El Tribunal de Justicia de la Unión Europea (caso “Schrems II”) ha declarado ilegal la transferencia internacional de datos a Estados Unidos si las garantías que se dan son el llamado “Privacy Shield”. Marco que establecieron precisamente para garantizar la privacidad de los datos y el flujo de los mismos. Esta decisión supone un problema jurídico y un riesgo legal importante en materia de protección de datos para casi todos. No hay que olvidar que el actual incumplimiento de la normativa de protección de datos puede reportar cuantiosas multas.
Esta invalidez del Privacy Shield se basa principalmente en dos aspectos. El primero, que la legislación americana concede a sus autoridades, por exigencias de seguridad nacional, un amplio margen para exigir a las empresas locales el acceso a los datos transferidos desde la UE. Y el segundo, la constatación de las limitaciones del derecho a la tutela judicial efectiva existentes en EEUU. Estas impiden garantizar a los titulares de los datos la posibilidad de ejercer acciones legales ante tribunales independientes e imparciales para hacer valer sus derechos. Actualmente, las autoridades europeas de protección de datos están analizando los efectos de la sentencia, con objeto de adoptar un enfoque común y una respuesta armonizada.
¿Qué supone esto a efectos prácticos?
Es muy complicado que en nuestra clínica no tengamos algún servicio de Google, Amazon, u otros proveedores más pequeños que nos proporcionan cientos de herramientas informáticas que tratan datos fuera de la unión europea. Sin olvidar, la tendencia actual del mercado del software de gestión de clínicas, con alojamiento de datos de pacientes en servidores externos, es decir, fuera del entorno de la propia red local de los equipos informáticos en las clínicas.
Privacy Shield, caso por caso
Como siempre, hay que ir caso por caso. Hay tratamientos de datos que pueden ampararse en otras garantías y se podrán realizar sin riesgo legal. Por ejemplo, Amazon acaba de anunciar que sus transferencias también pueden basarse en otro tipo de cláusulas (que actualmente son válidas). Por otro lado, en ocasiones se puede elegir la zona geográfica donde se almacenan los datos, siendo lo más importante que los datos se alojen dentro del Espacio Económico Europeo. ¿Será suficiente ante una inspección por parte de la AEPD? No es tanto un problema de ubicación de datos, como de posibilidad de acceso ante un requerimiento del gobierno americano a datos de europeos. Lo ideal es que se utilizaran proveedores de almacenamiento europeos, no americanos. En todo caso, y lógicamente, mejor que los datos estén alojados en Europa.
Asesoramiento especializado
Lo lógico es que los colegiados consulten a sus asesores en protección de datos al respecto, para que el profesional examine los servicios de uso frecuente en las clínicas y recomiende alternativas o varíe documentos contractuales o informativos a pacientes, en su caso.
Os recordamos que este colegio tiene un servicio específico de asesoramiento presencial en las clínicas que se presta en condiciones especiales y ventajosas para todos.(Teléfono: 609170540 / info@legaltech.es).
Artículo de nuestro especialista en protección de datos Alfonso Villahermosa.