Pexels Pixabay 87651

TRANSFERENCIAS INTERNACIONALES DE DATOS CON EEUU

¿Qué es una Transferencia Internacional de Datos?

Una transferencia internacional de datos se produce cuando los datos personales que son tratados por un responsable o un encargado del tratamiento en el Espacio Económico Europeo (países de la Unión Europea, Islandia, Liechtenstein y Noruega) son enviados a un tercer país u organización internacional, fuera de dicho territorio. 

Para cumplir con la Normativa de Protección de Datos esta transferencia solo puede llevarse a cabo cuando el tercer país u organización internacional tiene un nivel de protección adecuado o se dan otras garantías adecuadas en materia de protección de datos personales.

PRIVACY SHIELD

Hasta el pasado verano, este tipo de transferencias entre UE y EEUU, se facilitaban a través del acuerdo, “Privacy Shield” que:

  • establecía un nivel de protección equivalente al de la UE, para las transferencias de datos entre las empresas de la UE y Suiza y las empresas americanas que se adherían al mismo;
  • debía proporcionar suficiente claridad jurídica a las empresas para que realizaran transferencias internacionales a EEUU

El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea (TJUE) emitió una sentencia invalidando dicho acuerdo, básicamente el TJUE entiende que no se da el mismo nivel de protección al usuario que en la UE por el hecho de que las leyes de EEUU permiten la recopilación de datos personales de ciudadanos no estadounidenses a través de medios electrónicos, como Facebook, que  podrían ser usados por los servicios de inteligencia estatal en casos de seguridad nacional, produciéndose un uso de los mismos más allá de lo estrictamente necesario.

SITUACIÓN ACTUAL

Desde el verano pasado nada ha cambiado; las organizaciones no podrán seguir transfiriendo los datos personales de usuarios a servidores de EEUU, bajo el amparo del Privacy Shield, ya que son ilegales y contrarias al Reglamento Europeo de Protección de datos (RGPD).

Esta situación transitoria no supone una paralización de las empresas que se habían suscrito al escudo de privacidad, existen alternativas como:

  1. a través de un contrato entre el exportador e importador de los datos que permitirían seguir realizando las transferencias internacionales con garantías por parte del receptor de dichos datos, siempre y cuando el gobierno americano no realice una intromisión, en cuyo caso el contrato sería declarado nulo. Algunos sectores son críticos con ese tipo de solución, pues consideran que tampoco ofrecen las         garantías necesarias que exige el TJUE, ya que las empresas en EEUU no pueden garantizar la no  injerencia del gobierno.
  1. Solicitando el consentimiento informado a los titulares de los datos de carácter personal que van a ser transferidos.

En ambos casos, la responsabilidad proactiva que requiere la protección de datos personales, implica la obligación de asegurar la efectiva privacidad e integridad de los datos. Las empresas deben adoptar acciones tendentes a asegurar, casi con seguridad rayana a la certeza, que los datos no serán comprometidos, abarcando:

  • soluciones contractuales,
  • soluciones organizativas y
  • soluciones técnicas

de manera que la diligencia empleada por la empresa se proyecte en garantías efectivas para el interesado.

¿EXISTE ALGUNA FORMA DE EVITAR REALIZAR TRANSFERENCIA INTERNACIONAL DE DATOS?

Un mecanismo sencillo para evitarlas es cambiar la gestión de datos de un proveedor americano a uno europeo con servidores ubicados en la UE, que estarían acogidos al RGPD, podría suponer un coste económico extra para las organizaciones, pero a cambio, obtendría la ventaja de no asumir mayores riesgos en seguridad.

Hay que recordar que los incumplimientos muy graves del RGPD pueden suponer la imposición de multas administrativas de hasta la mayor cuantía entre 20 millones de euros o el 4% del volumen de negocio total anual global del ejercicio financiero anterior.

CONCLUSIÓN

Seguiremos esperando que la Unión Europea se pronuncie acerca del camino a seguir, mientras tanto, las organizaciones, tendrán que buscar soluciones alternativas, como algunas de las comentadas, que les permitan ejercer el tratamiento de los datos personales de sus usuarios dentro del marco normativo europeo y con total seguridad y garantías.

Compartir:

Share on facebook
Share on twitter
Share on linkedin
Share on email
Share on whatsapp