Escudo de privacidad invalidado 2020: ¿Qué necesita saber y pueden los SCC brindar un respiro?

El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea (el “TJUE”) emitió su histórica sentencia en el caso Schrems II (asunto C-311/18). En su sentencia, el TJUE concluyó que las Cláusulas contractuales estándar (las “ CCS ”) emitidas por la Comisión Europea para la transferencia de datos personales a procesadores de datos establecidos fuera de la UE siguen siendo válidas, enfatizando la necesidad de un escrutinio caso por caso. . Inesperadamente, el Tribunal invalidó el marco del Escudo de privacidad UE-EE. UU. (va en contra del requisito del artículo 45 (2) (a) del RGPD).

Como lo demuestra la línea de tiempo, Schrems II lleva años en desarrollo y es un caso fascinante. Como resultado del caso, las empresas estadounidenses que hacen negocios en Europa o manejan datos de clientes europeos tendrán que negociar nuevos acuerdos de manejo de datos individuales, llamados Cláusulas contractuales estándar (SCC), con la UE, o dejar de transferir datos de operaciones europeas. a los EE.UU.

El fallo tiene un impacto en

(a) más de 5,000 empresas en los Estados Unidos que se han autocertificado bajo el mecanismo del Escudo de Privacidad, y

(b) un número indefinido de empresas fuera de los Estados Unidos que confiaron en la autocertificación del Escudo de privacidad de los destinatarios para cumplir con las estrictas leyes de protección de datos de la UE.

Reacción de las Autoridades de Supervisión

Tras la decisión de EJC Schrems II, algunas autoridades de supervisión han expresado su opinión sobre el camino a seguir, en particular con respecto al uso continuado de las cláusulas contractuales estándar (SCC). A continuación, hemos resumido los mensajes y hallazgos clave:

Hamburgo

La autoridad de protección de datos de Hamburgo concluye :

Si la invalidez del Escudo de privacidad se debe principalmente a la intensificación de las actividades de inteligencia en los EE. UU., lo mismo debe aplicarse también a las Cláusulas contractuales estándar. Los acuerdos contractuales entre el exportador y el importador de datos son igualmente inadecuados para proteger a los interesados ​​del acceso estatal.

Sin embargo, también ven que

Además de las Normas Corporativas Vinculantes y los acuerdos individuales, es sobre todo el SCC el que puede utilizarse como base para las transferencias a terceros países. Al mismo tiempo, sin embargo, la incertidumbre ha aumentado esta vez: el TJCE está pasando la pelota a las autoridades de supervisión europeas.

Johannes Casper, responsable de la comisión de la DPA de Hamburgo, afirma:

Tras la decisión del TJCE de hoy, la pelota vuelve a estar en el tejado de las autoridades de control, que ahora se enfrentarán a la decisión de cuestionar de forma crítica la transferencia de datos en general a través de cláusulas contractuales estándar.

comisionado federal

Al mismo tiempo, el Comisionado Federal para la Protección de Datos y Libertad de Información (BfDI) , Profesor Ulrich Kelber, asocia la sentencia de hoy del Tribunal de Justicia de las Comunidades Europeas (TJCE) sobre transferencia internacional de datos con un refuerzo de los derechos de los afectados:

El TJUE deja claro que el tráfico internacional de datos sigue siendo posible. Sin embargo, deben respetarse los derechos fundamentales de los ciudadanos europeos. Ahora se deben tomar medidas de protección especiales para el intercambio de datos con los EE. UU. Las empresas y las autoridades ya no pueden transferir datos sobre la base del Escudo de privacidad, que el TJUE ha declarado ineficaz. Por supuesto, daremos consejos intensivos sobre el cambio

Renania-Palatinado

La DPA de Renania-Palatinado ya adoptó un enfoque muy proactivo. Apenas unas horas después de la decisión del TJUE, se publicó un documento de preguntas frecuentes sobre la decisión del TJCE . En cuanto a lo que ahora tienen que hacer los exportadores de datos en relación con el SCC, concluyen:

Los responsables del tratamiento deben comprobar las leyes aplicables al importador de datos en el tercer país al que pretenden transferir los datos y, en su caso, a sus otros socios contractuales en esta relación comercial y si estas leyes afectan a las garantías previstas en las cláusulas contractuales tipo. . Si es necesario, se deben analizar los flujos de datos específicos para determinar qué leyes del tercer país son aplicables en cada caso. Estas obligaciones se aplican a las transferencias de datos a todos los terceros países, no solo a los EE. UU.

Se reconoce la vigencia de la Sentencia SCC

Dado que el Tribunal confirmó la validez de la Decisión SCC de 2010, los flujos de datos de la UE al resto del mundo basados ​​en SCC pueden continuar sin interrupciones. Sin embargo, incluso para las empresas que dependen de SCC para exportar datos fuera del EEE, sería prudente monitorear este espacio de cerca. El comisario de Justicia de la UE, Didier Reynders, emitió un anuncio anticipado el mismo día de la decisión, señalando sus planes para actualizar los SCC a la luz de su importancia ahora creciente.

