Después de la decisión del 16 de julio del Tribunal de Justicia de la Unión Europea que invalida el acuerdo entre Estados Unidos y la UE para la transferencia de datos entre ambos bloques, las empresas están esperando por directrices oficiales que les permitan saber qué bases legales podrán usar de aquí en adelante en sus transferencias de datos. La sentencia del llamado Caso Schrems II supone el abandono del marco legal actual con efecto inmediato.
Esta semana, finalmente una autoridad europea de protección de datos ha hecho público un documento de directrices a seguir por parte de las empresas para la transferencia de datos entre EEUU y la UE. Se trata de la autoridad del estado de Baden-Württemberg en Alemania.
A continuación, presentamos los puntos principales de esta guía que las empresas y organizaciones deberán considerar a la hora de rediseñar su estrategia de protección de datos.
Hay que actuar ya y no esperar a un nuevo marco legal
Schrems II invalidó el Escudo de Privacidad como mecanismo legal para la transferencia de datos personales. Continuar con este marco legal no es una opción válida y la autoridad alemana advierte de que no dudará en multar a aquellas empresas que se sigan apoyando en este acuerdo como base legal para sus transferencias de datos.
Las cláusulas contractuales modelo no son suficientes por sí mismas
Si una empresa está usando cláusulas contractuales modelo conjuntamente con el Escudo de Privacidad, la autoridad alemana deja claro que estas cláusulas por sí solas no proporcionan una base legal suficiente para las transferencias de datos. Las empresas deben asegurarse de que las autoridades de los países a los que se transfieren datos no tienen mecanismos legales para acceder a ellos. En caso de que sea así, deberán suspender las transferencias hasta que se pueda garantizar un nivel de protección adecuado. Además la autoridad de Baden-Württemberg aconseja utilizar el cifrado de datos y la anonimización como medidas adicionales que refuercen la protección de los datos a transferir.
Reevalúa a tus proveedores de servicios
Las empresas y organizaciones deben asegurarse de que sus proveedores de servicios están al tanto de las novedades que trae la abolición del Escudo de Privacidad y de que tienen que apoyarse en otras bases legales para sus transferencias de datos. Comprobar uno por uno todos los prestadores de servicios involucrados en las transferencias debe ser una prioridad para las empresas de cara a evitar sorpresas desagradables.
Revisa tus contratos
Las empresas y organizaciones deben revisar sus cláusulas contractuales modelo y añadir todas las modificaciones que sean necesarias.
La autoridad alemana recuerda a las empresas que no es el momento de relajarse y esperar sino que deben tomar una postura proactiva. El RGPD está en pleno vigor y las autoridades de protección de datos tienen muchas más herramientas a su disposición para hacer cumplir la ley. La situación es muy distinta a la de 2015, cuando se abolió el Tratado de Puerto Seguro.