Mochis NoticiasTecnologíaSchrems II: Qué es y cómo afecta a las empresas indias
Mochis NoticiasTecnologíaSchrems II: Qué es y cómo afecta a las empresas indias
Tecnología

Schrems II: Qué es y cómo afecta a las empresas indias

Corina Guzman
Schrems II: Qué es y cómo afecta a las empresas indias

El Tribunal de Justicia de la Unión Europea (TJUE) emitió su decisión sobre protección de datos que ahora se ha vuelto popular como Schrems II.

Muchos expertos consideran que esta sentencia tendrá un impacto de gran alcance en las cuestiones de privacidad de datos y los desafíos relacionados, en particular sobre cómo (y si) los datos pueden transferirse fuera de las fronteras europeas.

Datos breves sobre el Schrems II

¿Qué es Schrems II?

Schrems II es un caso en el Tribunal de Justicia-UE (Asunto C-311/18) en materia de privacidad de datos. Su sentencia se dictó en Luxemburgo el 16 de julio de 2020.

¿Quiénes son las partes en Schrems II?

Comisionado de Protección de Datos contra Facebook Ireland Ltd, Maximillian Schrems. Las partes que intervinieron fueron: Estados Unidos de América, Electronic Privacy Information Center, BSA Business Software Alliance Inc. y Digitaleurope.

¿Por qué Facebook Irlanda?

Esto se debe a que Facebook tiene su sede en Irlanda.

¿Cuál es el fallo de Schrems II?

El Tribunal de Justicia-UE decidió que la (fecha) «la protección proporcionada por el Escudo de Privacidad UE-EE.UU. no es válida”. También pidió a las autoridades detener la transferencia de datos personales. Hasta la fecha dicha transferencia se ha realizado a través de Cláusulas Contractuales Tipo (CCE) en diversos acuerdos.

La frase completa se puede leer aquí.

¿Qué o quién es Schrems?

Maximilian Schrems (comúnmente llamado Max Schrems) es un abogado y activista austriaco. Es particularmente conocido por su campaña contra Facebook por sus violaciones de la privacidad de datos.

¿Por qué esta frase se llama Schrems II?

Max Schrems presentó el primer caso contra Facebook en 2011 ante el Comisionado de Protección de Datos de Irlanda. Lo retiró en 2014, alegando que no había recibido el debido proceso.

En el sitio Europe-v-facebook(punto)org, dijo que no se le habían concedido derechos procesales, los cuales, dijo, «… los observadores suponen… pueden estar basados ​​en consideraciones políticas y económicas en Irlanda». (Fuente)

Mientras tanto, en 2013, Schrems presentó una denuncia contra Facebook en Irlanda. El objetivo de la denuncia era impedir que Facebook transfiriera datos de Irlanda a Estados Unidos. Este caso pasó a ser conocido como Schrems I.

Al concluir el caso, el Tribunal Superior irlandés remitió oficialmente el caso al TJUE, «con once cuestiones que abordar en relación con la validez del SCC» (Fuente: Wikipedia).

Esto ahora se conoce como Schrems II.

¿De qué se trataba Schrems I?

Como se indicó anteriormente, Schrems se trataba de hacer cumplir la prohibición de que Facebook transfiera datos a los Estados Unidos desde Irlanda.

¿Cuál será el impacto de Schrems II?

Es difícil resumir tan rápidamente todos los impactos de una sentencia tan importante. Sin embargo, aquí hay dos de los más obvios:

  • El TJUE concluyó que la protección de datos en Estados Unidos era inadecuada en comparación con el RGPD. Ahora será difícil (o imposible) transferir datos a EE.UU. desde la UE.
  • Muchos países, incluida la India, no tienen leyes claras de protección de datos. Por lo tanto, se basaron en obligaciones contractuales cuando trataban con empresas de la UE. Un resultado probable es que prácticamente ningún dato salga de la frontera de la UE.

La sentencia Schrems II

El CtG-UE basa su sentencia Schrems II en los dos factores principales siguientes:

1. Los programas de vigilancia estadounidenses no siempre se limitan a lo que es absolutamente esencial. Esto significa que el programa podría potencialmente tener acceso a más datos personales de las personas de las estrictamente necesarias. Esto no cumple con el artículo 52 de la Carta de Derechos Fundamentales de la UE.

«Cualquier limitación al ejercicio de los derechos… debe estar prevista por la ley…. Sin perjuicio del principio de proporcionalidad, sólo podrán introducirse limitaciones si son necesarias y realmente logran objetivos de interés general reconocidos por la Unión…”

Artículo 52

2. Con respecto a la vigilancia estadounidense, no existe ningún recurso judicial. En consecuencia, los interesados ​​no ejercen su derecho a un recurso efectivo. Esto viola el artículo 47 de la citada Carta, que establece:

«Toda persona… tiene derecho a un recurso efectivo ante un tribunal de conformidad con las condiciones establecidas en este artículo.«

Artículo 47

¿Qué pasa con las cláusulas contractuales tipo (CCT)?

