Blog

5 PASOS PARA TRANSFERIR DATOS A EEUU TRAS LA ANULACIÓN DEL ESCUDO DE PRIVACIDAD

“El Derecho estadounidense no garantiza a los ciudadanos de la Unión un nivel de protección sustancialmente equivalente al garantizado por el derecho fundamental de la protección de datos en el marco de las transferencias internacionales.” Así de rotundo se mostraba el Tribunal de Justicia de la Unión Europea en su reciente sentencia de 16 de Julio de 2020.

En dicha decisión, conocida popularmente, como “Sentencia Schrems II” se confirmó que las limitaciones a la protección de datos personales que se derivan de la normativa de los Estados Unidos, particularmente respecto al posible acceso y utilización por parte de las autoridades norteamericanas a los datos personales transferidos desde la Unión Europea, impedían considerar a Estados Unidos como una jurisdicción con un nivel de protección equivalente al de la Unión Europea. En consecuencia, debía declararse inválido el Escudo de Privacidad.

Es de sobra conocido, y así lo reconoce el Reglamento General de Protección de Datos, que los flujos transfronterizos de datos personales a, y desde, países no pertenecientes a la Unión son, en la actual economía digital, imprescindibles para la expansión del comercio y la cooperación internacional. Se realizan transferencias internacionales constantemente, por ejemplo, cuando se compran o solicitan bienes y servicios online, si se usan redes sociales, al contratar servicios de hosting o plataformas cloud, y así un largo etcétera.

Para facilitar dichas transferencias se formalizó en 2016 un marco, que se convirtió en clave, El Escudo de Privacidad, o “Privacy Shield”. Dicha herramienta fue diseñada con la finalidad esencial de proporcionar a instituciones y empresas, tanto europeas como estadounidenses, un mecanismo sencillo y ágil de cumplimiento con los requisitos de protección de datos.

Sin embargo, desde julio de este año este mecanismo ha dejado de ser efectivo. El motivo principal es que la normativa estadounidense permite a las autoridades de los Estados Unidos realizar programas de vigilancia para acceder a los datos personales transferidos desde la UE a los Estados Unidos con fines de seguridad nacional.

La sentencia recalca que es responsabilidad del exportador y del importador de datos evaluar si el nivel de protección exigido por la legislación de la UE se respeta en el tercer país, a fin de determinar si las garantías ofrecidas pueden cumplirse en la práctica.

 

 

Son miles las empresas españolas y europeas que siguen usando servidores y servicios proporcionados por empresas localizadas en EE.UU., con las consiguientes transferencias internacionales a dicho país. ¿Cómo les afecta esto?

La respuesta que dio el TJUE es que aquellas entidades que realicen transferencias de datos de carácter personal basadas en el Escudo de Privacidad deberán revisar sus flujos de datos y valorar la toma de medidas alternativas con el fin de garantizar la adecuación de estas y la privacidad de los datos de los interesados.

El RGPD reconoce otras vías que legitiman llevar a cabo transferencias internacionales, como pueden ser: las normas corporativas vinculantes, las cláusulas contractuales tipo, los códigos de conducta u otras vías previstas en el RGPD. Pero igualmente, estas soluciones han sido cuestionadas, pues la legislación estadounidense sigue siendo la que es.

A esperas de una respuesta coordinada o nuevo acuerdo marco que legitime las transferencias entre la UE y EEUU, el Comité Europeo de Protección de Datos (CEPD) publicó las “Recomendaciones 1/2020, sobre las medidas complementarias para asegurar el cumplimiento en materia de protección de datos al realizar una transferencia internacional.”

En base a estas recomendaciones, ¿Qué debe hacer en el caso de que siga transfiriendo datos personales a EEUU?

1)            Conozca todas sus transferencias internacionales de datos ej.: uso de MailChimp. Gmail, Dropbox, Office 365, Zoom, Facebook… Debe hacerse la siguiente pregunta, ¿dichas operaciones son, necesarias/relevantes/adecuadas con los fines perseguidos? Si no es así suspenda dichas operaciones o busque una alternativa en suelo europeo.

2)            Verifique las herramientas/marco en el que basa dichas transferencias. ¿Es una decisión de adecuación de la Comisión? ¿Es alguna de las garantías adecuadas (artículo 46 RGPD)? Podría recurrirse a solicitar el consentimiento expreso a cada interesado, pero sería necesario que se detallaran los riesgos que generan estas transferencias.

3)            Evalúe la protección otorgada por el tercer país y su posible afectación a los derechos de los interesados (legislación y prácticas).

4)            Identifique y adopte las medidas complementarias necesarias (pueden ser técnicas, como el cifrado o la seudonimización de los datos personales; contractuales, como imponer a la entidad ubicada en el país tercero la obligación de implementar medidas de protección adecuadas, u organizacionales, como elaborar políticas que definan los roles y responsabilidades específicas de cada parte).

