La ICO ha publicado una guía para ayudar a las empresas que lleven a cabo transferencias de datos personales utilizando un mecanismo del Artículo 46 del UK GDPR a empresas de EE.UU que no participen en la Extensión del Marco de Privacidad de Datos UE-EE.UU.
La transferencia internacional de datos personales es un aspecto fundamental de la sociedad actual. Uno de los principales países receptor de datos personales es Estados Unidos, con lo que es necesario que las empresas garanticen cumplimiento con la normativa cuando transfieran datos personales a este territorio. En el caso de las empresas británicas, esto implica cumplimiento con el UK GDPR. Conforme a la ICO, cuando se transfieran datos personales a EE.UU usando alguno de los mecanismos del Artículo 46 del UK GDPR, será necesario completar una evaluación de riesgo de transferencia. Esto se aplicará a transferencias que se realicen sobre la base del Acuerdo Internacional de Transferencia de Datos, del Anexo a las Cláusulas Contractuales Tipo de la UE y también de Normas Corporativas Vinculantes. Al llevar a cabo una evaluación de riesgo de transferencia, las empresas podrán asegurar cumplimiento con el UK GDPR y una adecuada protección de los datos personales cuando estos se transfieran a EE.UU. Es importante recordar que esto sólo se aplicará a la transferencia de datos a organizaciones que no están certificadas bajo la Extensión del Marco de Privacidad de Datos UE-EE.UU.
La guía de la ICO ofrece detalles sobre los requisitos de cumplimiento
La guía de la ICO proporciona un marco para asistir a las empresas con los requisitos para transferir datos personales a terceros países, incluido EE.UU. Entre otros aspectos, subraya el hecho de que el país receptor deberá ofrecer un nivel adecuado de protección de datos. La ICO insta a las empresas a evaluar cuidadosamente todos los riesgos vinculados con la transferencia, principalmente los derivados del entorno legal y político, la protección que se ofrezca a los datos personales y las medidas adicionales que puedan ser precisas a este respecto a fin de garantizar el respeto por los derechos y libertades de los interesados. Esta evaluación de riesgo deberá ser integral y robusta y tendrá que considerar tanto la naturaleza de los datos que se transfieren como las implicaciones potenciales que esto pueda tener para la privacidad de los individuos.
Podrían ser necesarios mecanismos alternativos de transferencia de datos junto a medidas adicionales a fin de asegurar cumplimiento.
Desde que la resolución del caso Schrems II del Tribunal de Justicia de la UE anuló el Privacy Shield, éste ya no es válido en Europa ni Reino Unido. Como resultado, el 10 de julio de 2023 la Comisión Europea adoptó una decision de adecuación para el Marco de Privacidad de Datos UE-EE.UU por la que se concluye que Estados Unidos asegura un nivel adecuado de protección de datos para aquellos datos personales que se transfieran desde Europa a las empresas estadounidenses que participen en el Marco. En Octubre de 2023, el gobierno británico actualizó la lista de territorios con un nivel adecuado de protección tras adoptar las resoluciones de adecuación para la Extensión del Marco de Privacidad UE-EE.UU. Sin embargo, las empresas que transfieran datos personales a compañías que no participen en la Extensión necesitarán implementar mecanismos alternativos como las Cláusulas Contractuales Tipo, que asignan responsabilidades y obligaciones entre el exportador y el importador de datos por medio de contratos preaprobados. Así, las Cláusulas Contractuales Tipo son esenciales para el cumplimiento con el UK GDPR en el contexto de las transferencias internacionales. Se deberá considerar la incorporación de elementos como un cifrado sólido, técnicas de pseudonimización o estrictos controles de acceso.
Por otro lado, el Acuerdo de Transferencia de Datos señala la importancia de niveles de protección de datos adecuados en los países de destino, lo que implica que las organizaciones deberán evaluar las normas nacionales de seguridad y vigilancia a fin de cumplir con el UK GDPR. Cuando se trate de transferencias de datos a Estados Unidos, se deberá tener en cuenta también otra normativa como la Ley de Vigilancia de la Inteligencia Extranjera o la Ley CLOUD.
Las empresas deberán estar preparadas para hacer un seguimiento de la evolución de las leyes y los requisitos de seguridad
La transferencia de datos personales a Estados Unidos bajo el UK GDPR requiere que se considere con detenimiento toda la normativa y herramientas disponibles al respecto. Ala guía de la ICO proporciona apoyo para cumplir con el UK GDPR y proteger los derechos de privacidad de los interesados. Será preciso llevar a cabo una evaluación y vigilancia continua para supervisor los desarrollos legales y las prácticas de seguridad en este sentido.