El Comité Europeo de Protección de Datos acoge con satisfacción la sentencia del TJUE

 Lupe Sampedro, Ester Vidal, Paula Garralón, Natalia González

07-2020

Tras la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) en el caso C 311/18, conocido como caso Schrems II, declarando nula la Decisión 2016/1250, relativa al Escudo de Privacidad o EU-U.S. Privacy Shield, el Comité Europeo de Protección de Datos (CEPD) ha publicado una declaración en la que expresa su satisfacción con la sentencia emitida, indicando que efectivamente debe garantizarse el derecho fundamental a la privacidad en el contexto de las transferencias internacionales de datos personales a terceros países.

En el pasado el CEPD ya había cuestionado la validez del mecanismo Privacy Shield y expresaba la necesidad de trabajar junto a Estados Unidos en un marco legal que garantizase en la práctica el cumplimiento de la normativa de protección de datos europea. Respecto a las Cláusulas Contractuales Tipo (SCCs), pese a que siguen siendo válidas, el TJUE, en la sentencia, subraya la necesidad de que tanto el exportador como el importador de los datos evalúen las circunstancias de la transferencia así como el régimen legal aplicable en el país importador, de modo que si éste no ofrece un nivel de protección equivalente al europeo, el exportador implemente medidas adicionales a las establecidas en las SCCs.

En este sentido, el CEDP está estudiando en qué consisten estas medidas adicionales para así emitir, junto al resto de autoridades de control europeas, aclaraciones que permitan a los interesados obtener orientación acerca del uso de instrumentos para la transferencia de datos personales a terceros países de conformidad con la sentencia.

En esta línea se ha manifestado la Agencia Española de Protección de Datos, indicando que va a seguir trabajando conjuntamente con el resto de Autoridades europeas en una respuesta armonizada a nivel europeo y participará en las labores que se lleven a cabo para adoptar un enfoque común, garantizando así una aplicación consistente de la sentencia en todos los países de la UE.

Por tanto, se espera una respuesta conjunta por parte de las Autoridades europeas a lo largo de las próximas semanas, que guíe los próximos pasos en materia de transferencias internacionales.

Por su parte, la autoridad de control inglesa (Information Commissioner´s Office) ha ido más allá indicando que para aquellos responsables/encargados que ya estén utilizando Privacy Shield, continúen haciéndolo hasta que se publiquen nuevas guías en este sentido. Si bien se espera que en los próximos días el ICO matice esta afirmación y aclare si además de Privacy Shield los responsables/encargados deben implementar alguno de los otros mecanismos de transferencia/excepciones previstos en el Capítulo V del RGPD.