Nueva Resolución invalida las transferencias de datos personales a Estados Unidos basadas en el marco del Privacy Shield

Criterios generales para la transferencia internacional de datos personales

La transferencia internacional de datos personales está regulada en el art. 23 de la Ley 18.331 y arts. 34 y 35 del Decreto 414/2009.

Como regla y salvo excepciones previstas legalmente, se prohíbe la transferencia de datos personales de cualquier tipo a países u organismos internacionales que no proporcionen niveles de protección adecuados de acuerdo a los estándares del Derecho Internacional o Regional en la materia.

Según la resolución del Consejo Ejecutivo de la URCDP Nº 4/2019 y que ahora es sustituida por la Nueva Resolución, se consideraban adecuados “…a los miembros de la Unión Europea y el Espacio Económico Europeo, Principado de Andorra, República Argentina, el sector privado de Canadá, las organizaciones incluidas en el marco “Privacy Shield” de los Estados Unidos de América, Guernsey, Isla de Man, Islas Feroe, Estado de Israel, Japón, Jersey, Nueva Zelanda, Reino Unido de Gran Bretaña e Irlanda del Norte, y Confederación Suiza.”

En base a tal resolución, si bien Estados Unidos no era considerado un país que proporcionara niveles de protección adecuados, las empresas u organizaciones ubicadas en Estados Unidos que hubieran adherido al Privacy Shield sí era consideradas como entidades que proporcionan niveles de protección adecuados y por lo tanto, el envío de datos personales a tales entidades se consideraba permitido (siempre que exista –adicionalmente- una base de legitimación para la transferencia, claro está).

La realidad es que muchos responsables del tratamiento envían datos personales de clientes, empleados, proveedores etc. a encargados del tratamiento ubicados en Estados Unidos que hubieran adherido al Privacy Shield, amparados en la referida resolución.

Hoy se publicó en el Diario Oficial la Nueva Resolución que invalida el Privacy Shield. Es decir, las transferencias de datos personales a Estados Unidos legitimadas en base a que el envío se realizaba a una organización adherida al Privacy Shield ya no son válidos.

Un poco de historia. Antecedentes de la resolución actual de la URCDP.   

El Privacy Shield es el acuerdo entre Estados Unidos y la Unión Europea que venía legitimando la transferencia de datos personales desde Europa a aquellas sociedades de Estados Unidos que se hubieran adherido al programa de certificación incluido en el propio acuerdo.

El Tribunal de Justicia de la Unión Europea ("TJUE") ha dictado una sentencia, hecha pública el día 16 de julio de 2020, por medio de la cual ha dejado sin efecto la Decisión de la Comisión Europea 2016/1250, sobre la adecuación de la protección conferida por el denominado Privacy Shield.

Esta sentencia trae causa de un proceso judicial iniciado ante la autoridad de control irlandesa contra Facebook, proceso que derivó inicialmente en la anulación del anterior acuerdo que también regulaba el régimen de transferencias internacionales de datos de carácter personal entre Estados Unidos y la Unión Europea, conocido como "Safe Harbour".

Tras la anulación del "Safe Harbour" se aprobó el "Privacy Shield", buscando con
ello seguir dando plena cobertura legal a las transferencias internacionales de datos con destino a Estados Unidos. Sin embargo, este otro acuerdo fue también impugnado judicialmente, impugnación ésta que ha sido ahora acogida por el TJUE, anulando así el "Privacy Shield".

Los motivos de dicha anulación son, a grandes rasgos, dos: por un lado, que los programas de vigilancia que llevan a cabo las autoridades estadounidenses sobre los datos personales que se transferían a Estados Unidos no eran proporcionados, sino excesivos, algo que contraviene el Reglamento General de Protección de Datos. Por otro lado, que la legislación americana no otorgaba, a las personas cuyos datos personales se transferían a Estados Unidos, mecanismos suficientemente eficaces para hacer valer sus derechos.

El TJUE mantiene, sin embargo, la validez de las cláusulas contractuales-tipo aprobadas en su momento por la Comisión Europea, cuya validez también se había impugnado.

¿Qué hacer ahora?

Hasta tanto Estados Unidos y la Unión Europea alcancen un nuevo acuerdo, a partir de ahora se abre un periodo transitorio (6 meses a contar del 16 de setiembre de 2021) en el que las empresas deberán buscar una alternativa jurídicamente suficiente y viable, para legitimar las transferencias internacionales que venían llevando a cabo con destino a Estados Unidos amparadas bajo el "Privacy Shield".

Así, en primer lugar, se deben identificar las transferencias de datos a Estados Unidos, fundamentadas en la vigencia del Privacy Shield y todos aquellos procesos o proyectos aun no ejecutados y que involucran en el envío de datos personales a Estados Unidos.

Respecto de tales transferencias, deberá buscarse una nueva base legitimadora para continuar con tal transferencia, y en caso de no encontrarse, finalizar tal transferencia o asumir los riesgos de incumplimiento.

Una posible solución.

Una de las soluciones previstas en el citado art. 23 de la Ley 18.331 para continuar con las transferencias a Estados Unidos y que se venían realizando basadas en el Privcacy Shield, es la adopción de cláusulas contractuales apropiadas entre la empresa uruguaya exportadora del dato y la empresa estadounidense receptora o importadora del dato. Esta solución también la hemos visto en otras jurisdicciones.

Seguramente los contratos entre la empresa uruguaya exportadora y la estadounidense importadora ya cuenten con cláusulas en materia de protección de datos personales; así que como segundo paso, hay que identificar y analizar tales cláusulas a los efectos de confirmar si cumplen con los estándares exigidos por la URCDP (como referencia deberá estarse a lo que prevé la Resolución 41/2021 de la URCDP).

En caso que se identifique la cláusula y la misma no cumpla con los referidos estándares, o directamente no se hubiera regulado el tema, corresponde negociar con la empresa estadounidense la modificación o incorporación de cláusulas en materia de protección de datos personales.

Como tercer paso, tales contratos con las referidas cláusulas deben someterse a la autorización de la URCDP. La Nueva Resolución agrega otros criterios a considerar por la URCDP a la hora de otorgar la autorización (más allá de las referidas cláusulas); estos son: “… la ubicación de los encargados del tratamiento en Estados que hayan adoptado normas tuitivas de la protección de datos y la adopción del esquema de auto-certificación puesto a disposición por la Federal Trade Commission, entre otros elementos”.

Plazo para la adecuación

El plazo para adecuar las transferencias que se venían haciendo a Estados Unidos es de 6 meses a contar del 16 de setiembre de 2021.