Los transferimentos internacionales de datos personales son de nuevo bajo de los reflectores después de una decisión del Tribunal de Justicia Europeo que ha ri-examinado los medios legales para la transferencia de datos personales desde la Unión Europea hasta los Estados Unidos: Comisionado de protección de datos contra Facebook Irlanda y Max Schrems (causa C-311/18 16 julio 2020).
El contencioso Schrems ha nuevamente provocado impactos internacionales para eliminar un acuerdo clave UE/USA proyectado para facilitar los flujos de datos llamados Privacy Shield.
Schrems I 2015
En resumen, la primera decisión Schrems del Tribunal Europeo (2015) fue sobre una queja del defensor de privacy de Austria Max Schrems sobre el trasferimento de Facebook de sus datos personales en los Estados Unidos de acuerdo con el derecho de la Unión Europea, confiando en el acuerdo Safe Harbor entre la Unión y los Estados Unidos en curso en aquel momento.
Schrems ha sostenido que las revelaciones de Edward Snowden sobre las agencias de inteligencias de los USA han indicado una falta de protección contra la surveillance de acuerdo con la ley estadounidense. En este caso, la CGUE ha invalidado el acuerdo de SAfe Harbor por causa de la falta de garantías adecuadas previstas desde el derecho de la Unión.
Después de la primera decisión, Schrems, la UE y los Estados Unidos han negociado un acuerdo de sustitución en 2016, conocido como Privacy Shield. Este acuerdo ha sido desarrollado como una nueva base reconocida para los flujos de datos para satisfacer los requisitos del derecho de la Unión Europea.
Schrems II 2020
La reciente decisión de Schrems II es sobre la validez del escudo de privacy. El tribunal europeo ha declarado que también este acuerdo UE/USA no es válido.
Los poderes de surveillance de los Estados Unidos han sido nuevamente una cuestión clave. El tribunal ha considerado que algunos programas que permiten el acceso de las Autoridades Estadounidenses a datos personales transferidos desde la UE para fines de seguridad nacional creen límites a la protección de estos mismos datos personales. Estos límites significan una falta de protección “esencialmente equivalente” al derecho de la UE y que los interesados no tienen derechos punibles frente de los tribunales contra las autoridades estadounidenses.
Clausolas contractuales estandard.
El tribunal en la sentencia Schrems II ha examinado la validez de las cláusulas contractuales estándares como medio de transferencia de datos personales. Los transferimentos sobre esta base no han sido invalidados, por el Tribunal ha subrayado las obligaciones de las partes en verificar si están impedimentos respectos a estas disposiciones y, en este caso, la necesidad de tomar en cuenta medidas suplementarias.
¿La decisión afecta el trasferimento de datos personales entre la UE y la Nueva Zelandia?
No directamente, porque los transferimentos de datos personales desde la UE hasta la Nueva Zelandia son efectuados basándose sobre la decisión de adecuación en vigor (artículo 45 del Reglamento General de Protección de Datos de la UE).
En diciembre 2012 la Comisión Europea declaró formalmente que la ley sobre la privacy de Nueva Zelandia preveía un nivel “adecuado” de protección de privacy para satisfacer los estándares europeos.
Este estado de adecuacidad significa que las informaciones sobre los datos personales pueden ser legalmente enviadas aquí desde Europa para ser procesadas sin que sean tomadas medidas adicionales especiales desde las sociedades europeas.
Pero la influencia de esta decisión sobre las transferencias internacionales en general será probablemente significativa y controlaremos los desarrollos en este sector y su impacto sobre la construcción del consentimiento internacional. La decisión del Tribunal es un desarrollo significativo en el contexto de las transferencias internacionales de datos y probablemente tendrá un impacto duradero en el marco internacional de los flujos de datos.
Cláusulas contractuales tipo en Nueva Zelandia.
Consideramos también la decisión en Schrems II mientras que desarrollaremos cláusulas contractuales de acuerdo del nuevo Privacy Act 2020. Ahora que el nuevo Privacy Act 2020 ha sido aprobado (y que entrará en vigor el 1 de diciembre 2020) la Nueva Zelandia tiene nuevos límites sobre las transferencias internacionales de informaciones personales (nuevo IPP 12).
Una modalidad para cumplirse con el nuevo IPP 12 será la adopción de cláusulas contractuales tipo para salvaguardar las informaciones personales cuando son divulgadas a una contraparte o una empresa forense.
Hemos comisionado a Chapman Tripp de cooperar con nosotros en el desarrollo de una serie de cláusulas contractuales que serán disponibles gratuitamente para todas las empresas que necesitan de transferir informaciones personales a partes en otras jurisdicciones.
FUENTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA NUOVA ZELANDA