La reciente abolición del Escudo de Privacidad por parte del Tribunal de Justicia de la Unión Europea (TJUE) ha creado mucha incertidumbre entre todas aquellas empresas que se acogían a este marco legal para sus transferencias de datos a Estados Unidos. Para dar respuesta a los principales interrogantes, el European Data Protection Board, el organismo que agrupa a las distintas agencias de protección de datos europeas, ha creado un documento aclarativo (Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18).
En este documento se confirma que no hay ningún tipo de moratoria y las organizaciones que dependiesen del Escudo de Privacidad para sus transferencias de datos personales a Estados Unidos deben implementar inmediatamente mecanismos alternativos o suspender las transferencias.
Entre estos mecanismos alternativos, los más frecuente serán las cláusulas contractuales modelo sobre las que el TJUE no ha emitido un dictamen desfavorable siempre y cuando se verifique que cumplen las salvaguardas apropiadas para proteger los datos personales de acuerdo con el Reglamento General de Protección de Datos.
Otro mecanismo alternativo sobre el que apoyarse podrán ser las reglas corporativas vinculantes que adopten las organizaciones y por las que se comprometan a cumplir con la regulación europea.
Las organizaciones que quieras implementar tanto las cláusulas contractuales modelo como las reglas corporativas vinculantes tendrán que llevar a cabo evaluaciones de adecuación que determinen que las transferencias ofrecen las protecciones adecuadas a los datos personales de los individuos.
Entre las opciones que se barajan para el futuro está la de crear un código de conducta aprobado por las autoridades europeas al que se tengan que adherir las organizaciones que quieran realizar transferencias de datos entre los dos territorios.
En definitiva, todas aquellas organizaciones que realicen transferencias de datos a Estados Unidos deberán analizar sus flujos de datos y decidir el mecanismo que emplearán para darles una base legal. En aquellos casos en los que las organizaciones no puedan garantizar un nivel de protección adecuado, se tendrán que realizar cambios y se tendrán que introducir protecciones adicionales de modo que se consiga una equiparación con la protección que proporciona la legislación europea.