Intro
El 16 de julio de 2020, el Tribunal de Justicia de las Comunidades Europeas (TJUE) dictó sentencia en el caso C-311/18, conocido como Schrems II. El TJUE dictaminó que el Escudo de la privacidad UE-EE. UU. Debería invalidarse. A su vez, se reconocen como válidas las Cláusulas Contractuales Tipo (CEC), un instrumento legal que permite la transferencia de datos desde la UE a terceros países.
Escudo de privacidad UE-EE. UU.
El Escudo de privacidad UE-EE. UU. Fue un mecanismo de “adecuación” que permitió a las organizaciones que se adhirieron a los principios regulatorios transferir datos personales de la UE a EE. UU.
¿Que sigue?
En el momento de escribir este artículo, el veredicto del TJUE deja las transferencias de datos entre la UE y los EE. UU. En el limbo. Obviamente, el Escudo de la privacidad ya no se puede utilizar, pero quedan muchas preguntas sobre si los SCC siguen siendo válidos para las transferencias de datos entre la UE y los EE. UU. U otros países con sistemas de vigilancia nacionales eficaces.
Preguntas frecuentes:
¿QUÉ RESPONSABILIDADES DEL RGPD AFECTADAS POR ESTA DECISIÓN?
La decisión se refiere a la responsabilidad de los responsables del tratamiento y los encargados del tratamiento de la transferencia de datos de ciudadanos de la UE a países fuera de la UE. Cualquier transferencia de este tipo debe proporcionar un nivel de protección y, por lo tanto, requiere el uso de un "mecanismo de transferencia" especial, que incluye:
- Adecuación : esta solución permite la transferencia de datos sin restricciones a un país o región que proporcione un nivel adecuado de protección de datos en opinión de la Comisión Europea. Dichos países incluyen_ Andorra, Argentina, Canadá (solo PIPEDA), Islas Feroe, Guernsey, Israel, Isla de Man, Japón, Jersey, Nueva Zelanda, Suiza y Uruguay. Todas las decisiones sobre adecuación se están revisando actualmente después de la entrada en vigor del RGPD.
- Appropriate Safeguards: GDPR , . Schrems-II, , « » GDPR. Standard Contractual Clauses (SCC), . , , .
- Binding Corporate Rules (BCR): GDPR . BCRs EDPB. Schrems-II BCR « » GDPR .
- : GDPR 49, . , , . .
GDPR?
Hasta el 4% de los ingresos anuales o 20 millones de euros, el que sea mayor. Además, la DPA (Autoridad de Protección de Datos) tiene derecho a suspender la transferencia de datos desde su país a Estados Unidos.
¿Qué debo hacer con mi certificación actual del Escudo de privacidad UE-EE. UU.?
El Departamento de Comercio de EE. UU. (DOC) dijo que el Escudo de privacidad continuará operando y espera que los miembros continúen cumpliendo con sus obligaciones de privacidad. El USDOC, la Comisión Europea, la Junta Europea de Protección de Datos (EDPB) han indicado que tienen la intención de crear un sucesor del Escudo de privacidad. Las empresas que permanecen en el Escudo de privacidad pueden simplificar su transición a un sucesor una vez establecido.
¿Se verán afectadas las transferencias de datos anteriores dentro del escudo de privacidad UE-EE. UU.?
Todas las transferencias de datos anteriores están sujetas al Escudo de privacidad UE-EE. UU.
¿Habrá un período de gracia?
La EDPB ha emitido una guía que indica que no habrá período de gracia. Dado que el Escudo de privacidad UE-EE. UU. Ha sido invalidado, las empresas que hasta ahora han utilizado el Escudo de privacidad UE-EE. UU. Para transferir datos deberán encontrar una base legal alternativa para transferir datos sin demoras indebidas.
Quiero salir del Escudo de privacidad UE-EE. UU. ¿Que necesito hacer?
Si decide abandonar EU-US PRIVACY SHIELD, deberá seguir el procedimiento establecido en Estados Unidos.
¿Debo actualizar la política de privacidad de la empresa?
Le recomendamos que no realice ningún cambio en la Política de privacidad como miembro del Escudo de privacidad en este momento. Actualmente, no existe una base ni una guía regulatoria para ningún cambio, a menos que haya declarado (como exportador de datos según el GDPR) que confía en el Escudo de privacidad como su base legal para transferir datos fuera del EEE.
La política de privacidad de mi organización establece claramente que usamos el escudo de privacidad UE-EE. UU. Para legitimar las transferencias de datos de la UE a EE. UU. ¿Deberíamos eliminar este aviso?
Deberá actualizar la Política e indicar qué alternativa está utilizando. También puede considerar incluir un aviso temporal de que la organización está revisando una decisión basada en una decisión de Schrems-II.
standard contractual clauses?
