La decisión de Schrems II: el día después


Este site es solo para fines informativos y no constituye asesoramiento authorized o asesoramiento sobre cómo lograr la privacidad y seguridad operativa o el cumplimiento de las leyes o reglamentos.

El Tribunal de Justicia de las Comunidades Europeas («TJUE») anuló ayer el Escudo de la privacidad, un acuerdo entre los reguladores de datos europeos y la Cámara de Comercio de los EE. UU. Creado en 2016 que permite a las empresas de la Unión Europea transferir datos a los EE. UU. , que es utilizado por más de 5,000 empresas (aunque no McAfee), no cumple con los derechos de privacidad europeos.

La decisión es vista como uno de los casos de privacidad internacional más importantes en la historia reciente y surgió de una queja contra Fb presentada ante el Comisionado irlandés de Protección de Datos por Max Schrems.

Schrems ha estado desafiando la transferencia de sus datos (y los datos de los ciudadanos de la UE en common) a los Estados Unidos por Fb, que tiene su foundation europea en Irlanda. Su primer caso («Schrems I») llevó al Tribunal en 2015 a invalidar el acuerdo de puerto seguro, un acuerdo previo que regula las transferencias de datos de la UE a los EE. UU. El esquema de Puerto Seguro fue reemplazado por el Escudo de Privacidad UE-EE. UU. El 12 de julio de 2016, en respuesta al caso.

El Tribunal dio dos razones principales para su decisión («Schrems II») de que la Comisión Europea se equivocó al decir que el Escudo de Privacidad protegía adecuadamente los datos de los residentes de la UE. El tribunal dijo que

  • S. los programas de vigilancia no se limitan a lo estrictamente necesario y proporcional y, por lo tanto, no cumplen los requisitos del artículo 52 de la Carta de los Derechos Fundamentales de la UE
  • Los sujetos de datos de la UE carecen de reparación judicial procesable con respecto a la vigilancia de los EE. UU. Y, por lo tanto, no tienen derecho a un recurso efectivo en los EE. UU., Como lo exige el Artículo 47 de la Carta de la UE.

Además, el TJUE dictaminó que:

  • Las Cláusulas contractuales estándar (“SCC”), que actualmente están siendo revisadas por la Comisión Europea, y las Normas corporativas vinculantes (“BCR”) siguen siendo mecanismos válidos para transferir datos fuera de la Unión Europea
  • PERO las empresas deben verificar, caso por caso, si la ley en el país receptor garantiza la protección adecuada, según la ley de la UE, para los datos personales transferidos bajo SCC y, en caso de que no lo hagan, las empresas deben proporcionar garantías adicionales o suspender las transferencias. El fallo impuso a las autoridades de protección de datos de la UE el mismo requisito de suspender dichas transferencias caso por caso cuando no se pueda garantizar una protección equivalente.

Hemos empezado a escuchar algunos mitos que necesitan desacreditarse:

  • Mito 1: Mantener datos en Europa es la única solución. Pues no, no lo es. Online es World, la Nube es global y la localización de datos puede no impedir la aplicación de la Ley de Nube de los Estados Unidos
  • Mito 2: EE. UU. Deberá cambiar sus leyes: ¡no tan rápido! Esto puede ayudar, pero llevará algún tiempo, y para cumplir con lo que la Corte quiere requerirá cambios tanto en la Ley Patriota como en un nuevo recurso: no es una pequeña petición de un Congreso de los EE. UU. Cuando la Cámara y el Senado están trabajando bien juntos, mucho menos en medio de una pandemia con mucha división política
  • Mito 3: Esto solo concierne a los EE. UU. No, la vigilancia del gobierno (y la vigilancia secreta) existe en casi todas partes, y es necesaria, incluso en la Unión Europea y en algunas de las jurisdicciones que, según la UE, tienen protecciones adecuadas. Este fallo podría abrir la puerta a muchas conversaciones incómodas con jurisdicciones que pensaron que estaban a salvo en el pasado.
  • Mito 4: El fallo dice que las empresas europeas deben dejar de usar proveedores de servicios de EE. UU., Especialmente proveedores de servicios en la nube. No, eso es otra vez criticar a las corporaciones multinacionales que cumplen con los más estrictos estándares de seguridad.

Desde un punto de vista práctico, ¿cuáles son los cambios?

  • Las compañías que solían transferir datos bajo el Escudo de Privacidad deberían considerar firmar SCC y pueden querer pensar en un proyecto para implementar BCR
  • Es posible que sea necesario enmendar los SCC para agregar un lenguaje adicional para proporcionar garantías adicionales cuando se enfrentan a solicitudes de acceso de las autoridades públicas de todo el mundo.

¿Qué significa esto para los clientes de McAfee? McAfee se compromete a cumplir con las leyes aplicables. Nos complace firmar SCC con los clientes. Hemos hecho mucho trabajo para asegurarnos de que nuestros productos estén listos para el GDPR, y continuar rastreando los cambios regulatorios y judiciales. Nos complace hablar con usted sobre este y otros temas, contáctenos aquí.





Enlace a la noticia initial