El problema con el Privacy Shield. ¿Puedes seguir utilizando Google, Facebook o Mailchimp?

Si utilizas herramientas digitales como Google, Facebook, Instagram, Mailchimp, etc. para tu trabajo, ¡esto te interesa! Vamos a tratar de explicar cuál es el problema del Privacy Shield en este momento, en cuanto a las herramientas digitales más utilizadas y su cumplimiento con la normativa de protección de datos.

¿Cuáles son los casos en que las transferencias internacionales son lícitas?

Los responsables y encargados del tratamiento podrán realizar transferencias internacionales de datos (fuera de los países de la Unión Europea más Liechtenstein, Islandia y Noruega) sin necesidad de una autorización de la Agencia Española de Protección de Datos siempre que se den los siguientes supuestos.

  • Decisiones de adecuación: el destinatario es declarado de nivel adecuado por la Comisión Europea. Puedes consultar declarados como adecuados aquí:
    • Destinatario adherido al Privacy Shield (que entraría en las decisiones de adecuación pero que nos interesa por la actualidad de la noticia): instrumento suscrito entre la UE y el gobierno de los Estados Unidos para validar las transferencias internacionales entre la UE y EEUU.
  • Con las garantías adecuadas, por ejemplo unas normas corporativas vinculantes o mediante contratos que incluyan las llamadas cláusulas contractuales tipo (CCT) aprobadas por la Comisión Europea y que están siendo objeto de actualización. Sabemos que están en el horno y que se publicarán en breve.
  • Excepciones para situaciones específicas.
¿Qué decidió recientemente el TJUE con respecto a las transferencias de datos desde la UE?

En resumen, el TJUE anuló el Marco del Escudo de Privacidad UE-EE. UU. (Privacy Shield), que era una forma de que las empresas transfirieran datos legalmente de la UE / Reino Unido a los EE. UU. Al mismo tiempo, el TJUE confirmó que las Cláusulas Contractuales Tipo (CCT) continúan proporcionando un mecanismo válido para que las empresas transfieran datos personales fuera de la UE / Reino Unido.

Sin embargo, después del fallo, las transferencias basadas en CCT pueden ser impugnadas caso por caso, especialmente cuando las leyes de seguridad nacional entran en conflicto con las garantías proporcionadas por el importador de datos en virtud de las CCT.

El problema está en que las leyes de seguridad nacional de EEUU entran en conflicto con la normativa de protección de datos europea y aunque las CCT se incluyan como mecanismo de legitimación para realizar estas transferencias, no se puede garantizar en la práctica que el nivel de protección exigido por el Derecho de la Unión sea respetado.

Google, Facebook, Instagram, Whatsapp, Mailchimp…

Todas estas aplicaciones cuentan con cláusulas contractuales tipo (CCT) que no han sido invalidadas pero que podrían serlo en cualquier momento. Tal y como hemos comentado, las leyes de seguridad nacional entran en conflicto con las garantías proporcionadas por el importador de datos en virtud de las CCT.

¿Cuál es la solución?

De momento no podemos dar ninguna solución para las herramientas utilizadas y que no tienen una herramienta alternativa dentro de la UE. Nuestra recomendación es, siempre que se pueda, utilizar herramientas y proveedores de la UE.

Hace cinco años pasó exactamente lo mismo que ahora, se invalidó el Safe Harbour (algo parecido al Privacy Shield) y la Comisión Europea alcanzó la solución del Privacy Shield en poco tiempo. Confiamos en que lo vuelvan a hacer.


Si tiene alguna duda o consulta no dude en contactar con nosotros