Siempre que las autoridades estadounidenses no recopilen y / o accedan a los datos por motivos de seguridad nacional, los SCC se pueden utilizar caso por caso, dependiendo de si el importador de datos estadounidense puede cumplir con sus obligaciones específicas de procesamiento. Esto significa que la carga de la prueba tanto para el exportador de datos como para el importador de datos en el tercer país ha aumentado para garantizar que pueden cumplir todos los requisitos de CEC. El importador de datos también deberá confirmar que cumplirá plenamente con todos los principios básicos del RGPD. Esto también significa que el importador y exportador de los datos tendrá que evaluar la legislación de un tercer país para averiguar, por ejemplo, si están sujetos a leyes de vigilancia que podrían suponer una injerencia en los derechos de los ciudadanos de la UE. En caso afirmativo,en este caso, la transmisión no puede basarse en SCC. Esto se aplica de manera similar a BCR. En su documento, la EDPB indicó que proporcionará más orientación sobre las medidas legales, técnicas y organizativas que se pueden tomar para complementar el SCC para garantizar la transferencia de datos legal ininterrumpida.
¿Qué hay de las transferencias posteriores de datos de empresas estadounidenses que procesan datos personales de la UE a otras empresas en los EE. UU. (Por ejemplo, proveedores de nube)?
Las transferencias posteriores de datos personales que se originen en cualquiera de los países del EEE deben procesarse de acuerdo con los estándares de protección de datos establecidos por el GDPR. El exportador de datos es responsable de la cadena completa de procesamiento de datos de la que es el controlador de datos. Si el importador de datos no puede garantizar que se puedan cumplir los estándares incluidos en el GDPR y los mecanismos de transferencia aplicables, se deben acordar garantías adicionales. Si esto no es posible, la transmisión de datos no será posible.
Si mi empresa estadounidense está trasladando un servidor a la UE, ¿todavía necesito un mecanismo de transferencia de datos?
Depende de cómo se procesen los datos dentro de la empresa. Siempre que los datos se almacenen en servidores en la UE y solo se acceda a ellos desde la UE, no se requieren mecanismos de transferencia de datos. Sin embargo, tan pronto como se accede a los datos desde fuera de la UE, se lleva a cabo el procesamiento de datos (como se define en el Artículo 4 (2) GDPR), que también constituirá una transferencia de datos, que requiere el uso de mecanismos de transferencia. Además, si una empresa está sujeta a las leyes de vigilancia de EE. UU., Incluidas, entre otras, la sección 702 de la FISA y la EO 12333, el uso del servidor de la UE no está garantizado.
¿El cifrado será una medida de mitigación suficiente en caso de una posible intervención del gobierno de EE. UU.?
El cifrado es un buen mecanismo de seguridad, lo que significa que los datos no se pueden interceptar. Sin embargo, existen otros mecanismos que pueden permitir que el gobierno de los EE. UU. Obtenga acceso a la información personal. En última instancia, el conjunto de datos se puede descifrar cuando otras partes acceden a él.
¿Siguen siendo válidos otros métodos de transferencia?
Todos los mecanismos de transferencia de datos incluidos en el GDPR siguen vigentes. El TJUE revocó una de las decisiones (Escudo de privacidad UE-EE. UU.) Y estableció criterios de evaluación más estrictos para el uso de otros mecanismos de transmisión.
¿Se ha revocado el Escudo de privacidad SWISS-US?
No.
¿Qué impacto tendrán estos procesos en el Brexit y el Reino Unido?
Es demasiado pronto para saberlo. Hasta el final del período de transición (actualmente hasta el 31 de diciembre de 2020), el Reino Unido continuará aplicando el GDPR sin cambios. Lo que viene a continuación es un tema de negociaciones entre el Reino Unido y la Comisión Europea.
¿Cómo comentan los reguladores sobre esta decisión?
JUNTA EUROPEA DE PROTECCIÓN DE DATOS (EDPB),
“No hay información sobre ejecución o asesoramiento sobre transferencias; más análisis a seguir ".Departamento de Comercio de EE. UU.,
"Si bien el Departamento de Comercio está profundamente decepcionado de que el tribunal parezca haber invalidado la decisión de adecuación de la Comisión Europea que subyace al Escudo de Privacidad UE-EE. UU., Todavía estamos estudiando la decisión para comprender completamente sus impactos prácticos".Inspector General Polaco para la Protección de Datos Personales - GIODO,
“Los responsables del tratamiento deben realizar una evaluación individual del nivel de protección de datos garantizado como parte de las transferencias transfronterizas de datos, que debe tener en cuenta no solo las disposiciones contractuales acordadas entre exportadores e importadores de datos, sino también las disposiciones legales en un tercer país, en particular con respecto al posible acceso de las autoridades públicas de ese país a los datos transmitidos. Se seguirán orientaciones adicionales a través de la EDPB ".Inspección de Protección de Datos de Estonia,
«When transferring personal data to any third country with an insufficient level of data protection, it must be borne in mind that it is also important to be convinced of the third country’s adequate level of protection of personal data. Therefore, EU companies must always assess the European Commission’s data protection clauses themselves. The assessment must determine whether the protection of Europeans’ personal data can be protected in the future or in the future by ensuring data protection clauses. If the protection of personal data cannot be guaranteed, the transfer of data must be suspended. If it is desired to continue the data transfer, another appropriate safeguard must be found».