cabo, la revisión de las SCC es un trabajo muy exhaustivo que requiere un esfuerzo extra por parte de las entidades. 

En este sentido, Zarzalejos es optimista y descarta que las autoridades en protección de datos vayan a sancionar a las empresas que sigan transfiriendo datos con EE UU, “siempre que muestren una actitud proactiva y hayan realizado el análisis de las cláusulas contractuales tipo”.

En todo caso, la abogada recomienda evitar suscribir nuevos contratos o ejecutar operaciones que supongan la trasferencia datos personales a Estados Unidos, optando en su lugar por plataformas radicadas en países europeos “donde también sea de aplicación el RGPD”.

Puede leer el artículo comleto en Cinco Días.

Fin del contenido principal