Blog

Protecció de Dades

La TJUE invalida el ‘Privacy Shield’

24 juliol, 2020

 LA TJUE INVALIDA EL ‘Privacy Shield’

El Tribunal de Justícia de la UE, mitjançant la Sentència de l’assumpte C-311/18, del Data Protection Commissioner / Maximilian Schrems i Facebook Ireland (conegut com “Schrems II”), ha invalidat la Decisió de la Comissió Europea sobre Escut de Privacitat (Privacy Shield). Indica que, “les limitacions de la protecció de dades personals que es deriven de la normativa interna dels Estats Units relativa a l’accés i la utilització, per les autoritats estatunidenques, de les dades transferides des de la Unió a aquest país tercer, i que la Comissió va avaluar en l’Escut de la privacitat, no estan regulades conforme a exigències substancialment equivalents a les requerides, en el Dret de la Unió, pel principi de proporcionalitat, en la mesura en què els programes de vigilància basats en l’esmentada normativa no es limiten a l’estrictament necessari“.

El TJUE assenyala també, que, respecte a alguns programes de vigilància, de la referida normativa no es desprèn de cap manera que existeixin limitacions a l’habilitació que atorga per a l’execució d’aquests programes, ni tampoc que existeixin garanties per a les persones no nacionals dels Estats Units que siguin potencialment objecte d’aquests programes.

Això té conseqüències, ja que el Privacy Shield permetia que les organitzacions dels EUA que estiguessin adherides a l’aquest sistema fossin considerades com a entitats que garanteixen un nivell de protecció adequat en matèria de protecció de dades (en virtut de l’art. 45 del RGPD 2016/679). Per tant, si es transferien dades personals a entitats situades als EUA i aquestes estaven adherides a l’Escut de Privacitat, això era equiparable a cedir dades a una entitat de la UE. De fet, no és la primera vegada que el Tribunal de Justícia de la UE invalida una decisió d’aquest tipus. En el passat, això ja va ocórrer amb l’antic sistema d’adequació, de Port Segur (Safe Harbour), entre la UE i els EUA

Com a resultat de l’anterior, les transferències internacionals que s’estiguin duent a terme en l’actualitat en les organitzacions basant-se en el fet que l’entitat de destí estigui adherida a l’Escut de Privacitat es quedarien sense causa de legitimació, tret que comptin també amb altres garanties.

En aquest sentit, és convenient iniciar la revisió de les transferències internacionals de dades personals basades en aquest sistema, posant especial atenció als proveïdors de serveis IT contractats que estiguin situats als EUA, amb la finalitat d’adoptar altres garanties alternatives per a legitimar aquestes transferències internacionals.

A més, la sentència del Tribunal de Justícia de la UE es pronuncia sobre altres qüestions rellevants en relació, per exemple, amb la validesa de l’ús de les Clàusules Contractuals Tipus de la Comissió Europea (com a mecanisme habilitant del RGPD 2016/679 per a realitzar transferències internacionals). Es tractaria de la nova alternativa la d’utilitzar mecanismes com les Clàusules Contractuals Tipus, encara que secundar-se en aquest mecanisme tampoc resultarà una tasca fàcil per a les empreses pel fet que l’Alt Tribunal Europeu indica en la seva sentència que seran les empreses les que hauran d’avaluar sota la seva responsabilitat si, per a cada transferència, aquestes clàusules realment es poden complir.

Cal no oblidar l’aplicació de sistemes menys utilitzats fins ara i que cobraran especial importància, com, per exemple, les Normes Corporatives Vinculants o els molt nous Codis de Conducta aprovats conforme al RGPD.

Així mateix, estem a l’espera que l’Agència Espanyola de Protecció de Dades es pronunciï sobre aquest tema. L’Agència Espanyola de Protecció de Dades, en el si de la reunió plenària del Comitè Europeu de Protecció de Dades, ha participat en l’adopció del comunicat emès, en el qual s’assenyala la importància de la Sentència respecte del dret fonamental de la protecció de dades en el marc de les transferències internacionals a tercers països, però encara no ha donat més indicacions.

El que sabem, és que l’Agència continuarà treballant conjuntament amb la resta d’Autoritats europees en una resposta harmonitzada a nivell europeu i participarà en les labors que es duguin a terme per a adoptar un enfocament comú, garantint així una aplicació consistent de la sentència en tots els països de la UE.

En DATAX, som especialistes en la correcta gestió i tractament de transferències internacionals. Amb una llarga trajectòria professional que ens acredita, els nostres clients poden tenir la tranquil·litat que, en cas de transferir dades personals fora de la UE, compleixen amb el que disposa la normativa vigent en matèria de protecció de dades i seguretat de la informació, reduint el risc de sanció i reclamació, i, protegint els seus interessos empresarials.

 

Javier de Zea

Consultor Legal en matèria de protecció de dades i seguretat de la informació.

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *