El Tribunal de Justicia de la Unión Europea (TJUE) informó el 16.07.2020 de que invalidaba “la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.”. Es decir: anulaba el ‘Privacy Shield’ de 2016 entre la UE y EE.UU., que permitía el intercambio de datos personales con fines comerciales entre ambos territorios, al considerarlo equivalente a las garantías otorgadas por el RGPD.
Esta resolución se produce, dice el comunicado del TJUE, porque “las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización, por las autoridades estadounidenses, de los datos transferidos desde la Unión a ese país tercero no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas, en el Derecho de la Unión, por el principio de proporcionalidad, en la medida en que los programas de vigilancia basados en la mencionada normativa no se limitan a lo estrictamente necesario”.
En otras palabras, el TJUE cree que EE.UU. no da garantías suficientes para proteger la privacidad de los datos, ya que su normativa no es suficientemente estricta o, al menos, no cumple los estándares del Reglamento General de Protección de Datos (RGPD).
Esto implica que el uso de hostings web, CRMs, repositorios documentales, sistemas de correo electrónico… u otros que basen el cumplimiento del RGPD con arreglo al ‘Privacy Shield’ ahora no se podrían usar, o si se usan hay una infracción porque la transferencia internacional de datos sería ilícita, por lo que habría que reformular, entre otras cosas, los contratos de encargo de tratamientos de datos.
Las empresas habrán de adherirse a cláusulas tipo validadas por la Comisión Europea, o crear internamente normas corporativas vinculantes que cumplan con los requisitos del RGPD.