El Tribunal de Justicia de la Unión Europea («TJUE») publicó, el 16 de julio de 2020, su esperada sentencia en el caso conocido como «Schrems II». Se trata del último capítulo del caso Schrems, que es ampliamente conocido por invalidar en 2015 el antiguo “Safe Harbor” que permitía compartir datos entre la UE y Estados Unidos.
Las principales conclusiones de Schrems II son las siguientes:
- El mecanismo que permite el intercambio de datos entre la UE y Estados Unidos conocido como «Privacy Shield» corre la misma suerte que el antiguo «Safe Harbor», es decir, ha sido invalidado.
- Las cláusulas contractuales tipo y las normas corporativas vinculantes siguen siendo válidas, pero no garantizan automáticamente la adecuación. Se requiere una evaluación caso por caso antes de realizar la transferencia internacional de datos.
- Si no hay adecuación, el exportador de datos debe suspender la transferencia inmediatamente.
- Cualquier autoridad de control de protección de datos de la UE puede pedir a los exportadores de datos que dejen de transferir datos a terceros países si considera que no hay suficientes garantías para protegerlos.
A raíz de esta decisión, el Consejo Europeo de Protección de Datos («EDPB») ha publicado recomendaciones que complementan a esta sentencia sobre las medidas suplementarias para las transferencias internacionales de datos, así como sobre las garantías esenciales que deben tenerse en cuenta al analizar la normativa sobre vigilancia de terceros países:
- Estas recomendaciones contienen los pasos que deben seguirse para cada transferencia internacional de datos a raíz de la sentencia Schrems II, desde la identificación de los flujos internacionales de datos hasta la aplicación de garantías y medidas suplementarias para remediarlos.
- Las cuatro garantías esenciales deben utilizarse para analizar las leyes de vigilancia locales de los países de destino: normas claras, necesidad y proporcionalidad, supervisión independiente y recursos efectivos a disposición de los individuos.
- Las medidas suplementarias se presentan como una lista no exhaustiva de medidas técnicas, organizativas y contractuales que deben utilizarse junto con los mecanismos de transferencia de datos existentes (como las cláusulas contractuales tipo o las normas corporativas vinculantes).
Próximos pasos
Los flujos de datos más importantes para las organizaciones suelen tener un componente internacional. A raíz de esta sentencia del TJUE y de las nuevas recomendaciones del EDPB, las organizaciones necesitan diseñar un enfoque para comprender su exposición al riesgo, así como el marco jurídico y los controles para garantizar la protección de los datos personales. Ahora las organizaciones tienen que seguir los siguientes pasos para identificar, evaluar y abordar los riesgos de sus transferencias transfronterizas de datos personales:
- Identificar los flujos de datos internacionales.
- Evaluar los riesgos y considerar si la transferencia debe seguir adelante.
- Aplicar un mecanismo de transferencia de datos adecuado (por ejemplo, cláusulas contractuales tipo)
- Aplicar salvaguardias adicionales para proteger los datos
- Reevaluar periódicamente el nivel de protección de los datos transferidos
