{"id":7191,"date":"2020-12-09T11:03:24","date_gmt":"2020-12-09T10:03:24","guid":{"rendered":"https:\/\/revistaconsell.com\/ja-no-es-poden-transferir-dades-personals-als-eua\/"},"modified":"2020-12-09T11:15:19","modified_gmt":"2020-12-09T10:15:19","slug":"ja-no-es-poden-transferir-dades-personals-als-eua","status":"publish","type":"post","link":"https:\/\/revistaconsell.com\/es\/ja-no-es-poden-transferir-dades-personals-als-eua\/","title":{"rendered":"\u00bfJa no es poden transferir dades personals als EUA?"},"content":{"rendered":"\n\n\n\t
\n\n\t\t<\/i><\/span> PDF<\/a>\n\n\t<\/div>\n\n\n\n\n\n\n

Les conseq\u00fc\u00e8ncies de la decisi\u00f3 que invalida el \u201cPrivacy Shield\u201d entraran en vigor immediatament. Tot i aix\u00f2, apareixen possibles solucions o alternatives per a les empreses per evitar el m\u00e0xim possible que els afecti aquesta invalidaci\u00f3 de l\u2019\u201cescut de privacitat\u201d.<\/p>\n\n\n\n

El Tribunal de Just\u00edcia de la Uni\u00f3 Europea (TJUE)\u00a0ha invalidat el \u201cPrivacy\u00a0Shield\u201d, un dels acords marc clau que permetia la transfer\u00e8ncia de dades personals entre la UE i els EUA, arran de la Sent\u00e8ncia dictada en el cas \u2018Shrems\u00a0contra Facebook\u2019 (assumpte C-311\/18: EU:C:2020:559<\/a>).<\/p>\n\n\n\n

Qu\u00e8 s\u00f3n les transfer\u00e8ncies internacionals de dades?<\/strong><\/h2>\n\n\n\n

De tots \u00e9s sabut que, en una economia global tan digitalitzada com l\u2019actual, les dades personals s\u00f3n objecte de transmissi\u00f3 entre els milers d\u2019operacions mercantils que es duen a terme di\u00e0riament, no sols dins del territori de la UE sin\u00f3 que traspassa les seves fronteres, per exemple, quan es compren b\u00e9ns o se sol\u00b7liciten serveis online, a l\u2019hora d\u2019utilitzar xarxes socials, quan es contracten serveis d\u2019hosting <\/em>o plataformes cloud<\/em>, per exemple. Com veiem, les transfer\u00e8ncies de dades entre les organitzacions s\u00f3n absolutament necess\u00e0ries i estan a l\u2019ordre del dia.<\/p>\n\n\n\n

No obstant aix\u00f2, la normativa de privacitat europea, que pret\u00e9n protegir els drets dels interessats, no pot ser obstacle per a evitar les transfer\u00e8ncies i entorpir l\u2019activitat econ\u00f2mica, i \u00e9s per aix\u00f2 que el mateix Reglament Europeu de Protecci\u00f3 de Dades (RGPD) ha establert diversos mecanismes perqu\u00e8 aquestes transfer\u00e8ncies internacionals puguin donar-se de manera legal:<\/p>\n\n\n\n

  • D\u2019una banda, existeixen les Decisions de la Comissi\u00f3 Europea, on estableix que un destinatari de dades situat en un tercer pa\u00eds \u00e9s declarat de nivell adequat per complir amb les exig\u00e8ncies del RGPD durant el tractament de les dades transferides (\u00e9s a dir, en usar-los, emmagatzemar-los i\/o transferir-los).<\/li>
  • En segon lloc, i mancant aquesta Decisi\u00f3, poden oferir-se una s\u00e8rie de garanties per a procedir a la transfer\u00e8ncia, com les cl\u00e0usules contractuals tipus, les normes corporatives vinculants (entre filials i la seva matriu, per exemple), adhesi\u00f3 a codis de conducta o mecanismes de certificaci\u00f3.<\/li>
  • I, en tercer lloc, mancant la Decisi\u00f3 o les garanties, \u00fanicament es podr\u00e0 dur a terme la transfer\u00e8ncia si es compleixen una s\u00e8rie de condicions en casos espec\u00edfics establertes en el RGPD o requerir-se d\u2019una autoritzaci\u00f3 expressa per part de l\u2019Autoritat de Control del pa\u00eds on est\u00e0 situat l\u2019exportador.<\/li><\/ul>\n\n\n\n

