Blog Email Marketing

“Privacy Shield” anulado: Los datos personales europeos no podrán transferirse a servidores en EE.UU.

Por Lidia - 17-07-2020 - Categoría: RGPD

Imagen “Privacy Shield” anulado: Los datos personales europeos no podrán transferirse a servidores en EE

El Tribunal de Justicia de la Unión Europea (TJUE) ha invalidado desde el 16 de Julio de 2020 la decisión 2016/1250 que permitía las transferencias internacionales de datos basadas en “Privacy Shield”, el escudo de privacidad UE.EE. UU.

El Reglamento de Protección de Datos (RGPD/ GDPR), aplica restricciones a las empresas que quieren transferir información personal fuera de Europa, incluyendo la recopilada en formularios de contacto o para el envío de newsletters. Dispone que esta transferencia solo puede realizarse en los casos que el país de destino garantice un nivel de protección de datos acorde a los principios y obligaciones del RGPD.

La decisión de anular “Privacy Shield”, obliga a las empresas europeas a revisar todos los proveedores cuyo servicio implica transferencia internacional de datos, como por ejemplo Whatsapp, Trello, Mailchimp, Slack, Dropbox y muchos más servicios y aplicaciones cuyos datos se alojan en servidores de EE.UU.  No afecta a aquellos que utilizan servidores europeos o españoles, como hacemos en Acrelia News.

¿Qué es "Privacy Shield"?

“Privacy Shield” es un acuerdo firmado entre EE.UU. y Europa por el cual se garantizaba que las empresas americanas adheridas (5.384) aplicaban los mismos estándares de protección de datos que las empresas europeas regidas por el RGPD.

Hasta ahora, cuando las empresas europeas contrataban un servicio con un proveedor de Estados Unidos utilizaban “Privacy Shield” para garantizar un nivel de seguridad en los datos de sus clientes equiparable al RGPD. Así los usuarios, estaban protegidos, por ejemplo, con la cesión de datos a terceros sin su consentimiento.

Otra opción a la hora de garantizar la seguridad en transferencias internacionales, eran las cláusulas contractuales tipo (Standard Contract Clauses) aprobadas en su día por la Comisión Europea (artículo 46 del RGPD).

Este mecanismo sigue siendo válido, pero únicamente cuando el país ofrezca garantías de un nivel de protección de datos adecuado y equivalente a los establecidos por el RGPD.  En el caso de proveedores de EE.UU. es difícil que puedan ampararse en ellas, por ejemplo, para asegurar los usos que se harán de los datos recopilados al realizar una compra online.

¿Por qué? Te lo explicamos en el siguiente punto.

¿Por qué el TJUE ha invalidado “Privacy Shield”?

El activista y abogado Max Schrems, usuario de Facebook desde 2008, interpuso una demanda contra Facebook Irlanda, alegando que no garantizaba un nivel de protección de datos suficiente.

Como ocurre con el resto de usuarios de Facebook en Europa, los datos personales de Schrems son transferidos, total o parcialmente, por Facebook Ireland a servidores pertenecientes a Facebook Inc., situados en el territorio de Estados Unidos, donde son objeto de tratamiento.

Según el comunicado del Tribunal de Justicia, “las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización, por las autoridades estadounidenses, de los datos transferidos desde la Unión a ese país tercero, y que la Comisión evaluó en la Decisión Escudo de la privacidad, no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas, en el Derecho de la Unión, por el principio de proporcionalidad, en la medida en que los programas de vigilancia basados en la mencionada normativa no se limitan a lo estrictamente necesario”.

Es decir, las empresas americanas deben cumplir las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense, lo que significa que pueden verse obligadas a entregar datos personales de los usuarios a las agencias gubernamentales, de inteligencia y seguridad, lo que vulnera la RGPD y la Carta de derechos fundamentales de la EU.

Por esta razón, el tribunal de justicia europeo ha decidido invalidar “Privacy Shield” y por tanto todas las transferencias de datos basadas en él.

¿Qué pasará a partir de ahora?

“Privacy Shield” no es el primer acuerdo entre EE.UU. y Europa sobre privacidad, de hecho, sustituyó a “Safe Harbour”; que permitía a las empresas almacenar datos de usuarios europeos en Estados Unidos.

Al ser declarado invalido, las más de 5.300 empresas americanas que están adheridas al programa, no podrán transferir datos personales europeos a servidores de EE.UU. Habrá que ver cómo responde Estados Unidos y si adaptan su legislación o bien llegan a un acuerdo de algún tipo con la Comisión Europea.

¿Qué debo hacer si trabajo con proveedores de EE.UU?

Las empresas europeas tienen la obligación de cumplir con las exigencias del RGPD, y trabajar solo con quienes acrediten que cumplen con la normativa de protección de datos, incluyendo proveedores de hosting y de servicios de correo electrónico.

Ahora, es imperativo revisar todas las transferencias de datos con Estados Unidos y el mecanismo de garantía utilizado. En caso de ser “Privacy Shield” conviene buscar otro que lo sustituya o, si no es posible, dejar de transferir datos personales

No hacerlo, podría implicar graves sanciones, por lo que es muy recomendable contar con el asesoramiento adecuado y trabajar con una empresa especializada en privacidad, derecho digital y nuevas tecnologías para que puedan solventar todas las dudas.

En Acrelia News trabajamos con servidores alojados en Europa por lo que cumplimos con el RGPD y la anulación del “Privacy Shield” no afecta a los envíos de nuestros clientes.



Artículos relacionados


¿Aún no has probado Acrelia News?
Si te gustó este artículo, te gustará mucho más nuestra herramienta de email marketing: profesional, fácil de utilizar y en español.

CREAR CUENTA GRATUITA AHORA


X
llamada
Introduce el número de teléfono
al que quieres que te llamemos