El pasado jueves el TJUE dictó la esperada sentencia Schrems II, haciendo priorizar la protección de los datos personales de los europeos sobre las facultades de vigilancia estatal de las autoridades gubernamentales de EEUU. Es la segunda victoria consecutiva que logra este joven abogado austriaco cuestionando los mecanismos de transferencia internacional entre dos mercados, como el europeo y americano, que mueven 7,1 trillones de dólares. La primera victoria de Schrems había sido en el año 2015, cuando el TJUE le dio la razón y determinó en el derrumbe del Safe Harbour que regía dichas transferencias desde el año 2000.
El Reglamento General de Protección de Datos de la Unión Europea (en adelante “RGPD”), vigente desde mediados de 2018, crea un estricto régimen uniforme de privacidad de datos en toda la Unión Europea, que va mucho más allá de lo que exige la ley de privacidad de EEUU.
RGPD construye un "muro" de protección de datos alrededor del perímetro de la UE y por lo cual los datos personales sólo pueden salir del territorio de la UE hacía otros países, a través de alguna de aquellas ventanas expresamente aprobadas.
Las ventanas son diferentes mecanismos de transferencia de datos que están autorizados bajo el RGPD, entre ellos pueden mencionarse:
Todas estas ventanas tienen como común denominador que buscan garantizar que los datos personales una vez transferidos desde la UE continúen protegidos con estándares de privacidad que se aproximen a los del RGPD. La ventana cuya legalidad se discute en el caso Schrems II es la conocida como Privacy Shield (que es un acuerdo para transferencia de datos entre UE y EEUU desde 2016, y que reemplazó al Safe Harbor, ventana abandonada porque este mismo tribunal en el caso Schrems I consideró que era ilegal después de las revelaciones de Snowden en cuanto a las actividades de vigilancia estatal).
En forma resumida, en la sentencia Schrems II, el TJUE sostiene que:
¿Qué importancia tiene para las empresas de LATAM?
Se confirma la relevancia de ser considerado país con legislación adecuada bajo RGPD, como en los casos de Argentina y Uruguay, por ser el título más estable para la transferencia internacional de datos personales, al poder ser modificado solamente por la Comisión Europea. Sin embargo la decisión de “adecuadas” estaría siendo revisadas bajo el RGPD, al haber sido otorgadas cuando regía la Directiva anterior al RGPD.
Ante lo cual, cualquier jurisdicción que aspire a ser considerada viable para poder procesar datos personales de europeos debe estar atenta a los recaudos cambiantes que son exigibles para ser legislación adecuada o país importador de datos europeos bajo SCC y con garantías equivalentes a la UE.
Esta es una buena oportunidad para todas las organizaciones de la región para sacarse una foto, no basta con una selfie, para poder distinguir dónde estan ubicadas en lo que concierne a la protección de datos personales.
¿A mi organización le resulta aplicable el RGPD dado su alcance jurisdiccional extraterritorial? ¿Tengo un mapeo interno de datos en la organización?
¿Cuál es el ciclo de los datos personales dentro de mi organización? ¿Cómo y por qué los recibo? ¿Qué hago con ellos? ¿Recolecto evidencias fehacientes del tratamiento que les doy?
Si se encarga un tercero del tratamiento de datos por los cuáles soy responsable ¿Qué contrato me une a ese tercero?
¿Recibo transferencias internacional de datos de la Unión Europea ya sea por ser legislación adecuada o bajo algún SCC?
¿Transfiero datos personales a mi casa matriz en el exterior? En su caso ¿Bajo qué título?
¿Transfiero datos personales para su tratamiento en jurisdicciones de terceros países (cloud computing, etc.)? ¿Reviso que esos 3eros países tengan garantías equivalente a las del RGPD? ¿Las SCC sobre las que transfiero se aprobaron bajo la Directiva? ¿Están actualizadas a la nuevas exigencias bajo el RGPD?
Si necesitas ayuda para responder e implementar aquellas medidas que acrediten una responsabilidad proactiva en la gestión de aquellos datos personales bajo tu responsabilidad y custodia, contamos con un equipo multidisciplinario regional que puede asesorarte adecuadamente en este tipo de temáticas, que pese a presentar una marcada complejidad se vuelven cada vez más habituales en la gestión de las organizaciones en la región.