Desatascando la situación post- Privacy Shield

 

El problema y la solución en nueve puntos.

 

1. La sentencia Schrems II ha anulado el Privacy Shield.

 

2. El EDPB, en sus guidelines sobre esta sentencia ha ordenado “suspender o poner fin a la transferencia de datos personales (anteriormente amparadas en el Privacy Shield). No obstante, si desea seguir transfiriendo datos a pesar de esta conclusión, deberá notificarlo a su Autoridad de cumplimiento competente.”

 

3. Pocos Responsables de tratamiento han cumplido esto. Todo el mundo sigue haciendo lo mismo esperando a que el EDPB o quien sea, de alguna manera, aporte una solución o imponga una “tregua” formal o informal. Sin embargo, cada día sin hacer nada es un día de incumplimiento, conforme a las guidelines del EDPB (punto 2).

 

4. El EDPB ha anunciado la creación de una Taskforce (equipo de trabajo) especial para acelerar este tema, dada su importancia y urgencia, pero es altamente dudoso que de aquí salga una solución rápida y “out the box” para las empresas afectadas. La intervención de Andrea Jellinek ayer en la #DATAUSA2020 hablando de “dos meses” confirma nuestras sospechas.

 

 

5. La alternativa más obvia al Privacy Shield son las Cláusulas Contractuales Tipo. Las Normas Corporativas Vinculantes requieren mucho más trabajo y planificación y sobre todo, la aprobación de la AEPD. Las excepciones del art 49 RGPD tienen, si nadie lo remedia, una aplicación super restrictiva.

 

El EDPB dijo en julio sobre las cláusulas contractuales tipo (SCCs):

 

“The Court found that U.S. law (i.e., Section 702 FISA and EO 12333) does not ensure an essentially equivalent level of protection. Whether or not you can transfer personal data on the basis of SCCs will depend on the result of your assessment, taking into account the circumstances of the transfers, and supplementary measures you could put in place. The supplementary measures along with SCCs, following a case-by-case analysis of the circumstances surrounding the transfer, would have to ensure that U.S. law does not impinge on the adequate level of protection they guarantee”.

 

6. Este mensaje se ha interpretado como la imposición a cada exportador de datos de la carga de evaluar la adecuación de la normativa de inteligencia y defensa del país importador al estándar de protección de datos personales europeo (apartados 175 y 176 de la sentencia).

 

7. La obvia imposibilidad para las organizaciones privadas de “arreglar” algunos de los problemas denunciados por la sentencia Schrems II -cuya solución exige modificaciones legislativas en la UE o en los EEUU- ha contribuido a la comentada “parálisis taquicárdica” entre las organizaciones que exportaban y siguen exportando, porque la vida continúa, datos personales a USA.

Mientras tanto, Max Schrems, a través de NOYB ha denunciando a más de 100 empresas europeas, y sólo ha retirado la denuncia respecto de las tres organizaciones que han eliminado el código de google y facebook de sus webs.

 

Foto de Negocios creado por jannoon028 – www.freepik.es

8. Por nuestra parte, hemos estudiado la polémica normativa norteamericana y la Sentencia Schrems II y hemos encontrado (y estamos ya implementando) una interpretación -absolutamente sensata y obvia- que permite desbloquear la actual situación.

 

9. Una interpretación que puede permitir a la mayoría de las organizaciones amparar con solidez sus transferencias en el mecanismo de las cláusulas contractuales tipo (o, alternativamente, Normas Corporativas Vinculantes), y a las demás, identificar aquello que se lo impide, limitando así el problema y la inversión necesaria para conseguir quedarse tranquilo y pasar página.

 

Puedes obtener más información en el siguiente correo electrónico: Jorge García Herrero jgh@jorgegarciaherrero.com

 

 

Jorge García Herrero

Abogado y Delegado de Protección de Datos