¿Qué significa la invalidación del Privacy Shield para las empresas que transfieren datos entre la UE y los EE.UU.?

En un mundo cada vez más globalizado, es común que las empresas transfieran datos de manera transfronteriza, ya sea para fines administrativos, subcontratación o computación en la nube, entre muchas más opciones. Sin embargo, la transferencia de datos se refiere al intercambio de información personal de un país a otro lo que nos lleva a la posibilidad de que genere riesgos para la privacidad y los derechos de los ciudadanos, por lo que es importante que las empresas cumplan con las normativas y leyes que regulan la transferencia internacional de información personal. Es ahí donde se comienzan a complicar las cosas, un claro ejemplo de esto es la UE y los EE.UU.

Lea también: Bruselas espera aprobar en verano decisión para transferencia de datos a EE.UU.

La relación entre la UE y los EE.UU. en materia de protección de datos ha sido un tema polémico durante algún tiempo. La UE tiene un enfoque basado en el principio de minimización de los datos, lo que significa que solo deben recogerse y tratarse los datos mínimos necesarios. En contraste, los EE.UU. tienen un enfoque más permisivo de la recopilación y el tratamiento de datos, con menos restricciones sobre el uso que se puede hacer de los datos personales.

Formas alternativas de cumplimiento en la transferencia transatlántica de los datos

Tras la invalidación del acuerdo Safe Harbor, la UE y Estados Unidos negociaron el Privacy Shield; como resultado, las empresas que transfirieran información personal entre la UE y los EE.UU. tendrían que encontrar formas alternativas de cumplir con el GDPR. Estas alternativas incluyen el uso de cláusulas contractuales tipo (SCC) o normas corporativas vinculantes (BCR).

No obstante, una vez más la legislación americana se vería afectada con sentencia pues Mazimilian Schrems sometería otra denuncia (Schrems II) donde argumentaba que las SCC no protegían su información personal de la injerencia del Gobierno de EE.UU. Con dicha nueva denuncia, el TJUE también impuso una nueva sentencia con requisitos adicionales a las SCC, exigiendo a las empresas que realicen una evaluación exhaustiva de las leyes y prácticas de protección de datos del país receptor antes de confiar en ellas; sin embargo, el Privacy Shield fue decretado inválido.

Con invalidación del Privacy Shield ha impulsado los esfuerzos para crear un nuevo acuerdo de transferencia entre la UE y Estados Unidos. Actualmente se está redactando y negociando un “Privacy Shield 2.0” y se espera que subsane las deficiencias del acuerdo anterior. Se prevé que el nuevo acuerdo incluya mecanismos de supervisión más sólidos, una mayor protección de los datos personales de los ciudadanos de la UE y requisitos más estrictos para las agencias de inteligencia estadounidenses que accedan a información personal.

Con la Privacy Shield EE.UU. ha tenido que adoptar leyes de protección de datos más estrictas para alinearse con el RGPD. Durante los dos últimos años, la UE y EE.UU. han trabajado para establecer un nuevo marco para las transferencias entre la UE y EE.UU. 

FUENTE: Ojeda Anguiano, Samantha. »¿Qué significa la invalidación del Privacy Shield para las empresas que transfieren datos entre la UE y los EE.UU.?» Elderecho.com. 24/04/23. (https://elderecho.com/que-significa-la-invalidacion-del-privacy-shield-para-las-empresas-que-transfieren-datos-entre-la-ue-y-los-ee-uu).