Skip to main content
escudo de privacidad ue-ee.uu

Escudo de privacidad: Derogación y consecuencias

Cuando utilizamos redes sociales, compramos a través de internet o usamos servicios de almacenamiento en la nube, estamos transfiriendo nuestros datos personales. El Escudo de Privacidad entre la Unión Europea y los Estados Unidos permitía que estos datos se transfirieran de una empresa de la UE a otra de EEUU, solamente si esta empresa procesaba los datos personales de acuerdo a unas normas de protección y salvaguardias bien definidas.

De acuerdo con sus creadores, el objetivo del escudo de privacidad era proporcionar seguridad jurídica para dar mayor nivel de protección a los ciudadanos y a las empresas europeas que intercambian datos con Estados Unidos. Este acuerdo de datos entró en vigor a principios del 2016 y fue el sucesor del acuerdo de puerto seguro.

De esta forma las empresas estadounidenses se verían obligadas a guardar los datos de los ciudadanos de la Unión Europea, siempre y cuando lo usaran para su propósito original. Este acuerdo fue criticado desde sus inicios, ya que los expertos vieron indicios de que no ofrecía nada nuevo respecto a su predecesor el acuerdo de puerto seguro.

Dado que el escudo de privacidad proporcionaba una mejor protección de los datos, pero no alcanzaba el estándar europeo, sobre todo estaba el detalle de que el servicio secreto de Estados Unidos podía tener acceso sin restricciones a los datos de los ciudadanos de la Unión Europea, fue lo que hizo que el Tribunal de Justicia de la Unión Europea (TJUE) lo declarara invalido.

Derogación de escudo de privacidad ente EU y EE. UU

Si bien el escudo de privacidad permitía las transferencias internacionales de datos entre la Unión Europea y Estados Unidos, tenía detalles que hicieron que el Tribunal de Justicia de la Unión Europea (TJUE) lo anulara, esta decisión causó caos en las relaciones comerciales entre EEUU y UE, además de que significa un atraso de 5 años.

Comencemos por su aprobación. Fue en el 2016 cuando la comisión europea tomó la decisión de validar las transferencias de datos personales entre UE y EEUU, siempre y cuando la empresa que recibía los datos se acoplara al sistema de control “Escudo de Privacidad”. Así dieron una solución para el problema presentado en el 2015 frente a la anulación del antiguo esquema de transferencias internacionales “Puerto Seguro”, debido a la denuncia del austriaco Maximiliam Schrems frente a Facebook.

Esta denuncia se basaba en que los datos que se transferían entre UE y EEUU a través de Facebook, realmente no estaban seguros, ya que el gobierno y las agencias de seguridad americanas tenían acceso a todos los datos. Esto implicaba incumplir las garantías y derechos que la UE le otorga a sus ciudadanos, sobre todo el de la privacidad y protección de sus datos.

Esto llevó a que el TJUE anulara el Puerto seguro, pues no contaba con un marco general de cumplimiento. Las consecuencias de esto causaron un terrible caos para las empresas que transferían datos de la UE a EEUU, o que en su defecto usaban prestadores de servicios que se encontraban en EEUU. Por ello, con la aprobación del Escudo de privacidad en 2016, se dio solución a este problema, ya que volvió a permitir las transferencias internacionales fáciles y rápidas.

No obstante, vuelve a pasar lo mismo que en 2015, ya que Schrems vuelve a denunciar que las cláusulas contractuales tipo como el Escudo de privacidad, incumplen con los derechos fundamentales al transferir datos entre UE y EEUU, haciendo que Irlanda volviera a presentar una cuestión prejuicial ante el TJUE, haciendo que volvieran a anular el sistema, y se generara la sentencia Schrems 2, pero mantienen la validez de las cláusulas contractuales tipo.

Dicha sentencia ha hecho que gran parte de las transferencias de datos internacionales que se realizan diariamente entre UE y EEUU, sean ilegales, haciendo que las empresas tanto exportadoras como importadoras, opten por otras garantías que sean adecuadas de forma inmediata, como firmar unas cláusulas contractuales tipo o pedir autorización a la autoridad de control, que modifiquen sus políticas de privacidad y realicen análisis de riesgos internos, para así evitar los riesgos de tener que asumir grandes sanciones por incumplir el RGPD (puede alcanzar los 20 millones de euros o el 4% de su facturación anual).

escudo de privacidad

Consecuencia de la anulación

Lo que ocurrirá ahora es que las empresas no podrán continuar con la transferencia de datos personales de sus usuarios a servidores que se encuentren en EEUU, pues desde el 16 de julio de 2021 estas acciones son ilegales y van contra el RGPD.

Esto no significa que las empresas que se suscribieron al escudo de privacidad se van a paralizar, según los expertos hay alternativas a esta sentencia, tal como ya lo mencionamos.

La alternativa más típica que manejan es la de las cláusulas contractuales tipo, que se establecen mediante un contrato entre el exportador e importador de los datos, esto permitiría que continúen dichas transferencias de datos internacionales, teniendo garantías por parte del receptor, y claro está, se mantiene mientras el gobierno americano no tenga acceso a los datos, de lo contrario el contrato se declararía nulo.

Esta sentencia tiene muchas críticas, pues algunos opinan que dichas cláusulas contractuales tampoco cuentan con las garantías que exige el TJUE, pues las empresas en EEUU, no pueden garantizarles que el gobierno americano no tendrá ninguna intromisión. Con tanto dilema, se encuentran a la espera las autoridades relacionadas con la protección de datos de cada país que conforma la UE, para que haya un pronunciamiento con respeto a este caos, donde las autoridades europeas hagan las aclaratorias necesarias y den soluciones alternativas.

No obstante, hay quienes se preguntan si existe alguna solución definitiva que evite la necesidad de la transferencia de datos, y el asunto es que se debe prestar atención particular a cada caso, basándose en las transferencias de datos que se hagan.

Hay expertos que mencionan que una posible solución podría ser que dichas empresas almacenen y administren los datos personales de sus usuarios en servidores que estén fuera de EEUU, es decir en suelo europeo, así estos se apegarían a la política de datos de la UE, aunado a esto, ya están surgiendo soluciones en la nube que pueden ser otra solución alternativa. Estas soluciones se traducen en costes adicionales para las empresas, pero a su vez serían una ventaja por la facilidad de los trámites que deberían hacer.

Debido a todo esto, EEUU ha indicado que su postura no es la misma que la UE, alegan que, si la UE tomara en serio la privacidad de los usuarios, entonces sus datos en realidad estarían más seguros bajo la legislación que existe en EEUU.

Lo cierto de todo esto, es que la UE debe hacer un pronunciamiento pronto sobre la decisión que tomarán y cuáles serán los pasos a seguir sobre las empresas afectadas, por ahora, estas deberán buscar soluciones alternativas como las que se mencionaron, para poder seguir tratando los datos personales de los usuarios y que se mantengan dentro de la normativa europea.

Esperamos que con este post estés más al tanto sobre este conflicto y lo que se espera, si conoces alguien que le interese la información no dudes en compartirlo, quizás le aclares las dudas que tenga.