10.09.2020
Cómo adecuarse a la normativa GPRD tras la Sentencia Schrems II
¿Qué es necesario tras la Sentencia Schrems II? ¿Contamos con un período de gracia para aplicar el fallo de esta sentencia? ¿Qué debo hacer si soy Responsable o Encargado del tratamiento? ¿Cuáles son las garantías adecuadas que deben cumplir las transferencias? ¿Qué mecanismos existen para realizar transferencias internacionales de datos?
Las transferencias internacionales de datos entre el Espacio Económico Europeo y Estados Unidos hasta hace poco “garantizaban” seguridad. Primero con el Safe Harbor, anulado por el TJUE en 2015. Después por el Privacy Shield, invalidado desde el pasado mes de julio. Las Sentencias Schrems I y II son unas de las más relevantes en cuanto a protección de datos se refiere. ¿Y ahora qué ocurrirá con las filiales europeas que transfieren datos a sus matrices en EEUU?
Contacto No te quedes con la duda, contacta con nosotros. Estaremos encantados de atenderte y ofrecerte soluciones.¿Es necesario hacer algo tras la Sentencia Schrems II?
El RGPD tiene como fundamento garantizar un nivel de protección de nuestros datos personales adecuado. Las transferencias internacionales de datos no pueden menoscabar esa protección. El Privacy Shield resulta incompatible con los pilares del RGPD. No pueden realizarse transferencias internacionales de datos si no garantizan un nivel de protección equiparable al ofrecido por el RGPD. La normativa estadounidense no lo consigue.
En primer lugar, ¿contamos con un período de gracia?
No. Desde que Tribunal declaró inválido el Privacy Shield no podremos realizar transferencias internaciones de datos dentro de este marco jurídico.
¿Qué debo hacer si soy Responsable o Encargado del tratamiento?
Que se haya invalidado el Privacy Shield no quiere decir que ya no podamos realizar transferencias internacionales de datos. Eso sí, solamente podremos hacerlo si se ofrecen las garantías adecuadas. Y siempre y cuando los interesados cuenten con derechos exigibles y acciones legales que puedan hacerse efectivas.
Si te ha interesado este artículo no dudes en leer:
¿Qué se entiende por nivel adecuado en las transferencias internacionales de datos?
¿Cuáles son esas garantías adecuadas? Soluciones alternativas al invalidado Privacy Shield
En primer lugar preguntarnos, ¿es realmente necesaria esta transferencia internacional de datos? Si la respuesta es sí, deberemos revisar cada una de ellas de manera individual.
¿Esta transferencia se respaldaba por el Privacy Shield? Si la respuesta es sí, debemos encontrar una alternativa a este mecanismo ya invalidado.
Ante la ausencia de decisiones de adecuación, existen otros mecanismos para poder realizar transferencias internacionales de datos. Es decir, que estas transferencias se amparen por:
- Normas corporativas vinculantes entre la empresa matriz y sus filiales, dependiendo del resultado de su evaluación.
- Cláusulas tipo de protección de datos, valoradas caso por caso.
- Código de conducta y compromisos vinculantes y exigibles del encargado o responsable del tratamiento en el tercer país de aplicar las garantías adecuadas.
- Una autorización a la AEPD.
Y en ausencia de estas garantías adecuadas, las transferencias internacionales de datos podrán realizarse si se cumple alguna de estas condiciones:
- El interesado haya prestado explícitamente su consentimiento para la transferencia. Antes debe haber sido informado de los riesgos que la misma supone.
- La transferencia sea necesaria:
- Para La ejecución de un contrato entre el interesado y el responsable del tratamiento. Para la ejecución de medidas precontractuales adoptadas a solicitud del interesado,
- La celebración o ejecución de un contrato en interés del interesado. Hablamos de un contrato entre el responsable del tratamiento y otra persona física o jurídica.
- Por razones importantes de interés público o para la formulación, el ejercicio o la defensa de reclamaciones.
- O, para proteger intereses vitales del interesado u otras personas cuando esté incapacitado para dar su consentimiento.
- O bien que la transferencia se realice desde un registro público que facilite información al público.
Si la transferencia no ofrece un nivel de protección adecuado, el responsable del tratamiento tendrá que suspender o finalizar dicha transferencia.
Si este artículo le ha gustado, también puede resultarle interesante la lectura del siguiente: