PROTECCION DE DATOS: INVALIDEZ DEL PRIVACY SHIELD

12 Ago 2020

Artículo de nuestro especialista en protección de datos Alfonso Villahermosa

Una reciente sentencia del Tribunal de Justicia dela Unión Europea (caso “Schrems II”) ha declarado ilegal la transferencia internacional de datos a Estados Unidos si las garantías que se dan para dicha transferencia es el llamado “Privacy Shield”, marco que se estableció precisamente para garantizar la privacidad de los datos y el flujo de los mismos. Esta decisión supone un problema jurídico y un riesgo legal importante en materia de protección de datos para casi todos. No hay que olvidar que el actual incumplimiento de la normativa de protección de datos puede reportar cuantiosas multas. Esta invalidez del Privacy Shield se basa principalmente en dos aspectos: que la legislación americana concede a sus autoridades, en particular por exigencias de seguridad nacional, un amplio margen para exigir a las empresas locales el acceso a los datos transferidos desde la UE (I) y que (II), la constatación de las limitaciones del derecho a la tutela judicial efectiva existentes en EE. UU., que impiden garantizar a los titulares de los datos la posibilidad de ejercer acciones legales ante tribunales independientes e imparciales para hacer valer sus derechos. A día de hoy, las autoridades europeas de protección de datos están analizando los efectos de la sentencia, con objeto de adoptar un enfoque común y una respuesta armonizada a la situación creada.

¿Qué supone esto a efectos prácticos? Es muy complicado que en nuestra clínica no tengamos algún servicio de Google, Amazon o Microsoft, u otros proveedores más pequeños que nos proporcionan cientos de herramientas informáticas, la mayoría gratuitas, que tratan datos fuera de la unión europea. Y además, no hay que olvidar la tendencia actual que se está imponiendo en el mercado del software de gestión de clínicas de fisioterapia, con alojamiento de datos de pacientes en servidores externos, es decir, fuera del entorno de la propia red local de los equipos informáticos en las clínicas.

Como siempre, hay que ir caso por caso. Hay tratamientos de datos que pueden ampararse en otras garantías y se podrán realizar sin riesgo legal. Por ejemplo, Amazon acaba de anunciar que sus transferencias también pueden basarse en otro tipo de cláusulas (que actualmente son válidas). Por otro lado, en muchas ocasiones se puede elegir la zona geográfica donde se almacenan los datos, siendo lo más importante en este caso que los datos se alojen dentro del Espacio Económico Europeo. ¿Será suficiente ante una inspección por parte de la AEPD? No es tanto un problema de ubicación de datos, como de posibilidad de acceso ante un requerimiento del gobierno americano a datos de europeos. Lo ideal es que se utilizaran proveedores de almacenamiento europeos, no americanos. En todo caso, y lógicamente, mejor que los datos estén alojados en Europa.

Lo lógico es que los colegiados consulten a sus delegados o asesores en protección de datos al respecto, para que el profesional examine los servicios de uso frecuente en las clínicas y recomiende alternativas o varíe documentos contractuales o documentos informativos a pacientes, en su caso. Al respecto, recordamos que este colegio tiene un servicio específico de asesoramiento presencial en las clínicas que se presta en condiciones especiales y ventajosas para todos (Teléfono: 609170540 / info@legaltech.es).

Referencias: https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/transferencias-internacionales/comunicado-privacy-shield