Escudo de privacidad TJCE

El TJCE declara inválido el Escudo de Privacidad - Qué significa la sentencia para los operadores de sitios web

El 16 de julio de 2020, el Tribunal de Justicia de las Comunidades Europeas (TJCE) declaró inválido el Escudo de la Privacidad. Esta sentencia afecta, entre otros, a todos los operadores de sitios web que utilizan los servicios de empresas estadounidenses. En este artículo, te explico lo que significa la sentencia para ti como operador de sitios web o agencia y lo que tienes que hacer ahora.

Situación jurídica inicial

Todo tratamiento de datos requiere una base legal

Todo tratamiento de datos personales requiere una base jurídica (artículo 6 1GDPR ) ). Las bases legales más importantes en relación con los sitios web son

  • El consentimiento del sujeto de los datos (por ejemplo, para el establecimiento de cookies);
  • el cumplimiento de una obligación contractual (por ejemplo, en el caso de las tiendas online);
  • el interés legítimo del responsable o del operador del sitio web (por ejemplo, para responder a las consultas por correo electrónico).

El consentimiento se obtiene tradicionalmente en los sitios web mediante una casilla de verificación. El mejor ejemplo de esto son los banners de cookies, mediante los cuales el visitante del sitio web consiente la instalación de determinadas cookies (por ejemplo, cookies de marketing o de seguimiento). Si quieres saber más sobre esto, encontrarás más información en mi artículo "Banners de galletas - ¡pero hazlo bien! Estas 7 cosas que debes tener en cuenta".

Sin embargo, las bases jurídicas mencionadas anteriormente sólo se refieren al tratamiento de datos propiamente dicho.

Base legal adicional necesaria para las transferencias de datos fuera de Europa 

Si el tratamiento de datos no va a tener lugar en la UE, sino en un país no europeo, es decir, en un llamado tercer país, se requiere una base jurídica adicional.

Estos fundamentos jurídicos para la transferencia de datos personales a terceros países se encuentran en los artículos 44 y adelante del GDPR.

De especial relevancia para los operadores de sitios web son las llamadas decisiones de adecuación de la Comisión Europea (Art. 45 RGPD).

Con una decisión de este tipo, la Comisión decide que un tercer país ofrece un nivel adecuado de protección de datos y que los datos personales pueden transferirse al tercer país.

En el pasado se han tomado decisiones de adecuación con varios países, como Suiza, Australia y Nueva Zelanda. 

El Escudo de Privacidad

El Escudo de la Privacidad fue una decisión de adecuación de la Comisión Europea para las transferencias de datos a Estados Unidos. Se adoptó en julio de 2016 y sólo unos meses después de que el acuerdo de Puerto Seguro (el predecesor del Escudo de la Privacidad) fuera anulado por el TJCE.  

En virtud del Escudo de la Privacidad, las empresas estadounidenses podrían comprometerse voluntariamente a un determinado nivel de protección de datos cuando traten datos personales de la UE. Después de esta certificación, los datos personales de la UE podrían ser transferidos a ti.

La sentencia del Tribunal de Justicia de la Comunidad Europea en el caso Privacy Shield

La sentencia del TJCE se produjo a raíz de una petición de decisión prejudicial del Tribunal Superior de Irlanda al TJCE, que se basaba en un caso presentado por el activista austriaco de la protección de datos Maximilian Schrems contra Facebook Ireland Ltd.

Con su sentencia del 16 de julio de 2020, el TJCE ha declarado inválido el Escudo de la Privacidad. Esto significa que todas las transferencias de datos personales de la UE a EE.UU. basadas en el Escudo de la Privacidad como base jurídica son ahora ilegales.

Eso suena dramático y lo es.

Las consecuencias de la sentencia para los operadores de sitios web

Casi todos los sitios web se verán afectados por las consecuencias de la sentencia. Esto se debe a que, por regla general, casi todos los sitios web han integrado por lo menos un servicio de una empresa estadounidense, que es prestado no sólo por filiales europeas (como Facebook Ireland Ltd. y Google Ireland Ltd.) sino también por la respectiva empresa matriz estadounidense (como Facebook Inc. y Google LLC).

