Europa lanza una serie de recomendaciones para la transferencia internacional de datos personales
La anulación de Privacy Shield el pasado mes de julio dejó un marco de inseguridad para las compañías que operan en Europa y Estados Unidos.
El pasado mes de julio, el Tribunal de Justicia de la Unión Europea (TJUE) invalidaba Privacy Shield (Escudo de Privacidad), el marco de intercambio de datos personales desde la Unión Europea a Estados Unidos al que se habían acogido más de 3.300 empresas entre las que se incluían las principales tecnológicas. Esta decisión dejaba un vacío legal que se trató de suplir con la denominada Cláusula Contractual Estándar (SSC, de sus siglas inglesas) que, sin embargo, no ha logrado aportar seguridad jurídica. Pero, para más información, Bruselas ha publicado un documento de 38 páginas en el que trata de orientar a las empresas sobre cómo transferir legalmente los datos personales fuera del Viejo Continente.
Estas recomendaciones, validadas por la Junta Europea de Protección de Datos (EDPB) tratan de complementar el mecanismo SSC y se centran en las medidas que los responsables del tratamiento de la información deben respetar para garantizar el cumplimiento con normativas como el Reglamento General de Protección de Datos (GDPR, en inglés). Entre ellas destaca el mapeo de todas las transferencias internacionales previstas, la verificación de las herramientas que se utilizan en cada caso o la evaluación de los riesgos legislativos que se pueden cometer durante el intercambio. Asimismo, se insta a las empresas a identificar y adoptar medidas complementarias para llevar el nivel de protección a los marcos adoptados por la UE y a revaluar este proceso periódicamente.
En cualquier caso, los gigantes tecnológicos esperan que se llegue a un acuerdo para aprobar una figura jurídica similar a Privacy Shield, algo que según los reguladores europeos tardará en llegar. En estos dos meses se ha instado a las autoridades nacionales a intervenir cuando sospechen de irregularidades. Algo que Irlanda ya hizo con Facebook en septiembre, cuando emitió una orden preliminar para que la red social dejara de hacer esas transferencias de datos de ciudadanos comunitarios al otro lado del Atlántico. Un golpe que podría obligar a la compañía a rediseñar sus servicios y plataformas para aislar la mayoría de la información que recopila en Europa o a suspenderlos temporalmente bajo la amenaza de multas de hasta el 4% de su facturación anual, tal y como contempla GDPR. Llegado el caso, el montante podría ascender hasta los 2.800 millones de dólares.
De hecho, Facebook es una de las multinacionales que más se va a haber beneficiada por este documento ya que acumula varios desafíos legales.