    Qu\u00e8 \u00e9s el Privacy Shield<\/em>?<\/strong><\/h2>\n\n\n\n

    Amb base en aquests sup\u00f2sits, el Privacy Shield <\/em>\u00e9s la Decisi\u00f3 de la Comissi\u00f3 europea (Decisi\u00f3 (UE) 2016\/1250) on declara que les empreses o organitzacions estatunidenques que s\u2019hi adhereixen a aquest acord marc s\u00f3n qualificades de nivell adequat, despr\u00e9s de complir amb tots els requisits sol\u00b7licitats en aquest acord marc.<\/p>\n\n\n\n

    I, per qu\u00e8 tant de rebombori amb la seva anul\u00b7laci\u00f3?<\/strong><\/h2>\n\n\n\n

    Fa cinc anys, el TJUE ja va invalidar, provocant un gran enrenou, el que era l\u2019antecedent del Privacy Shield<\/em>: el Safe Harbour<\/em>, que era l\u2019acord que permetia, des de l\u2019any 2000, les transfer\u00e8ncies internacionals entre UE i els EUA. Mancant aquest, es podien utilitzar les \u201cCl\u00e0usules Contractuals Tipus\u201d aprovades per la Comissi\u00f3 Europea, com a document a signar entre els exportadors i importadors de les dades abans de realitzar qualsevol transfer\u00e8ncia.<\/p>\n\n\n\n

    L\u2019any 2016 s\u2019aprovava l\u2019Escut de privacitat, per a facilitar les transfer\u00e8ncies. No obstant aix\u00f2, la hist\u00f2ria s\u2019ha repetit. Aquest passat 17 de juliol, el TJUE ha invalidat les transfer\u00e8ncies de dades als EUA que s\u2019emparen en el Privacy Shield<\/em>, alhora que q\u00fcestiona si les cl\u00e0usules contractuals tipus s\u00f3n v\u00e0lides, perqu\u00e8 aquestes en tot moment han de garantir un nivell de protecci\u00f3 equivalent a l\u2019ofert a l\u2019empara del RGPD, interpretat a la llum de la Carta dels Drets Fonamentals de la UE.<\/p>\n\n\n\n

    El Tribunal de Just\u00edcia de la Uni\u00f3 Europea (TJUE) ha considerat que els EUA no garanteix un nivell de protecci\u00f3 de dades personals adequat.\u00a0<\/p><\/blockquote>\n\n\n\n

    En aquest cas, Facebook ha sigut qui ha estat en el punt de mira per no complir amb els est\u00e0ndards de protecci\u00f3 de dades de la Uni\u00f3 Europea: les dades transferides des de la UE als EUA per aquesta xarxa social no estaven segurs, perqu\u00e8 ni l\u2019escut de privacitat ni les cl\u00e0usules contractuals tipus respectaven les garanties i drets fonamentals reconeguts a la UE als seus ciutadans. La just\u00edcia europea ha assenyalat que, com ocorria amb el Safe Harbour, <\/strong>existeix un risc d\u2019\u201dinger\u00e8ncies en els drets fonamentals de les persones\u201d les dades de les quals es transfereixen, a causa que el govern i ag\u00e8ncies de seguretat americanes, emparant-se en la seguretat nacional, l\u2019inter\u00e8s p\u00fablic i el compliment de la llei estatunidenca, podien accedir a totes les dades. Aix\u00ed mateix, el TJUE, assenyala que l\u2019acc\u00e9s i la utilitzaci\u00f3 de les dades per part de les autoritats estatunidenques no s\u2019ajusten al principi de proporcionalitat, de manera que la vigil\u00e0ncia d\u2019aquestes dades no es limita a l\u2019\u201destrictament necessari\u201d.<\/p>\n\n\n\n