Con muchos de estos servicios, los datos personales se transmiten a EE.UU. (posiblemente en función de los ajustes realizados). Algunos ejemplos de estos servicios son:

  • Servicios de Google como Google Analytics, Google Maps o Google Fonts (a menos que estén integrados localmente);
  • Servicios de newsletter (por ejemplo, Mailchimp);
  • Plugins de  medios sociales (Facebook, Instagram, YouTube, Twitter, etc.)
  • Servicios de backup en la nube;
  • Soluciones para tiendas online.

Si el operador de un sitio web ha redactado correctamente su declaración de protección de datos, debe contener la siguiente declaración para cada servicio en el que se puedan transferir datos a EEUU:

"La empresa estadounidense XYZ también procesa tus datos personales en EE.UU. y se ha sometido al Escudo de Privacidad UE/EE.UU. Para más información sobre el Escudo de la Privacidad, consulta: https://www.privacyshield.gov/EU-US-Framework."

Posibles bases legales alternativas para la transferencia de datos

Las transferencias de datos a EE.UU. que se han realizado hasta ahora sobre la base del Escudo de la Privacidad sólo están permitidas con efecto inmediato o hasta una nueva decisión de adecuación de la Comisión si pueden basarse en otra base jurídica.

Se considera que son:

Consentimiento del interesado

La base legal para los operadores del sitio web es principalmente el consentimiento explícito del sujeto de los datos (Art. 49 párrafo 1 lit a RGPD). Sin embargo, es un requisito previo que el interesado haya sido informado de los riesgos de la transferencia de datos antes de dar su consentimiento.

Transmisión para la ejecución del contrato

También es posible que la transferencia de datos personales a EE.UU. sea necesaria para la ejecución de un contrato entre el interesado (el visitante del sitio web) y el responsable (el operador del sitio web).

Sin embargo, no basta con que el operador del sitio web quiera utilizar el servicio de una empresa de los Estados Unidos (por ejemplo, un plugin de tienda en línea de los Estados Unidos) para tramitar el contrato. Más bien, es necesario que el contrato en sí mismo tenga una referencia en los EE.UU., por ejemplo, que sea ordenado desde una tienda web de EE.UU.

Cláusulas estándar de protección de datos de la Comisión Europea

No es muy probable que la transferencia de datos personales a EE.UU. pueda basarse en las cláusulas estándar de protección de datos emitidas por la Comisión Europea (Art. 46 párrafo 2 lit. c RGPD).

Las cláusulas tipo de protección de datos son modelos de contrato que pueden celebrarse entre un exportador de datos con sede en la UE y un importador de datos con sede en un tercer país. Con ellas, el importador de datos no europeo garantiza al exportador de datos que los datos personales transferidos gozarán de un nivel de protección comparable al de RGPD .

En su sentencia sobre el Escudo de la Privacidad, el TJCE decidió que el contenido de las cláusulas estándar de protección de datos no es objetable. Sin embargo, debe ser posible exigir el cumplimiento efectivo en el tercer país.

Si esto es realmente posible para las transferencias de datos a los EE.UU. parece muy dudoso. El Tribunal de Justicia de la Comunidade Europea ha declarado ineficaz el Escudo de Protección de la Privacidad, entre otras razones, porque los ciudadanos de la UE no tendrían una protección jurídica adecuada contra los programas de vigilancia de datos de las autoridades estadounidenses. Y es probable que esta situación sea prácticamente idéntica en el caso de las cláusulas estándar de protección de datos.

Por este motivo, el TJCE también dictaminó en su sentencia que las autoridades de control de la protección de datos están obligadas a suspender o prohibir una transferencia de datos personales a un tercer país basada en cláusulas estándar de protección de datos si consideran que éstas no se cumplen o no pueden cumplirse en el tercer país. 

Por lo tanto, es de esperar que las transferencias de datos a EE.UU. que se basen en las cláusulas estándar de protección de datos sean objetadas por las autoridades de protección de datos y declaradas inadmisibles.

Lo que tú, como operador de un sitio web, debes hacer ahora

Como todas las tranferencias de datos personales a los EE.UU. basadas en el Escudo de Privacidad son ahora ilegales, los operadores de los sitios web deben implementar las siguientes medidas:

#1 Selecciona el servidor europeo

Algunas empresas estadounidenses ofrecen sus servicios a través de servidores europeos. En este caso, los operadores de sitios web deben elegir el servidor europeo.

