Europa ha asestado un mazazo contra las empresas norteamericanas que traten datos de ciudadanos europeos tras anular el acuerdo denominado como Privacy Shield.
Se trata de un acuerdo firmado hace cuatro años que permitía transferir los datos personales de los ciudadanos de los Estados miembros a Estados Unidos. La decisión de invalidar este acuerdo se justifica en que la Unión Europea no confía en que la información sea tratada con las garantías pertinentes en términos de privacidad.
Esto supone un duro golpe para las empresas norteamericanas con intereses en la región, pero es especialmente cruda con las corporaciones que tienen su razón de ser en el tratamiento de datos, como es el caso de Google, Amazon, Facebook o Apple -los denominados gafa-, cuyos negocios no tendrían sentido sin el manejo de la información personal de los usuarios.
Estas empresas tienen la razón de ser de su negocio en la comercialización de publicidad y la personalización de contenidos, para lo cual es imprescindible el tratamiento de datos personales, con el fin de orientar la publicidad o los citados contenidos a gusto de cada usuario.
"Gigantes como Google o Facebook tienen basadas muchas de las transferencias de datos de empresas radicadas en la UE en el Privacy Shield. Se ha abierto un vacío legal para estas empresas. Además, no se ha establecido un periodo transitorio. La solución podría ser el uso de cláusulas contractuales estándar contempladas por la UE y que ofrecen garantías suficientes sobre la protección de datos para que los datos se transfieran internacionalmente. El problema es que estas cláusulas de momento no se han ajustado al Reglamento General de Protección de Datos", explica Paloma Bru, responsable del área de Tecnología, Medios y Telecomunicaciones del despacho de abogados Pinsent Masons en España.
Hasta el momento más de 5.000 empresas y corporaciones se encuentran dentro del marco legal establecido bajo el paragüas del Privacy Shield. El 70% de estas organizaciones son pymes
"Todos estos prestadores deberán buscar una nueva base para poder realizar las transferencias internacionales de datos a Estados Unidos, teniendo en cuenta que las cláusulas requieren también analizar las garantías que existen en el país de destino. Dejando de lado que las autoridades dejarán margen para la adaptación, porque serán conscientes de las dificultades de este caso, se dificulta mucho el negocio de empresas que cuentan con transferencias aplicando el Privacy Shield de forma ordinaria, especialmente el de las tecnológicas", explica Sergio García Mayans, abogado de Faseconsulting especializado en nuevas tecnologías.
Vozpópuli ha intentado contactar con Amazon y Google para valorar el alcance de la decisión tomada por la justicia europea. El gigante del comercio electrónico ha declinado hacer declaraciones al respecto mientras Google se ha remitido a un comunicado publicado por la Computer & Communications Industry Association (CCIA), la patronal de las tecnológicas.
“Esta decisión crea incertidumbre legal para las miles de empresas grandes y pequeñas en ambos lados del Atlántico que confían en Privacy Shield para sus transferencias diarias de datos comerciales. Confiamos en que los responsables de la toma de decisiones de la UE y los EE. UU. Desarrollen rápidamente una solución sostenible, de acuerdo con la legislación de la UE, para garantizar la continuación de los flujos de datos que sustentan la economía transatlántica. Esperamos que las autoridades encargadas de hacer cumplir la ley otorguen a los signatarios del Escudo de Privacidad tiempo para migrar a mecanismos legales alternativos”, explica Alexandre Roure, Gerente Senior de Políticas Públicas de CCIA.
Hasta el momento más de 5.000 empresas y corporaciones se encuentran dentro del marco legal establecido bajo el paraguas del Privacy Shield. El 70% de estas organizaciones son empresas de tamaño pequeño o mediano (pymes). Múltiples filiales de empresas norteamericanas se encuentran adscritas al acuerdo desde hace ya varios años.
La denuncia de un austriaco
La justicia europea ha tomado esta decisión después de una reclamación interpuesta por un usuario austriaco de Facebook llamado Maximiliam Schrems en la cual pedía que sus datos dentro de la red social no fuesen transferidos a servidores situados en Estados Unidos.
El tribunal europeo ha considerado que los datos personales utilizados con fines comerciales no pueden ser transferidos desde Facebook Ireland -la filial europea de la compañía fundada por Mark Zuckerberg- a los equipos de Facebook Inc. instalados en EEUU.
Europa precisa en la resolución que las transferencias de datos personales realizadas con fines comerciales deben estar amparadas por el Reglamento General de Protección de Datos (RGPD), la normativa europea que garantiza el correcto tratamiento de los datos personales de los ciudadanos del viejo continente. "El país receptor de los datos debe ofrecer un "nivel de protección equivalente al garantizado dentro de la Unión Europea", explica la justicia europea en la resolución.