Para poder llevar a cabo transferencias internacionales de datos, esto es, el envío o recepción de datos personales entre entidades dentro del territorio europeo y otras establecidas en países fuera del Espacio Económico Europeo, es necesario que el responsable o encargado de tratamiento que desee llevarlas a cabo, garantice que la transferencia tendrá lugar siguiendo lo dispuesto en el Reglamento General de Protección de Datos (RGPD). En esta publicación profundizaremos en los requisitos para las transferencias internacionales de datos a EEUU.

Existen diferentes mecanismos establecidos por la Comisión Europea para garantizar el nivel adecuado de protección, que variarán dependiendo del territorio con el cual se lleve a cabo el flujo de datos. 

Particularmente común es la existencia de flujo de datos entre el Europa y EEUU, pero ¿qué requisitos deben cumplir en la actualidad las transferencias internacionales de datos entre estos territorios?

La caída del Privacy Shield

Se denomina Privacy Shield o “Escudo de la privacidad UE-EEUU” al acuerdo firmado entre EE.UU. y la Unión Europea en el año 2016. El principal objetivo del Escudo de Privacidad era servir como marco legitimador para garantizar que las entidades estadounidenses que tratasen datos de ciudadanos europeos lo hiciesen de conformidad con el RGPD. Esta norma reguladora resulta clave a la hora de realizar transferencias internacionales de datos a EEUU.

No obstante, el 16 de julio de 2020 el Tribunal de Justicia de la Unión Europea (TJUE) publicó la sentencia Schrems II que declaró que el Privacy Shield no garantizaba la no injerencia a de las autoridades estadounidenses en los datos personales de ciudadanos europeos tratados por sus empresas, ya que no reconocían el Escudo de Privacidad.

Garantías en las transferencias internacionales de datos a EEUU

Las entidades receptoras de los datos que se encuentren en terceros países fuera del Espacio Económico Europeo deberán garantizar que el tratamiento de los datos se llevará a cabo con el nivel adecuado de protección de acuerdo a la normativa europea de protección de datos.

Entre los diferentes modos de garantizar el nivel adecuado de protección, la Comisión Europea establece los siguientes: 

• Que las entidades receptoras de los datos se encuentren en un país, un territorio o uno o varios sectores específicos de ese país u organización internacional que se encuentre enumerado en el listado de territorios declarados de nivel de protección adecuado por la Comisión Europea: https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/transferencias-internacionales 
• A falta de decisión de adecuación, que ofrezca las garantías adecuadas de protección, que podrán ser aportadas, por ejemplo, a través de las Cláusulas Contractuales Tipo.
• Que exista autorización de la Agencia Española de Protección de Datos (AEPD), en caso de que la transferencia se lleve a cabo desde España.
• Que existan normas corporativas vinculantes.

Las nuevas Cláusulas Contractuales Tipo (CCS)

Tras la caída del Privacy Shield y teniendo en cuenta que EE. UU. no se encuentra en lista de destinatarios adecuados de la Comisión Europea, para poder efectuar transferencias de datos personales con organizaciones de aquel país, es necesario incluir las CCS en los contratos.

Las CCS que se encuentran vigentes en la actualidad fueron publicadas el 4 de julio de 2021 a través de la Directiva 2021/914  https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:32021D0914 . Con el objetivo de adoptar los criterios señalados por el Tribunal de Justicia de la Unión Europea (TJUE) en la sentencia del caso Schrems II.

Estas nuevas Cláusulas Contractuales Tipo abarcan las diferentes casuísticas que pueden darse en relación a las transferencias internacionales de datos teniendo en cuenta sus actores, esto es, si se llevan a cabo entre responsable a responsable, responsable a encargado, encargado a encargado o encargado a responsable del tratamiento de los datos. 

En el Anexo de la Directiva 2021/914, se enumeran las CCS que deben ser incluidas en los contratos cuando se lleven a cabo transferencias internacionales de datos legitimadas bajo este mecanismo. En total existen 18 CCT, siendo las 8 primeras generales y aplicables a las transferencias entre todo tipo de actores. A partir de la novena cláusula, su contenido debe adaptarse dependiendo de las condiciones específicas para cada tipo de transferencia.

Asimismo, sigue siendo necesario que el exportador de los datos analice el impacto que la legislación y/o la práctica vigente en el país del importador pueda tener en el nivel de protección y deberán tenerse en cuenta las directrices del Comité Europeo de Protección de Datos sobre las medidas suplementarias que se considere adecuado adoptar para garantizar ese nivel adecuado de protección.

Entrada en vigor de las nuevas Cláusulas Contractuales Tipo (CCS)

Las nuevas cláusulas contractuales tipo entraron en vigor el 27 de septiembre de 2021, si bien, los contratos que se hubieran firmado de acuerdo a las anteriores CCS continuaron siendo válidos hasta el 27 de septiembre de 2022.

Nuevo acuerdo entre Europa y EEUU

El pasado 25 de marzo la Unión Europea y EEUU, tras dos años de negociaciones, anunciaron un nuevo acuerdo sobre el marco legal de las transferencias de datos personales entre ambos territorios.

Este nuevo acuerdo denominado “Marco Transatlántico de Protección de Datos” tendrá como objetivo sustituir al Privacy Shield y establecer un nuevo marco jurídico para la realización de transferencias internacionales entre Europa y EEUU. 

Por el momento, es necesario esperar para conocer el avance en la configuración de este futuro Marco Transatlántico de Protección de Datos.

Desde Type of Legal esperamos haberte ayudado a conocer algo más sobre los requisitos para las transferencias internacionales de datos a EEUU. Si cuentas con alguna duda, estaremos encantados de ayudarte.