#2 Obtener el consentimiento de los sujetos de los datos

Si la elección de un servidor europeo no es posible, debe obtenerse el consentimiento explícito del interesado para la transferencia de sus datos personales a Estados Unidos. Este consentimiento podría darse mediante una casilla de verificación, como ocurre cuando se establecen las cookies.

Dado que cada sitio web que instala cookies debe tener un banner de cookies con las correspondientes instrucciones y casillas de verificación para la instalación de cada una de las cookies, esto podría complementarse con más información (de riesgo) y casillas de verificación relativas a las transferencias de datos previstas a EE.UU. Como en toda casilla de verificación, hay que asegurarse, por supuesto, de que el visitante del sitio web haga clic en la casilla por sí mismo (opt-in), ya que las casillas activadas previamente (opt-out) son inadmisibles según la jurisdicción del Tribunal Federal de Justicia.

La única "desventaja" de esta solución de consentimiento es, ciertamente, que el servicio correspondiente puede no estar activo en el sitio web si no se da el consentimiento.

Lo que esto significa se explica brevemente aquí utilizando el ejemplo de Google Fonts:

A veces, las fuentes de Google no están integradas localmente en el sitio web, sino que el navegador web las carga desde los servidores de Google cuando se llama a sitio . Si se hace en un servidor estadounidense de Google, los datos del navegador web, es decir, los datos personales del visitante del sitio web, se transmiten a este servidor de Google en Estados Unidos.

Ya es cuestionable que la recarga de Google Fonts pueda basarse en un interés legítimo del operador del sitio web (personalmente tengo grandes dudas al respecto), ya que las Google Fonts también pueden integrarse localmente. Pero incluso si se asumiera este interés legítimo, se requeriría una base jurídica adicional para la transmisión de los datos personales del navegador web a los servidores estadounidenses de Google. Esta base legal adicional solía ser el Escudo de Privacidad. Como esto ya no es efectivo, la descarga de fuentes de Google desde los servidores estadounidenses de Google requerirá ahora el consentimiento del visitante del sitio web. Si no se diera este consentimiento, no se podrían recargar las fuentes de Google.

Esto significa que, a partir de ahora, las fuentes de Google deberían estar integradas localmente en el sitio web, como muy tarde.

#3 Adaptar la política de privacidad

Es importante adaptar la política de privacidad a la nueva situación legal.

Dado que la declaración de privacidad debe reflejar de forma completa y precisa el tratamiento de datos personales que tiene lugar en un sitio web, no basta con suprimir las referencias anteriores al Escudo de la privacidad, al menos si se siguen utilizando los servicios correspondientes.

De hecho, si la transferencia de datos se basa ahora en el consentimiento del visitante del sitio web, esto también debería mencionarse en consecuencia. Además, en el caso del consentimiento, también deben explicarse los riesgos asociados a la transferencia de datos a los EE.UU., a saber, que los datos personales transferidos a los EE.UU. serán analizados por las autoridades estadounidenses en el marco de los programas de vigilancia de datos estadounidenses y que los ciudadanos de la UE no tienen opciones de protección jurídica adecuadas a este respecto.

Panorama

Después de que el TJCE declarara inválido el acuerdo de Puerto Seguro, la Comisión Europea tardó sólo unos meses en negociar el Escudo de la Privacidad con Estados Unidos.

Debido a la importancia del intercambio transatlántico de datos, que no debe subestimarse, seguramente no pasará mucho tiempo antes de que se encuentre una nueva normativa y la Comisión Europea adopte una nueva decisión de adecuación para la transferencia de datos personales a EEUU.

Y si esto recoge las preocupaciones del TJCE y crea más protección de datos para los ciudadanos de la UE en EE.UU., también es algo positivo para los operadores de sitios web.

¿Te ha gustado el artículo?

Con tu valoración nos ayudas a mejorar aún más nuestro contenido.

Escribe un comentario

Tu dirección de correo electrónico no se publicará. Los campos obligatorios están marcados con *.