Bueno, el título tampoco es del todo exacto. En realidad, EEUU nunca fue un país considerado como seguro para el tratamiento de datos personales. Sin embargo, debido a la importancia de sus empresas tecnológicas (hay cientos de ejemplos, no solo Google o Facebook), los gobernantes de EEUU y de la UE, se pusieron de acuerdo para establecer lo que primeramente fue el Safe Harbour, que después dejó paso al Privacy Shield.

Estos esquemas eran acuerdos entre EEUU y las autoridades de protección de datos europeas. Todas las empresas estadounidenses que se adherían a estos protocolos, en teoría, cumplían con los requisitos legales europeos en materia de protección de datos y, por tanto, el tratamiento de datos personales no se trataba como una transferencia internacional a un país no seguro, sino como a un país seguro.

Esto permitía contratar a estas empresas (hosting, CRM, email marketing…) con la seguridad jurídica suficiente como para no preocuparse por el RGPD y la LOPDyGDD, más allá de los requisitos mínimos establecidos (como el deber de informar).

Y sí, estamos hablando en pasado. El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea (TJUE) ha hecho pública la sentencia C-311/18, en la que anula la Decisión 2016/1250 de la Comisión, que declaraba el nivel adecuado de protección del Privacy Shield para las transferencias internacionales de datos a EEUU que, como indicábamos al inicio de esta entrada, sustituía a su vez al Safe Harbour (que también fue declarado inválido por el TJUE en octubre de 2015).

La sentencia vuelve a marcar un nuevo punto de inflexión sobre la forma en la que se realizan las transferencias internacionales de datos a EEUU. Para tratar de entender mejor las implicaciones de la sentencia, El Comité Europeo de Protección de Datos (CEPD) ha publicado un documento de “preguntas frecuentes”, que puedes descargar aquí. Este documento, que es preliminar (ya que el CEPD continúa examinando y evaluando la sentencia del TJUE) tiene por objeto dar respuesta a algunas preguntas frecuentes recibidas por las autoridades de supervisión (Agencias de Protección de Datos). Podemos extraer las siguientes conclusiones iniciales:

  • El Tribunal ha considerado que los requisitos legales de EEUU (en particular algunos programas de vigilancia que permiten el acceso de sus autoridades públicas a los datos personales transferidos desde la UE, con fines de seguridad nacional), dan lugar a limitaciones a la protección de los datos personales, que no satisfacen requisitos equivalentes a los exigidos por la legislación de la UE.
  • No hay ningún período transitorio. La sentencia es de obligado cumplimiento desde el mismo momento de su publicación (16/07/2020).
  • En esencia, las transferencias de datos basadas en el Privacy Shield pasan a ser ilegales, salvo que medie el consentimiento explícito, específico (es decir, obtenido individualmente del resto de consentimientos) e informado del usuario. También podrán ser válidas las cláusulas contractuales estándar (“CCE”) y las normas corporativas vinculantes (“NCV”), como veremos a continuación.

Así pues, con la situación actual, podemos transferir datos personales a Estados Unidos, pero es necesario que nos readaptemos y comencemos a emplear los medios de los que disponemos para continuar garantizando que estas transferencias se realizan de manera segura. Para ello, existen varias opciones:

  • Cambiar de empresa/s de servicios

Esta es la opción más sencilla a nivel teórico pero, a su vez, puede ser la más compleja a nivel práctico: cambiar de empresa de servicios a una que esté radicada en la UE, o a países considerados como seguros, o que cuenten con un acuerdo específico con la UE. Por ejemplo, si haces email marketing puedes cambiarte a Mailrelay (España) o Sendinblue (Francia). O, si tienes web, puedes cambiarte a una empresa nacional de hosting.

El problema es la reticencia que suelen (solemos) tener los profesionales y empresarios/as para cambiar de empresas de servicios, y los quebraderos de cabeza que puede suponer la configuración de un nuevo software cuando ya estamos acostumbrados al que estamos usando (incluso aunque no estemos especialmente contentos). Ello, suponiendo que el software de destino tenga todas las funcionalidades deseadas, o que su precio sea asequible.

  • Consentimiento expreso del titular de los datos

La otra opción más habitual es la obtención del consentimiento del titular. Sin embargo, debes tenerse en cuenta que, para que el consentimiento prestado sea válido, han de garantizarse unos requisitos. Este consentimiento deberá ser previamente informado, de manera que el titular conozca los riesgos a los que se expone ya que sus datos van a transferirse a un país no seguro. Además, debe prestar su consentimiento de manera expresa y específica para la transferencia de datos concreta que se va a realizar, esto implica obtenerlo ANTES de que se realice la misma.

Siguiendo el ejemplo del email marketing, para poder hacerlo de forma legal con empresas de EEUU, debemos informar al usuario de la existencia de la transferencia internacional (indicando, entre otros datos, a qué empresa y a qué país se van a transferir los datos, y del propio hecho de que este país es considerado como no seguro). Además, el usuario tiene que aceptar expresamente la transferencia, habitualmente mediante un check (no premarcado), que almacene el consentimiento específico para esta finalidad.

  • Cláusulas contractuales estándar (CCE)

Son documentos privados jurídicamente vinculantes firmados entre las partes. Muy útiles para suplir el vacío dejado por el Privacy Shield, así como para hacer transferencias a otros países no seguros. Sin embargo, su uso conlleva aceptar una normativa más estricta, muy difícil de aplicar en el caso de autónomos y pymes, que será muy probablemente tu caso. Las empresas deben tratar cada transferencia de datos de manera individual, tomando todas las precauciones posibles y documentando minuciosamente los procedimientos de protección de datos que aplican, para garantizar que solo se recopilen y transmitan los datos personales estrictamente necesarios. Además, es recomendable hacer un análisis de riesgo previo y que el receptor de los datos asuma mayor control y más obligaciones contractuales.

Estas cláusulas están sujetas a inspección por parte de los organismos europeos y si comprueban que por la situación jurídica del país receptor no se puede cumplir correctamente con estas obligaciones, la transferencia de datos puede interrumpirse o incluso prohibirse.

  • Normas corporativas vinculantes (NCV)

Parecidas a las CCE, son normas utilizadas por grandes empresas y multinacionales para establecer unas reglas que rijan a nivel corporativo (para la empresa matriz y sus filiales) la transferencia de datos personales con terceros países. Necesitan también de autorización por parte de la entidad de control europea que garantiza que estas reglas cumplen con el nivel de protección de datos adecuado. El RGPD establece los requisitos y las obligaciones de las NCV en su artículo 47.

 

El RGPD incluye otras excepciones para situaciones específicas, en las que es posible continuar con las transferencias de datos a terceros países, siempre y cuando se cumpla alguna de las condiciones que se enuncian en su artículo 49.

Recordamos que, de no cumplir con ninguno de estos mecanismos y continuar con la transferencia internacional de datos a Estados Unidos u otros países no seguros, podría incurrirse en una sanción muy grave, con las cuantiosas sanciones establecidas en el RGPD.

¿Tienes dudas? Consulta a nuestro equipo jurídico y te asesoraremos.

Última modificación el 22 febrero, 2021 por Expertos LOPD