La sentencia confirma la validez de las SCC.

Sin embargo, hasta la fecha, las CEC se han aceptado como cláusulas generales. Esto significa que se asumió que todas las SCC permitían la transferencia de datos personales. Esto ahora ha sido desmentido.

Ahora la validez de las SCC deberá examinarse caso por caso. Esto significa que las empresas deberán:

  • verificar si las leyes del país receptor (el país donde se transfieren los datos) brindan una protección de datos adecuada, y
  • Si el país receptor no tiene leyes pertinentes, la empresa debe disponer lo siguiente:
    • proporcionar medidas de protección adicionales, o
    • detener dicha transferencia de datos, o
    • deberá devolver o destruir los datos si ya han sido transferidos anteriormente.

Cómo afecta Schrems II a las empresas indias

Si bien la sentencia Schrems II es clara a la luz del escudo de privacidad entre la UE y Estados Unidos, el impacto lo sentirán todos los países.

Clasificamos el impacto de Scrhems II en las empresas indias en tres categorías:

  • Procesos
  • leyes
  • Límites y excepciones

Procesos a seguir

  1. Reevaluar los acuerdos: India no tiene leyes de privacidad. Por lo tanto, los profesionales de la privacidad de datos y los expertos legales deberán revisar sus acuerdos legales y SCC.
  2. Compruebe si hay suficiente protección: Las empresas tendrán que verificar si su transferencia de datos cuenta con una protección adecuada que cumpla con los estándares de la UE.
  3. Realizar una evaluación: Cuando se transfieran datos personales se deberá realizar una evaluación y valoración de la idoneidad de la transferencia.
  4. Comprenda el ‘consentimiento’: Las transferencias basadas en el consentimiento deben ser explícitas, específicas e informadas. Además, el consentimiento debe ser revocable. Como empresa india, querrás establecer esto.

Leyes a respetar

  1. Construya en torno a estas regulaciones: El consentimiento para la recopilación de datos, incluidos su propósito y uso, debe revisarse a continuación Artículo 4, apartado 11 (Definición de consentimiento), Artículo 7 (Condiciones para el consentimiento), Artículo 46 (Salvaguardias apropiadas para la transferencia) y Artículo 49 (Supresión parcial de la ley, denominada Derogación), entre otras.
  2. Trate cada caso como único: IAPP (enlace a continuación) indica que los SCC «…debe ser aprobado empresa por empresa por las DPA».
  3. No establezca reglas a partir de excepciones: Cuando se transfieren datos alegando interés público, no se puede establecer una regla. Deben limitarse a una situación clara y específica. Además, deben estar sujetos a escrutinio para verificar si existe un interés público adecuado en juego. Es importante destacar que el ángulo del interés público debe ser uno que sea «reconocido en la UE o la legislación de los Estados miembros.»

Límites a aplicar

  1. Asegure la corrección inmediata: Si se basara únicamente en el escudo UE-EE.UU., debe tener en cuenta que existe «sin período de gracia». Cualquier transferencia que se basara únicamente en el escudo entre la UE y los EE.UU. es hoy ilegal. En otras palabras, necesita una pronta corrección.
  2. Es aplicable a todos los países, no solo a Estados Unidos: El fallo se emitió específicamente teniendo en contexto el escudo de privacidad UE-EE.UU. Sin embargo, las preguntas frecuentes del Comité Europeo de Protección de Datos (EDPB) lo dicen claramente. «… el límite establecido por la Corte para las transferencias a Estados Unidos se aplica a cualquier tercer país.» Esto significa que las empresas indias no disfrutan de ninguna excepción y deben seguir la sentencia.
  3. La ley es clara: proteger, devolver o destruir datos: Si no puede proporcionar la protección adecuada según lo establecido por la UE, deberá devolver o destruir los datos.
  4. El exportador de datos y el importador de datos son responsables: Finalmente, las preguntas frecuentes establecen claramente que es responsabilidad del exportador y del importador de datos asegurarse de que las leyes indias cumplan con el nivel de protección requerido por la UE.

Presentación sobre Schrems II y su impacto en India

Puedes ver aquí la presentación de Slideshare sobre cómo Schrems II afecta a India:

Schrems II y empresas indias

Lectura adicional sugerida:

  1. Preguntas frecuentes del CEPD sobre Schrems II
  2. IAPP
  3. menta artículo de Rahul Matthan, donde habla de la localización de datos como un posible resultado.

Fuente de la imagen destacada: captura de pantalla de un vídeo en Europa.eu

Descargo de responsabilidad: este artículo pretende ser puramente informativo. El autor no pretende ser un profesional jurídico capacitado y este artículo no pretende ser un documento legal.

Source link

Hi, I’m Corina Guzman

Related Posts

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *