La sentencia del Tribunal de Justicia de la Unión Europea (TJUE) del 16/07/2020 anula la Decisión 2016/1250 de la Comisión Europea que declaraba el nivel adecuado de protección del esquema del Escudo de Privacidad (Privacy Shield) para las transferencias internacionales de datos a EE.UU.
Por tanto, en el caso de que su empresa sea responsable del tratamiento de datos y haya contratado un encargado del tratamiento, por ejemplo, proveedor de hosting, servicio cloud computing ubicado en EE. UU. debe tener en cuenta que dichas transferencias son ilegales.
No obstante, si desea seguir utilizando dichos proveedores y sus servicios, podrá hacerlo si suscribe con ellos las cláusulas contractuales tipo (CCT) aprobadas por la Comisión Europea (Decisión 2010/87/CE) y adopta las medidas suplementarias necesarias para garantizar que la ley de EE. UU. o el país de destino garantiza el nivel de protección de datos personales de la UE. En caso de que ello no fuera posible, debería revisarse si la transferencia se puede llevar a cabo sobre alguna de las excepciones del artículo 49 del RGPD.
Por ello, como responsable del tratamiento de datos personales le indicamos que debe proceder, en aplicación del principio de responsabilidad proactiva, a activar mecanismos para cumplir con esta sentencia y también con los criterios de interpretación marcados por el Comité Europeo de Protección de Datos y la Agencia Española de Protección de Datos.
Como consecuencia de ello, le proponemos la aplicación del protocolo incluido en este documento, para poder determinar en su caso qué implicaciones tiene esta sentencia y qué soluciones puede adoptar.
Simultáneamente a la ejecución de todos los pasos indicados en este protocolo, debe documentar todas las acciones que lleva a cabo sobre este asunto, desde la primera reunión que se realiza en el seno de su empresa para estudiar las consecuencias de esta sentencia a cada uno de los pasos que lleve a cabo para cumplir con la misma.
Riesgos
El RGPD prevé multa de 20 millones de euros o el 4% de la facturación global si continúa transfiriendo datos sin un instrumento legal válido (artículo 83 (5) (c) RGPD). No obstante, la AEPD podría no multar a un responsable del tratamiento si demuestra que ha adoptado todas las medidas para cumplir con la sentencia.
Protocolo de actuación
- Inventario de todos los proveedores de servicios que acceden a datos personales (encargados del tratamiento) ubicados en EE.UU. o fuera de la UE, servicios prestados y contrato correspondiente.
Pese a que el proveedor indique que su servicio se presta en la UE, se debe incluir en este inventario aquellos proveedores ligados contractualmente con empresas con sede en EE.UU. o fuera de la UE, por ejemplo, grupo empresariales multinacionales.
Debe prestar especial relevancia a aquellos proveedores de servicios ubicados en España o UE a los que ha autorizado para la subcontratación de servicios, ya que, en ocasiones, son estas subcontrataciones las que implican transferencias internacionales de datos. También debe incluir en este listado a estos proveedores.
- Analizar los servicios prestados por dichos proveedores y si amparan la transferencia internacional de datos en Privacy Shield u otro mecanismo previsto en el artículo 46 del RGPD, por ejemplo, CCT, Normas Corporativas Vinculantes o bien en alguna de las excepciones del artículo 49 del RGPD.
- Establecer contacto con estos proveedores, a los efectos de verificar si tras la sentencia del TSJUE proponen soluciones para cumplir con las garantías de protección de datos personales establecidas en el RGPD para las transferencias internacionales de datos personales.
- En función de la respuesta de cada proveedor y circunstancias de la prestación de servicios, decidir si puede proseguir con la prestación del servicio, debe suspenderlo, suscribir CCT y adoptar garantías adicionales o aplicar algunas de las excepciones del artículo 49 del RGPD.
- Actualizar la política de protección de datos publicada en su web, indicando que se está revisando en aplicación de la Sentencia del TJUE.
Póngase en contacto con nosotros
