Menú

Todas

Safe Harbour

Adiós a Safe Harbour y Privacy Shield

¿Qué cambios han introducido las sentencias Schrem I y Schrem II? ¿Por qué se han anulado tanto Safe Harbour como Privacy Shield? ¿Qué fue Safe Harbour? ¿Qué fue Privacy Shield? ¿Qué cabe esperar ahora de las transferencias internacionales de datos entre la Unión Europea y Estados Unidos?

Adios a Safe Harbour y Privacy Shield. Efectivamente, con las sentencias del TJUE Schrems I y II se dijo adiós tanto a Safe Harbour como Privacy Shield. Las consecuencias de estas anulaciones se deben observar a la hora de realizar transferencias internacionales de datos.

Contacto No te quedes con la duda, contacta con nosotros. Estaremos encantados de atenderte y ofrecerte soluciones.

¿Qué fue “Safe Harbour”?

Safe Habour es como se denominaba a la Decisión 2000/520/CE que regulaba las transferencias de datos con EEUU. Así para transferir datos entre empresas de la Unión Europea a EEUU no se necesitaba autorización de las autoridades de control. Todas las empresas estadounidenses que cumplieran con los principios de la decisión de la Comisión serían puerto seguro. Esta fue la primera decisión de adecuación de la Unión Europea con EEUU. Estas decisiones afirman que el nivel de protección de datos en un tercer país es adecuado. Es decir, que sus estándares de protección de datos tienen un nivel adecuado con respecto a los establecidos por el RGPD.

Esta decisión, sin embargo, fue invalidada por el TJUE en la Sentencia Schrems I de 2015. Esto fue así porque el sistema estadounidense realmente no daba las garantías mínimas. No ofrecía realmente ni derechos exigibles ni acciones legales efectivas. Pues en EEUU se permitía que que sus autoridades de seguridad accedieran a todos los datos transferidos. Y no había recurso alguno ante ningún órgano judicial para reclamar esta intervención. Por estas deficiencias se invalida y se promulga en 2016 Privacy Shield.

¿Qué fue Privacy Shield?

Privacy Shield hace referencia a la segunda decisión de adecuación de la Comisión Europea sobre transferencias a EEUU. La decisión de ejecución 2016/1250 se toma después de que EEUU decida hacer cambios a su protección de datos. El más destacado fue establecer un Defensor del Pueblo en esta materia. También limitó el acceso a los datos de sus agencias de seguridad. De esta forma se volvía a permitir las transferencias internacionales de datos sin autorización de una autoridad de control.

No obstante, con la sentencia Schrems II de julio de 2020 se ha invalidado Privacy Shield. Porque con ella se dio poderes a las autoridades de control europeas para revisar estas transferencias únicamente para casos excepcionales. Así era una excepcionalidad que la autoridad de control pudiese verificar si efectivamente se daba el nivel de protección adecuado. Esto no era correspondiente con lo establecido por el RGPD. Pues las autoridades de control con sus poderes de inspección deberían poder restringir en todo caso ese flujo de datos. Siempre que no se estuviese contando con las garantías adecuadas de protección. Se estimó además que las nuevas garantías aportadas por EEUU no eran suficientes pues seguiría faltando un sistema de acciones legales efectivo. Así como que, aunque más limitado sus agencias, como la NSA seguían accediendo a los datos de europeos.

Consecuencias

Actualmente no hay decisión de adecuación en vigor con EEUU. Así para permitir las transferencias internacionales de datos con este país se debe acudir a algún mecanismo del art. 46 RGPD. Ese artículo establece mecanismos alternativos para supuestos de inexistencia de adecuación. Pero se debe tener en cuenta lo recogido también en estas sentencias sobre las cláusulas contractuales tipo. Pues estas cláusulas eran lo más usado para permitir transferencias en caso de falta de decisión de adecuación. Sin embargo, ahora se pueden prohibir o suspender las transferencias realizadas por estas cláusulas estandarizadas. Pues puede ser que la normativa del tercer país no permita su efectivo ejercicio. Como es el caso de las interrupciones de las autoridades extranjeras de EEUU en materia de vigilancia.

Ahora toda empresa que quiera transferir datos con EEUU deberá estar pendiente de estas resoluciones y adoptar algún método del art. 46 RGPD. Método que podrá ser comprobado por la autoridad de control del Estado miembro.  Si no se usase uno de dichos métodos sería necesario autorización expresa de la autoridad de control. En caso contrario actualmente se paralizarían todas las transferencias de datos entre la Unión Europea y la EEUU.

Conclusiones

En menos de 5 años dos decisiones de adecuación con EEUU han sido invalidadas. Esto demuestra como el sistema de EEUU no cumple con las garantías mínimas que exige el RGPD. No hay un sistema judicial ni administrativo efectivo al que recurrir. No se garantizan todos los derechos ARCO en la misma magnitud que en Europa. Sin embargo, cuando se invalidó Safe Harbour se tardó menos de un año en crear Privacy Shield. Así puede ser que el año que viene tengamos la tercera decisión de adecuación con EEUU. Por ahora, habrá que atenerse al resto de mecanismos del art. 46 RGPD.

Si le ha gustado este artículo, puede consultar otro similar que pudiera ser de su interés, pinchando en el siguiente enlace:

Diccionario (Jargon) de Protección de Datos (GPDR)

Publicaciones relacionadas