|
El Tribunal de Justicia de la UE, mediante la Sentencia del asunto C-311/18, del Data Protection Commissioner / Maximilian Schrems y Facebook Ireland (que, se conoce como “Schrems II”), ha invalidado la Decisión de la Comisión Europea sobre Escudo de Privacidad (Privacy Shield) (la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de Privacidad UE – EE.UU.). Esta Decisión permitía que las entidades de EE.UU. que estuviesen adheridas al sistema de Escudo de Privacidad fueran consideradas como entidades que garantizan un nivel de protección adecuado en materia de protección de datos (en virtud del art. 45 del RGPD 2016/679). Por lo tanto, si se transferían datos personales a entidades ubicadas en los EE.UU. y éstas estaban adheridas al Escudo de Privacidad, en términos prácticos, ello era equiparable a ceder datos a una entidad de la UE.
No es la primera vez que el Tribunal de Justicia de la UE invalida una decisión de este tipo. En el pasado, esto ya ocurrió con el antiguo sistema de adecuación, de Puerto Seguro (Safe Harbour), entre la UE y los EE.UU.
Como consecuencia de lo anterior, las transferencias internacionales que se estén llevando a cabo en la actualidad en las organizaciones basándose en que la entidad de destino esté adherida al Escudo de Privacidad se quedarían sin causa de legitimación, salvo que cuenten también con otras garantías. En este sentido, es conveniente iniciar la revisión de las transferencias internacionales de datos personales basadas en este sistema, poniendo especial atención a los proveedores de servicios IT contratados que estén ubicados en los EE.UU., con el fin de a) identificarlas y b) adoptar otras garantías alternativas para legitimar dichas transferencias internacionales.
Además, la sentencia del Tribunal de Justicia de la UE se pronuncia sobre otras cuestiones relevantes en relación, por ejemplo, con la validez del uso de las Cláusulas Contractuales Tipo de la Comisión Europea (como mecanismo habilitante del RGPD 2016/679 para realizar transferencias internacionales).
Por si fuera de utilidad, os incluimos a continuación el enlace a la citada sentencia y a la nota de prensa del Tribunal de Justicia de la UE:
A su vez, estamos a la espera de que la Agencia Española de Protección de Datos se pronuncie al respecto.
|
