Suiza se suma a la declaración de invalidez del escudo de privacidad con EEUU.

El pasado 8 de septiembre de 2020 el Comisionado Federal de Protección de Datos e Información (en adelante, FDPIC) de Suiza emitió un dictamen en el considerando que el CH-US Privacy Shield no proporciona un nivel adecuado de protección de datos tras su evaluación anual del escudo de privacidad suizo-estadounidense, siguiendo la misma línea jurisprudencial del Tribunal de Justicia de la Unión Europea (TJUE).

Según el FDPIC, aunque el marco del escudo de privacidad entre Suiza y EEUU garantiza derechos de protección especiales para las personas en Suiza, no proporciona un nivel adecuado de protección de datos personales transferidos de Suiza a EE.UU.

¿Cómo había reaccionado el FDPIC ante la declaración de invalidez del Privacy Shield por el TJUE?

Ante la sentencia del 16 de julio de 2020 del Tribunal de Justicia de la Unión Europea (CJEU) declarando “inválida” la Decisión de la Comisión Europea (UE) 2016/1250, de 12 de julio de 2016 sobre la adecuación de la protección proporcionada por el Escudo de Protección de la Privacidad UE-Estados Unidos, el FDPIC emitió ese mismo día una declaración en la que señalaba, entre otras cosas, que el FDPIC examinaría la sentencia de la CJEU en detalle y la comentaría a su debido tiempo.

El FDPIC había señalado previamente, en fecha de 11 de enero de 2017, que se reservaban el derecho de reevaluar el Escudo de Privacidad suizo-estadounidense según fuera apropiado a la luz de la aplicación real y esta reevaluación tendría en cuenta las sentencias de los tribunales de Suiza y de la UE.

Tras el resultado de esta evaluación, el FDPIC ha eliminado la referencia a “protección de datos adecuada en determinadas condiciones” para los EEUU. Asimismo, se ha seguido la decisión del TJUE y se ha concluido que el uso de mecanismos alternativos de transferencias internacionales de datos, como las Cláusulas Contractuales Tipo o las Reglas Corporativas Vinculantes, requiere que las empresas realicen una evaluación de riesgos. Posiblemente se implementen salvaguardias adicionales como las medidas técnicas que puedan prevenir de manera efectiva que las autoridades del país receptor accedan a los datos transferidos.

¿Puede un participante del Escudo de Privacidad ampararse en el Marco de Escudo de Privacidad Suiza-Estados Unidos para recibir datos personales de Suiza?

A la luz de este dictamen, las organizaciones que deseen confiar en el Escudo de Protección de la Privacidad Suiza-Estados Unidos para transferir datos personales de Suiza a los Estados Unidos deben solicitar orientación al FDPIC o a un asesor jurídico.

Esa opinión no exime a los participantes en el Escudo de Protección de la Privacidad Suiza-Estados Unidos de sus obligaciones en virtud del Marco del Escudo de Protección de la Privacidad Suiza-Estados Unidos. De hecho, el pasado 5 de agosto de 2020, el Presidente de la Comisión Federal de Comercio (FTC), Joseph Simons, declaró que “seguiremos haciendo responsables a las empresas de sus compromisos de privacidad, incluidas las promesas hechas en el marco del Escudo de Privacidad”.

¿Qué requisitos se establecen para las organizaciones en cuanto a la rectificación de su permanencia en el  Marco del Escudo de Privacidad entre Suiza y EEUU?

La Administración de Comercio Internacional (ITA) del Departamento de Comercio de los Estados Unidos sigue administrando el Escudo de Privacidad. Lo que incluye el procesamiento de solicitudes de autocertificación y recertificación al Escudo de Privacidad y el mantenimiento de la Lista de Escudo de Privacidad.

No ha cesado la exigencia a las organizaciones de volver a certificar anualmente si desean permanecer en la Lista del Escudo Protección de Privacidad.

Además también se continúa exigiendo a las organizaciones que paguen una cuota de procesamiento anual a la ATI, que generalmente no es reembolsable, para poder participar en el Escudo de Protección de la Privacidad, conforme a su programa de recuperación de costes.

¿Qué requisitos se establecen en cuanto a la retirada del Marco del Escudo de Privacidad entre Suiza y EEUU?

A la hora de procesar las solicitudes de retiro del Escudo de Privacidad y gestionar la lista de organizaciones que se mantienen o no en la misma, es la Administración de Comercio Internacional (ITA) del Departamento de Comercio de los Estados Unidos el que actúa como organismo encargado de tal administración.

No existe objeción para que cualquier organización pueda interponer una solicitud de retirada del Escudo de Protección de Privacidad. No obstante, sí que han de atender a una serie de requisitos en materia de tratamiento de  los datos recibidos bajo la permanencia en el Escudo de Protección de Privacidad.

Asi mismo, deben proceder a la eliminación de sus sitios web, documentos públicos y declaraciones de política de privacidad que sean susceptibles de interpretarse como una afirmación de su participación o cumplimiento con el Escudo de Protección de Privacidad.

Ha de destacarse el requisito de completar y devolver un cuestionario de retirada a la ITA para verificar qué hará la organización con la información personal que recibió mientras participaba en el Escudo de Protección de la Privacidad.