5)            Evalúe de forma constante y periódica caso a caso y mejore o adapte continuamente las medidas implementadas.

No lo dude: si quiere seguir cumpliendo con la normativa y evitar pérdidas cuantiosas tanto por sanciones económicamente nada despreciables (hasta los 20 millones de euros o el 4% del volumen de facturación global del año anterior), como a nivel reputacional, acuda al asesoramiento de profesionales.

 

25 Aniversario PlayStation - Parte 1 -

Artículos relacionados

 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
¿Ya està registrado? Ingresa Aquí
Invitado
Sábado, 19 Junio 2021

Suscripción al Blog

Etiquetas utilizadas

LSSI franquicias protección de datos emplazamiento publicitario online UE Marca de la Unión Europea Grafeno privacidad tendencias Nuevas Tecnologías imagen derechos de autor descargables Raqueta internet Moreira redes sociales rendimiento registro de marca conferencia defensa zapatos secreto industrial educación riesgo de confusión elemento denominativo Pilsner tecnología RGPD compra Protección de Datos asesoramiento jurídico 306/2019 espionaje escudo EIPD ciberacoso recurso de casación convenio Felicidad Ciberseguridad desconexión digital reconocimiento Tenis biología derecho digital Sociedad de la Información blackfriday divulgación oposiciíon desiertos ecommerce Extremadura UD regar amazonas micropymes marketing Europa primera falsificación Unión Europea marca Riesgo ataques cibernautas naming en la red propiedad industrial Propiedad Industrial protección de marca comercio internacional ferias formación propiedad intelectual dominios identidad TIC publicidad encubierta phishing Big Data Deporte modelo de utilidad ataques Ley de Marcas marca de garantía prensa intellectual property córdoba CF cerveza consentimiento hacker British airways playstation series ciberataques delitos TIC nombres de dominio protección influencers marca colectiva mujer página web galardón secreto comercial reputación online contracultura marcas renombradas ley proteccion datos Ken Kutaragi curiosidades google news delitos informáticos Propiedad Intelectual ataques cibernéticos Valientes transfere faceapp el corte inglés DPD promociones marca comercial confidencialidad Brexit website normativa reflexión legislación teoría de la violación continuada vídeos Cybersecurity Derecho de la Comunicación Landaluz Andalucía Sabe michael jackson inteligencia artificial publicidad aede patentes publicidad engañosa piratería denominación invenciones OEPM Sevilla BYOD Ley de Cookies CD-Rom amenazas datos personales antigravedad brechas seguridad concursos nombre civil patente robo de información GDPR DPO campaña publicitaria Eslogan colegio san francisco de paula reputación Jornadas clase 25 sexting resoluciones OMPI signos distintivos marca personal fraude apuestas marcas Vigylia aldea global robótica evaluación de impacto información cibercrimen limitaciones neymar competencia AEPD EUIPO organizaciones diseño industrial Derecho Digital blackweek cosificación menores EEUU Propieda Industrial oloroso bases legales empresas Datos sanción juego de tronos remuneración equitativa Osborne eventos contencioso administrativo maraton zapatillas entrevistas oposiciones noticias España nike vaporfly invento newsletters

Fernández-Palacios Abogados

Oficina Sevilla

Plaza de la Magdalena, 9 - 4º

41001 SEVILLA

 

Tel: (+34) 954 214 888
Fax: (+34) 954 213 966

info@fernandezpalacios.com

 

Se ha recibido un incentivo de la Agencia de Innovación y Desarrollo de Andalucía IDEA, de la Junta de Andalucía, por un importe de 3.060€, cofinanciado en un 80% por la Unión Europea a través de FEDER para la realización del proyecto "TRANSFORMACIÓN DIGITAL DE LA ESTRATEGIA FERNÁNDEZ-PALACIOS" con el objetivo de garantizar un mejor uso de las tecnologías de la información

Oficina Madrid
Avda. Córdoba 15, 4ª Planta
28026 MADRID
 
Tel: (+34) 910 325 851
Fax: (+34) 915 765 663
info@fernandezpalacios.com

 

Suscripción al Blog

©2021 FERNÁNDEZ PALACIOS ABOGADOS. Todos los derechos reservados
Image
¿Hablamos?

 

POLITICA DE COOKIES: Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Ver política de cookies

ACEPTO

¡Solicite su descargable GRATIS!
Por favor, ingrese su nombre
Por favor, ingrese un email valido
Entrada no válida
Entrada no válida
¡Solicite su descargable GRATIS!
Por favor, ingrese su nombre
Por favor, ingrese un email valido
Entrada no válida
Entrada no válida
¡Solicite su descargable GRATIS!
Por favor, ingrese su nombre
Por favor, ingrese un email valido
Entrada no válida
Entrada no válida
Solicite su descargable GRATIS!
Por favor, ingrese su nombre
Por favor, ingrese un email valido
Entrada no válida
Entrada no válida