Invalidación del Escudo de Privacidad sin Período de Transición

Dado que el Tribunal también decidió evaluar el Escudo de privacidad y lo consideró inválido, todos los flujos de datos que se basen en este marco serán ilegales.

El Escudo de privacidad ahora enfrenta el mismo destino desafortunado que el programa Safe Harbor en 2015. Similar a la disputa que ocurrió después de la invalidación del programa Safe Harbor, es posible que veamos a los gobiernos de EE. UU. y la UE reunirse para reparar los defectos destacados por la decisión del TJUE. Pero, hasta que se resuelvan estos defectos, cualquier empresa que confíe en el Escudo de privacidad para transferir datos correctamente debe cambiar a otras medidas que se hayan considerado explícitamente como salvaguardas apropiadas, como las SCC, el consentimiento del usuario y las Normas corporativas vinculantes (BCR).

Dado que las autoridades reconocen que los SCC aún funcionan como base, esperamos que las autoridades permitan a las organizaciones un período de gracia para cumplir con las transferencias después de la sentencia. Se permitió un período de gracia de 6 meses después de la caída de Safe Harbor en 2015. Dado el impacto más amplio, sería razonable repetir esto ahora y potencialmente extender este período.

Próximos pasos para las organizaciones

Las empresas deben prepararse ahora para la era posterior al Escudo de privacidad y obtener reglas corporativas vinculantes (BCR) y cláusulas contractuales estándar (SCC) para su propia protección de datos.

1. Si bien los SCC siguen siendo válidos, las organizaciones que actualmente dependen de ellos deberán considerar si, teniendo en cuenta la naturaleza de los datos personales, los propósitos y el contexto del procesamiento y el país de destino, existe un "nivel adecuado de protección". para los datos personales según lo exige la legislación de la UE. Cuando ese no sea el caso, las organizaciones deben considerar qué salvaguardas adicionales pueden implementarse para garantizar que, de hecho, haya un "nivel adecuado de protección".
2. Las organizaciones que actualmente se basan en el marco del Escudo de la privacidad entre la UE y los EE. UU. deberán identificar con urgencia un mecanismo alternativo de transferencia de datos para continuar con las transferencias de datos personales a los EE. la transferencia es necesaria para ejecutar un contrato), y las SCC o las Normas Corporativas Vinculantes también deben considerarse como mecanismos alternativos.

En definitiva, las empresas sujetas al RGPD deben considerar

(i) sus datos fluyen a los EE. UU.,

(ii) el mecanismo legal respectivo para tales transferencias a los EE. UU., y

(iii) si el Escudo de privacidad UE-EE. UU. es el mecanismo de transferencia actual, establecer un mecanismo de transferencia legítimo para tales actividades.

Lo que hará Convert

1. Esté atento a la orientación de las autoridades supervisoras, el Consejo Europeo de Protección de Datos y la Comisión Europea.
2. Evalúe qué datos se transfieren fuera de la UE y sobre qué base realizando un ejercicio de mapeo de datos. En este ejercicio buscamos:
   1. Transferencias de datos a organizaciones que participan en el Escudo de Privacidad,
   2. Transferencias de datos que se basan en cláusulas contractuales estándar: tenga en cuenta cualquier transferencia de datos a importadores de EE. UU. que se basen en SCC en particular,
   3. Transferencias de datos que se basan en normas corporativas vinculantes y que implican transferencias de datos a EE. UU.
3. Informe a los usuarios activos y de prueba mediante mensajes en la aplicación sobre las próximas acciones. En resumen, para nuestros clientes cuyas transferencias de datos de la UE ya estaban cubiertas por SCC, no es necesario hacer nada. Para aquellos que anteriormente estaban cubiertos por Privacy Shield, la adopción de las cláusulas contractuales estándar (SCC) de la UE es un camino necesario a seguir. Si es un cliente de Convert que busca incorporar SCC, su Héroe del éxito del cliente de Convert se pondrá en contacto con usted para comenzar el proceso de incorporación de las Cláusulas contractuales estándar en nuestro(s) acuerdo(s) actual(es) con usted.
4. Firmar Acuerdos de Procesamiento de Datos (DPA) actualizados y/o Cláusulas Contractuales Estándar (SCC) con todos los subprocesadores.
5. Póngase en contacto con Privacy Shield para recibir actualizaciones sobre la decisión de Schrems II.
6. Actualice nuestro Aviso de privacidad para incluir un enlace a las SCC prefirmadas.
7. Actualice la página de DPA para reflejar el estado actual.
8. Esté atento a otros mecanismos de transferencia de datos.