El Tribunal de Justicia Europeo (TJUE) ha declarado en su sentencia la invalidez de la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE.UU. conocido como Privacy-Shield.
Son muchas las preguntas que como responsables del tratamiento de los datos nos surgen a raíz de esta sentencia. Por ejemplo, ¿puedo seguir utilizando los servicios en la nube facilitados por proveedores americanos? ¿qué debemos tener en cuenta para que éstas cumplan la normativa europea?
Las transferencias internacionales podrán realizarse bajo la celebración de las Cláusulas contractuales tipo de la Decisión 2010/87, que regulan los contratos de acceso a datos por cuenta de terceros ya que éstas no han sido invalidadas por el TJUE. En cuanto a la utilización de estas Cláusulas, el CEPD está estudiando incorporar medidas adicionales para garantizar un nivel de protección adecuado. Mientras tanto, se deja en manos del responsable (el exportador de datos) la valoración, entre otros requisitos, las medidas de seguridad aportadas por el proveedor de servicios.
El CEPD insta a utilizar mecanismos de excepción del art. 49RGPD, por ejemplo, el consentimiento del interesado. Este debe ser explícito, específico para esa transferencia e informado de los riesgos de la falta de protección adecuada.
IMPORTANTE
En el apartado de Transferencias internacionales de la AEPD se puede encontrar toda la información relativa a la supresión del Privacy-Shield.
