En esta página hemos resumido las opciones para los usuarios que desean evitar que sus datos se transfieran a los Estados Unidos después de la sentencia del Tribunal de Justicia de los Estados Unidos en el caso C-311/18 ("Schrems II") sobre el Escudo de Privacidad y las Cláusulas Contractuales Tipos ("las CCTs"). Además, hemos añadido un par de preguntas frecuentes que pueden ayudarle a identificar los casos en los que tiene derecho a solicitar que se detengan las transferencias de datos.
¿Qué puedo hacer ahora?
El RGPD le da fuertes derechos para obtener información sobre sus datos y tomar medidas - ¡utilícelos!
PASO 1: Pregunte si sus datos se transfieren fuera de la UE
Puede preguntar a la organización que trata sus datos (una empresa, una institución pública o cualquier otra entidad) si están transfiriendo sus datos fuera de la UE, y dónde, a quién y sobre qué base los están transfiriendo. Esto forma parte de su derecho de acceso y de su derecho a ser informado. Dicha solicitud puede dirigirse a la organización en cuestión por correo electrónico (normalmente proporcionan un correo electrónico en el que se pueden enviar dichas solicitudes). Dado que esta respuesta no requiere un análisis profundo de la organización, y considerando que la sentencia del CJEU no prevé un período de gracia para las transferencias internacionales ilegales, deberían darle una respuesta con bastante rapidez
Puede utilizar el siguiente texto para escribir su solicitud:
Estimado Señor/Señora,
Soy uno de sus clientes. De acuerdo con los artículos 12, 13, 14 y 15 del RGPD, hago la siguiente petición:
- ¿Transfieres datos fuera de la UE? En caso afirmativo, ¿a qué países?
- ¿En qué se basa la base jurídica de cada transferencia (por ejemplo, decisión de adecuación, CCTs, NCVs, derogaciones...)? Si ha utilizado las CCTs o las NCVs, por favor proporcione una copia de las CCTs o las NCVs utilizados para cada transferencia.
- Si envía datos personales a los EE.UU., ¿alguno de sus socios está comprendido en el artículo 50 USC §1881a ("FISA 702") o proporciona datos al gobierno de los EE.UU. en virtud del EO 12.333?
- Si envía datos personales a los EE.UU., ¿qué medidas técnicas está tomando para que mis datos personales no estén expuestos a la interceptación por el gobierno de los EE.UU. en tránsito?
Por favor, responda en el plazo de una semana, ya que el RGPD requiere que responda "sin demoras indebidas". Esta es una solicitud simple que no requiere un análisis exhaustivo. No parece necesario identificarse más allá de mi correo electrónico, ya que no exijo una copia de mis datos personales. Si necesita más información, no dude en ponerse en contacto conmigo.
Saludos,
[Tu nombre]
PASO 2: Solicitar que sus datos ya no se transfieran a los EE.UU
Si la empresa u organización le dice que sus datos se envían a una empresa estadounidense que está sujeta a las leyes de vigilancia masiva mencionadas anteriormente, puede exigir que la empresa de la UE detenga la transferencia de dichos datos.
Puede utilizar el siguiente texto para escribir su solicitud:
Estimado Señor/Señora,
Soy uno de sus clientes. Tengo razones para creer que transfiere ilegalmente mis datos personales a los Estados Unidos.
Si transfiere datos personales a un "proveedor de servicios de comunicación electrónica" con sede en los EE.UU., tal como se define en el Código 18 de los EE.UU. §1881(4)(b), o, en caso de que siga confiando en el Escudo de Privacidad para dichas transferencias, le solicito que detenga la transferencia de mis datos personales inmediatamente. Por favor, hágame saber dentro de una semana cuándo detendrá la transferencia. Por favor, infórmeme en el plazo de una semana de la fecha en la que detendrá la transferencia
Si necesita más información, no dude en ponerse en contacto conmigo.
Saludos cordiales,
[Su nombre]
PASO 2+3: Solicitar que sus datos no se transfieran más a los EE.UU
También puede combinar una solicitud de información con una solicitud para detener las transferencias de datos:
Puede utilizar el siguiente texto para redactar su solicitud:
Estimado Señor/Señora,
Soy uno de sus clientes. De acuerdo con los artículos 12, 13, 14 y 15 de la Ley de Protección al Consumidor, hago la siguiente petición:
- ¿Transfieres datos fuera de la UE? En caso afirmativo, ¿a qué países?
- ¿En qué se basa la base jurídica de cada transferencia (por ejemplo, decisión de adecuación, CCTs, NCVs, derogaciones...)? Si ha utilizado las CCTs o las NCVs, por favor proporcione una copia de las CCTs o las NCVs utilizados para cada transferencia.
- Si envía datos personales a los EE.UU., ¿alguno de sus socios cae bajo el 50 USC §1881a ("FISA 702") o proporciona datos al gobierno de los EE.UU. bajo el EO 12.333?
- Si envía datos personales a los Estados Unidos, ¿qué medidas técnicas está tomando para que mis datos personales no estén expuestos a la interceptación por el gobierno de los Estados Unidos en tránsito?
