El Reglamento(UE) 2016/679 General de Protección de Datos (en adelante RGPD), indica en su artículo 44:

“Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional.

Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado.

Y a continuación en los artículos 45 RGPD y siguientes, desarrolla el artículo 44 RGPD indicando diferentes condiciones mediante las que se pueden realizara transferencias internacionales de datos: (i)transferencias basadas en decisión de adecuación de la Comisión Europea, (ii) transferencias internacionales mediante garantías adecuadas, (iii) Normas corporativas vinculantes, etc. o algunas excepciones a la regla general del artículo 44 RGPD que se recogen en el artículo 49 RGPD

Imagen de Sumanley xulx en Pixabay

En el caso de las empresas de Estados Unidos y con el fin de garantizar que las transferencias y tratamientos de datos cumplían con las garantías adecuadas a la normativa sobre protección de Datos, y con este fin se aprobó en Julio de 2016 un acuerdo marco entre Estados Unidos y la Unión Europea. La comisión Europea adoptó la decisión de adecuación sobre este acuerdo “EU-US Privacy Shield” que obligaba a las empresas que se adscribieran al mismo a cumplir con determinadas obligaciones con el fin de garantizar la privacidad y las obligaciones y medidas de seguridad necesarias para garantizar un nivel de protección adecuado a los tratamientos de datos personales.

En la práctica, las empresas adscritas a este acuerdo de “Privacy Shield” eran empresas que aplicaban medidas de seguridad suficientes a los tratamientos de datos personales de acuerdo con la normativa de protección de datos y por lo tanto, aunque se encontrasen fuera del Espacio Económico Europeo, garantizaban los principios del RGPD .

Pero con la sentencia de 16 de Julio de 2020 Dictada por el Tribunal de Justicia de la Unión Europea en el Asunto C-311/18, este Tribunal ha anulado la decisión de adecuación del acuerdo de Privacy Shield, por entender (resumidamente) que: 

1. los derechos de los que el titular de los datos dispone no son los mismos en EEUU que en Europa.
2. La existencia de normativa interna en EEUU en relación al acceso y utilización de información por parte de las autoridades estadounidenses a los datos transferidos a empresas de EEUU y que establece límites a la protección de datos que no están regulados de forma equivalente
3. la facultad de EEUU de limitar el derecho a la protección de datos mediante programas de vigilancia a las empresas estadounidenses. Facultad que impone limitaciones a la protección de datos que el tribunal considera en ocasiones desproporcionadas 
4. considerar que los mecanismos de tutela del derecho a la protección de datos que prevé “Privacy Shield” no garantizan un nivel de protección suficiente 

De forma que las transferencias internacionales a empresas u organizaciones de Estados Unidos, solamente se podrán realizar mediante alguna de las otras garantías que indica el RGPD y por lo que todos aquéllos responsables del tratamiento que venían trabajando con empresas de Estados Unidos y que vayan a seguir trabajando con estas, se ven obligados a revisar la garantía adecuada mediante la que realizar transferencias internacionales.

Equipo Govertis