Schrems II – ¡Algunas cosas a tener en cuenta!


Hace un par de días me preguntaron si, sobre todo gracias al RGPD (1) y la CCPA (2), estábamos viendo como profesionales una estandarización en las negociaciones que rigen los términos de privacidad.

Por desgracia, es posible que nunca nos hayamos alejado tanto de tal armonización. 128 de 194 países han promulgado leyes para garantizar la protección de los datos y la privacidad. Y a pesar de la existencia de iniciativas para desarrollar herramientas capaces de armonizar el cumplimiento de los requisitos legales, de seguridad y regulatorios, la privacidad sigue siendo una zona gris.

Desde el punto de vista de la UE, e independientemente del hecho de que el RGPD es visto como uno de los más, si no la La regulación más sofisticada en términos de protección de datos personales, el Sr. Schrems y el Tribunal de Justicia de las Comunidades Europeas ("TJUE") están jugando un poco con los nervios de miles de profesionales de la privacidad.

Para aquellos que no conocen al Sr. Schrems, Maximilian es un activista de privacidad austriaco. Como estudiante de derecho de la privacidad en 2011 en la Universidad de Santa Clara, conoció a un representante de Facebook que les explicó a los estudiantes que los europeos tenían muchos derechos de privacidad en la UE, pero que sin embargo no estaban haciendo mucho para protegerlos. Las palabras no cayeron en oídos sordos y para 2015, Max había presentado un caso contra Facebook y logró que se invalidara el Safe Harbor (el que entonces se usaba como mecanismo para transferir datos personales a los Estados Unidos) (3). El puerto seguro fue reemplazado por el Escudo de privacidad, que, junto con las Cláusulas estándar europeas ("SCC"), se sospechaba que no podían proteger suficientemente los derechos europeos contra la vigilancia masiva de EE. UU.

Como habrás escuchado, el 16 de julio de 2020 (4), el Escudo de privacidad ha sido invalidado. Los SCC siguen siendo válidos, pero no suficientes per se. Tras la Decisión Schrems II, la Comisión Europea emitió unas 22 páginas de recomendaciones para la transferencia de datos personales fuera de la Unión Europea (5) y el conjunto de pocos países felices que se considera que brindan una protección adecuada, así como un nuevo borrador de conjunto de CCE. (6).

Entonces, ¿qué sigue para nosotros? A continuación hay un par de respuestas que le ayudarán a navegar hasta el 2021.

1. ¿Cuánto tiempo tienen las empresas para cumplir con los requisitos de la decisión Schrems II?

El TJCE no proporcionó ningún período de gracia: las consecuencias son aplicables desde el 16 de julio de 2020 y las empresas que solían confiar en el Escudo de privacidad tuvieron que dejar de usar ese mecanismo de inmediato y reemplazarlo con los SCC.

2. ¿Son suficientes las SCC para transferir datos fuera de la UE?

No, las SCC ya no son suficientes por sí solas: las empresas deben evaluar caso por caso si las leyes del país receptor ofrecen suficiente protección Y, cuando no lo hagan, deben incluir medidas complementarias. Además, si las medidas complementarias no son posibles o insuficientes, las partes deben suspender o finalizar la transferencia O la transferencia debe ser suspendida o terminada por la autoridad de protección de datos.

3. Ahora que la UE ha emitido nuevos SCC, ¿estos reemplazarán la molestia de evaluar las protecciones del país receptor?

No, una simple actualización de los SCC no será suficiente. Las SCC "no pueden obligar a las autoridades de ese tercer país, ya que no son parte del contrato". (7). De ahí el requisito de implementar medidas complementarias de aplicación técnica.

4. ¿Es peligroso no cumplir con los requisitos de Schrems II?

Es costoso y podría poner en peligro su negocio, ya que la Autoridad de Protección de Datos puede solicitar detener la transferencia (8). En cuanto a las multas previstas por el RGPD, estamos hablando de 20 millones de euros o el 4% de su facturación global, lo que sea mayor (9).

5. ¿Es Schrems II un problema de nivel C-Suite / Board?

Sí, la falta de cambios corporativos puede constituir "ceguera intencional a un curso de acción" o "conducta imprudente al conocer el riesgo pero no hacer nada". (10) Esto abre a los miembros de la Junta y altos ejecutivos a una posible responsabilidad personal y penal.

6. ¿No puedo usar el cifrado o el anonimato como medidas complementarias lo suficiente para proteger los datos?

No, eso no será suficiente. El cifrado solo protege los datos en tránsito y en almacenamiento, y la Junta Europea de Protección de Datos ("EDPB") no reconoce el anonimato como existente. Se requieren medidas complementarias de aplicación técnica (11).

La anonimización es de muy difícil a muy difícil de lograr sin eliminar un valor importante, y los nuevos requisitos en virtud de la seudonimización implican que el procesamiento de datos personales debe realizarse de tal manera que los datos personales ya no puedan atribuirse a un sujeto de datos específico sin el uso de información adicional, que debe mantenerse por separado; y sujeto a medidas técnicas y organizativas capaces de garantizar que los datos personales no puedan atribuirse a personas identificables sin requerir acceso a la "información adicional" almacenada de forma separada y segura.

7. ¿Qué tipos de tratamiento son ahora claramente ilícitos?

Dos tipos de transferencias han sido declaradas ilegales por la EDPB:

  • Transferencia a proveedores de servicios en la nube u otros procesadores que requieren acceso a datos en claro (caso de uso ilegal 6 de EDPB); y
  • Acceso remoto a datos con fines comerciales (Caso de uso ilegal 7 de EDPB) (12).

La única opción para convertirlos en legales es proporcionar cifrado.

8. ¿Qué sigue para las empresas?

Las empresas deben evaluar qué combinación de SCC, salvaguardias adicionales, residencia de datos y protección de datos por diseño y por defecto permitirá el éxito continuo de los negocios al fomentar una protección equilibrada de la privacidad, así como la confianza legal y contractual en el uso de la tecnología y en la recogida y tratamiento responsable y protegido de los datos de las personas.

(1) Reglamento general de protección de datos 2016/679

(2) Ley de privacidad del consumidor de California, AB-375

(3) “Maximillian Schrems / Comisionado de Protección de Datos”, decisión 2000/520 / CE, Asunto C-362/14

(4) https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118_en.pdf

(5) Recomendaciones 01/2020 sobre medidas que complementan las herramientas de transferencia para garantizar el cumplimiento del nivel de protección de datos personales de la UE. https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdf

(6) Los proyectos de CEChttps://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of- datos-personales-a-terceros-países

(7)http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=9745404 párrafo 125.

(8)http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=9745404 párrafos 121, 135, 146, 154 y 203 (3)

(9) Véase el artículo 83 (5) (c) del RGPD.

(10) https://normcyber.com/advisory-note/data-protection-directors-personal-liability/

(11) Consulte la guía EDPB en: https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdf

(12) Ibíd.





Enlace a la noticia original