Privacy Shield: Transferencia de datos a EE. UU. declarada nula
Hasta la fecha existía un acuerdo para la transferencia de datos personales a EE. UU. que ofrecía una garantía suficiente a efectos del RGPD (Reglamento de Ejecución de la UE 2016/1250). Con la sentencia del TJUE del 16 de julio de 2020, se declaró nulo el acuerdo «Privacy Shield» entre la UE y EE. UU.
Afectados son, en principio, todos los que utilizan servicios de datos de empresas estadounidenses, como Amazon Web Services, Google, Microsoft, Rocket Science Group (MailChimp), Salesforce, ZenDesk, Zoom, etc.
No están afectadas las transmisiones de datos «necesarias», por ejemplo, pedidos en internet, reservas de hotel o correos electrónicos a EE. UU. Estas pueden seguir realizándose según el art. 49 RGPD. También no están afectadas las transmisiones de datos sin datos personales.
Se trata de la externalización de procesamiento de datos, especialmente el uso de servicios en la nube. Si los contratos con la empresa correspondiente contienen las cláusulas de protección de datos estándar de la UE (por ejemplo, Microsoft Office365), sigue existiendo una base para la transferencia de datos. El proveedor garantiza así el cumplimiento de las leyes de protección de datos de la UE.
Sin embargo, el conflicto fundamental entre las medidas de vigilancia de EE. UU. y los derechos a la protección de datos vigentes en la UE sigue existiendo. Las empresas estadounidenses siguen obligadas a revelar datos personales a las autoridades estadounidenses a petición, y las empresas de la UE siguen obligadas a cumplir con el control sobre los datos personales.
Revise sus contratos con procesadores de datos estadounidenses. Parte de ellos ya han establecido las cláusulas contractuales estándar de la UE. Si están contenidos en los contratos, no existe necesidad de ninguna otra acción. Sin embargo, si solo se utilizó el Privacy Shield como garantía de tercer país, es necesario concluir inmediatamente las cláusulas contractuales estándar de la UE. Las plantillas para ello se encuentran AQUÍ.
Para más información sobre el tema, diríjase a los expertos de la empresa de consultoría de protección de datos y ciberseguridad msecure.
Fuente: iStock / BeeBright
Hecho: Las multas por incumplimiento del RGPD pueden ascender hasta 20 millones de euros o el 4 % de la facturación mundial anual.
Hecho: Según IBM, el 95 % de todos los incidentes de ciberseguridad se atribuyen a errores humanos.
En resumen
- Hasta la fecha existía un acuerdo para la transferencia de datos personales a EE. UU. que ofrecía una garantía suficiente a efectos del RGPD (Reglamento de Ejecución de la UE 2016/1250).
- En julio de 2020 se declaró nulo el acuerdo «Privacy Shield» entre la UE y EE. UU.
- Si los contratos con la empresa correspondiente contienen las cláusulas de protección de datos estándar de la UE (por ejemplo,
- Microsoft Office365), sigue existiendo una base para la transferencia de datos.
Datos clave
Multas del RGPD: Las autoridades de protección de datos europeas han impuesto hasta la fecha más de 4.500 millones de euros en sanciones.
Fugas de datos: El 83 % de las empresas experimentan más de una vulneración de protección de datos al año.
Preguntas frecuentes
¿Qué sanciones amenazan por incumplimientos del RGPD?
Multas de hasta 20 millones de euros o el 4 % de la facturación mundial anual – dependiendo de cuál importe sea mayor. Además, se pueden añadir posibles demandas de indemnización por parte de las personas afectadas.
¿Qué es una evaluación de impacto de la protección de datos?
Una evaluación de impacto de la protección de datos (DPIA) es una evaluación sistemática de los riesgos del procesamiento de datos para los derechos y libertades de las personas afectadas. Es obligatoria cuando el procesamiento conlleva un riesgo elevado – por ejemplo, en el perfilado, la videovigilancia o el procesamiento de categorías especiales de datos.
¿Es el RGPD aplicable también a pequeñas empresas?
Sí, el RGPD es aplicable independientemente del tamaño a cualquier empresa que procese datos personales de ciudadanos de la UE. Las pequeñas empresas se benefician de pocas simplificaciones (por ejemplo, no hay registro de procesamiento con menos de 250 empleados en el procesamiento no riesgoso), pero deben cumplir todos los principios básicos.
Artículos relacionados
- RGPD 2026: Qué cambia y qué deben tener en cuenta las empresas
- Así se utiliza el aprendizaje automático en la ciberseguridad
- Ataques de hackers: ¿Cómo se protegen hospitales y consultorios médicos?
Más del grupo de medios MBF
- Business Future: Tendencias para los responsables de decisión
- Perspectivas de C-Level sobre la ciberseguridad
Fuente imagen: Pexels