    Quines conseq\u00fc\u00e8ncies comporta aquesta Sent\u00e8ncia?<\/strong><\/h2>\n\n\n\n

    La invalidaci\u00f3 del Privacy Shield<\/em> comporta que ja no es pot utilitzar aquesta Decisi\u00f3 de la Comissi\u00f3 Europea com mig senzill, \u00e0gil i fluid per a realitzar les transfer\u00e8ncies Internacionals entre la UE i les entitats adherides dels EUA. Ja que el TJUE ha considerat que els EUA no garanteixen un nivell de protecci\u00f3 de dades personals adequat a les exig\u00e8ncies de la normativa del RGPD.<\/p>\n\n\n\n

    Per tant, totes les transfer\u00e8ncies internacionals que es produeixen di\u00e0riament i que s\u2019emparen en aquesta Decisi\u00f3 s\u00f3n il\u00b7legals.<\/p>\n\n\n\n

    Llavors, s\u2019ha de deixar d\u2019utilitzar els serveis oferts per les empreses estatunidenques?<\/strong><\/h2>\n\n\n\n

    El fet que aquesta Decisi\u00f3 s\u2019hagi invalidat no significa que no puguem realitzar transfer\u00e8ncies a trav\u00e9s dels altres mecanismes que estableix el RGPD, no obstant aix\u00f2, hauran de complir-se sense excepci\u00f3. Recordem que el RGPD estableix unes sancions ingents pel seu incompliment, podent arribar fins als 20 milions d\u2019euros o el 4% del volum de facturaci\u00f3 global de l\u2019any anterior.<\/p>\n\n\n\n

    Per a evitar aquestes sancions, les mateixes organitzacions hauran d\u2019establir els seus propis protocols davant les Transfer\u00e8ncies internacionals, mentre les autoritats de protecci\u00f3 de dades europees i dels EUA no arribin a un altre acord sobre aquest tema.<\/p>\n\n\n\n

    El Privacy Shield <\/em>\u00e9s la Decisi\u00f3 de la Comissi\u00f3 europea on declara que les empreses o organitzacions estatunidenques que s\u2019hi adhereixen a aquest acord marc s\u00f3n qualificades de nivell adequat.<\/p><\/blockquote>\n\n\n\n

    Recomanacions per a les entitats que realitzin transfer\u00e8ncies als EUA<\/strong><\/h2>\n\n\n\n

    El RGPD exigeix a les organitzacions i entitats exportadores de dades fora de la UE que s\u2019assegurin que els destinataris de les dades compleixin amb un nivell de protecci\u00f3 tan elevat com si s\u2019estigu\u00e9s realitzant dins de la UE.<\/p>\n\n\n\n

    Per a complir amb el RGPD, s\u2019hauran de revisar els tractaments que poden veure\u2019s afectats per les transfer\u00e8ncies. Posteriorment, s\u2019hauran de detectar i valorar, amb ajuda del DPD de l\u2019entitat o professionals de la privacitat, els possibles riscos associats a aquests tractaments i les mesures aplicables perqu\u00e8 aquests continu\u00efn sent concordants al RGPD i aix\u00ed regularitzar les transfer\u00e8ncies internacionals.<\/p>\n\n\n\n

    Per a regularitzar, doncs, les transfer\u00e8ncies, pot tenir-se en compte el seg\u00fcent:\u00a0<\/p>\n\n\n\n

    • En primer lloc, valorar la necessitat de la transfer\u00e8ncia internacional i, si fos el cas, estudiar la possibilitat de canviar de prove\u00efdor mentre les autoritats de privacitat no arribin a un acord, perqu\u00e8 una mala gesti\u00f3 de les transfer\u00e8ncies comportar\u00e0 una copiosa\u00a0 sanci\u00f3.<\/li>
    • En molts casos, aquest canvi pot resultar inviable i, per aix\u00f2, mancant Decisi\u00f3 de la Comissi\u00f3, es poden signar entre exportador i importador les Cl\u00e0usules contractuals Tipus, que no han estat invalidades per la Sent\u00e8ncia Shrems II. Aquestes s\u00f3n documents privats jur\u00eddicament vinculants, i sempre\u00a0 hi hauran de valorar-se cas per cas (per aquest fet, les empreses d\u2019EUA podrien posar problemes a l\u2019hora de signar-les).<\/li>
    • En el si d\u2019empreses matrius i les seves filials poden crear-se les denominades normes corporatives vinculants, que seran com una esp\u00e8cie de \u201cparaigua\u201d que regir\u00e0 tota la normativa de privacitat tant per a l\u2019empresa matriu com les seves filials.<\/li>
    • Altres alternatives, com a garanties, per a realitzar de manera l\u00edcita transfer\u00e8ncies internacionals s\u00f3n o b\u00e9 l\u2019adhesi\u00f3 a codis de conducta o els mecanismes de certificaci\u00f3 que van acompanyats de compromisos d\u2019aplicaci\u00f3 de garanties adequades vinculants i exigibles a les entitats.<\/li><\/ul>\n\n\n\n

      Per\u00f2 i si aquestes tampoc s\u00f3n la soluci\u00f3?<\/strong><\/h2>\n\n\n\n

      El RGPD assenyala una s\u00e8rie d\u2019excepcions que es permeten per a situacions espec\u00edfiques (art. 49), com, per exemple, el consentiment expl\u00edcit del mateix interessat (despr\u00e9s d\u2019haver estat informat dels possibles riscos per a ell) o la necessitat de tractament de les dades per a la celebraci\u00f3 o execuci\u00f3 d\u2019un contracte, en el qual l\u2019interessat sigui part, entre altres.<\/p>\n\n\n\n

      En conclusi\u00f3, s\u2019hauran de revisar totes les transfer\u00e8ncies internacionals basades en Privacy Shield<\/em> per a adaptar-les a cada cas concret. A partir d\u2019ara, es presenta un gran repte per a la Comissi\u00f3 de la UE, perqu\u00e8 haur\u00e0 de negociar novament amb les autoritats americanes perqu\u00e8 aquesta decisi\u00f3 no comporti un desastre en el sector empresarial transfronterer en un m\u00f3n cada vegada m\u00e9s globalitzat.<\/p>\n","protected":false},"excerpt":{"rendered":"

      PDF Les conseq\u00fc\u00e8ncies de la decisi\u00f3 que invalida el \u201cPrivacy Shield\u201d entraran en vigor immediatament. Tot i aix\u00f2, apareixen possibles solucions o alternatives per a les empreses per evitar el m\u00e0xim possible que els afecti aquesta invalidaci\u00f3 de l\u2019\u201cescut de privacitat\u201d. El Tribunal de Just\u00edcia de la Uni\u00f3 Europea (TJUE)\u00a0ha invalidat el \u201cPrivacy\u00a0Shield\u201d, un dels […]<\/p>\n","protected":false},"author":11,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"advgb_blocks_editor_width":"","advgb_blocks_columns_visual_guide":"","_editorskit_title_hidden":false,"_editorskit_reading_time":0},"categories":[82],"tags":[],"author_meta":{"display_name":"finderwilber","author_link":"https:\/\/revistaconsell.com\/es\/author\/finderwilber\/"},"featured_img":null,"_links":{"self":[{"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/posts\/7191\/"}],"collection":[{"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/posts\/"}],"about":[{"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/types\/post\/"}],"author":[{"embeddable":true,"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/users\/11\/"}],"replies":[{"embeddable":true,"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/comments\/?post=7191"}],"version-history":[{"count":1,"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/posts\/7191\/revisions\/"}],"predecessor-version":[{"id":7193,"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/posts\/7191\/revisions\/7193\/"}],"wp:attachment":[{"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/media\/?parent=7191"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/categories\/?post=7191"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/tags\/?post=7191"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}