- Si transfiere datos personales a un "proveedor de servicios de comunicación electrónica" con sede en los Estados Unidos, tal como se define en el artículo 18 del Código de los Estados Unidos §1881(4)(b), o, en caso de que siga confiando en el Escudo de Privacidad para dicha transferencia, le solicito que detenga inmediatamente la transferencia de mis datos personales
Por favor, responda en una semana ya que el RGPD requiere que responda "sin demoras indebidas". Esta es una simple petición que no requiere un análisis extensivo. No parece necesario identificarse más allá de mi correo electrónico, ya que no exijo una copia de mis datos personales. Si necesita más información, no dude en ponerse en contacto conmigo..
Saludos cordiales,
[Tu nombre]
PASO 3: Presente una queja a su Autoridad de Protección de Datos para detener la transferencia a los EE.UU
Si su empresa no detiene las transferencias innecesarias a los EE.UU. o no responde, siempre puede presentar una queja ante la Autoridad de Protección de Datos local
Puedes encontrar un enlace a tu autoridad de protección de datos (APD) local en esta página https://edpb.europa.eu/about-edpb/board/members_en. El proceso exacto para presentar una queja depende de las leyes del país donde la presente, pero el proceso es generalmente bastante informal. La mayoría de los sitios web de la APD ofrecen un formulario de reclamación en el que puede explicar su situación.
A modo de orientación, puede utilizar el siguiente texto para presentar una reclamación:
Puede que ofrezcamos textos más específicos en el futuro. Por favor, no olvide añadir una explicación de su situación personal a este texto.
Estimado Señor/Señora,
Soy cliente de [nombre y dirección de la empresa]
Los datos de mi cuenta son [rellenar aquí].
Creo que [nombre de la empresa] sigue transfiriendo mis datos personales ilegalmente porque [incluya cualquier indicación, como su política de privacidad o la respuesta que le enviaron]
Me refiero a la sentencia de la CJEU en C-311/18 - Schrems II. Considerando que [nombre de la organización] sigue transfiriendo mis datos personales a los EE.UU. sin una base legal apropiada, solicito que investigue el asunto y ordene la suspensión o la prohibición del tratamiento
Saludos cordiales,
[Su nombre]
Preguntas frecuentes para los usuarios
¿Por qué consideró el Tribunal que había problemas con las transferencias de datos entre la UE y los EE.UU.?
La legislación de la UE otorga a todos el derecho a la privacidad, a la protección de datos y a la reparación ante un tribunal. El Tribunal de Justicia de la UE confirmó estos derechos en relación con las transferencias de datos a los Estados Unidos en su sentencia sobre el Privacy Shield y las CCTs. En resumen, el Tribunal dijo que la vigilancia de las masas en los EE.UU. y la falta de protección legal contra la vigilancia ilegal a menudo (pero no siempre) hace que sea ilegal para las empresas enviar sus datos a los EE.UU
¿Qué transferencias de datos siguen siendo legales?
En virtud del artículo 49 del RGPD, algunas transferencias "necesarias" siguen siendo legales en cualquier circunstancia (por ejemplo, cuando se reserva un hotel en los EE.UU. y la reserva se envía al hotel de los EE.UU.). Sigue siendo legal la transferencia de datos cuando se le informó sobre las leyes de los EE.UU. y usted lo ha aceptado explícita y libremente. Debe poder retirar este consentimiento en cualquier momento, sin consecuencias negativas
También puede enviar sus propios datos a los Estados Unidos (si desea utilizar directamente un proveedor que sólo esté en los Estados Unidos).
¿Qué transferencias de datos son ilegales?
Las transferencias a empresas de EE.UU. que caen bajo una ley de "vigilancia masa" de EE.UU. como FISA 702 (también llamada 50 USC §1881a) son generalmente ilegales. Las empresas que no pueden confiar en ellos son los llamados "proveedores de servicios de comunicación electrónica". Este es un término amplio bajo la ley de los Estados Unidos y cubre la mayoría de los proveedores de TI y de nubes.
Algunos ejemplos de estos proveedores son AT&T, Amazon (AWS), Apple, Cloudflare, Dropbox, Facebook, Google, Microsoft, Medios de comunicación de Verizon (conocido como Juramento y Yahoo) o Verizon. Los enlaces de cada una de las empresas te llevarán a sus informes de transparencia que te dicen con qué frecuencia fueron objeto de solicitudes de acceso a datos del gobierno de EE.UU.
Esto significa que las situaciones típicas de "externalización" (cuando una empresa de la UE envía sus datos a una empresa de EE.UU. que, a su vez, trata sus datos) son, en la mayoría de los casos, ilegales.
Recuerde que cuando se reside en la UE, a menudo se tiene un contrato con una filial de la UE de esa empresa estadounidense (por ejemplo, los usuarios de Facebook tienen un contrato con Facebook Irlanda). Si subcontratan el tratamiento de sus datos total o parcialmente a la empresa matriz de EE.UU., la transferencia es igualmente ilegal.
¿Qué es el "Privacy Shield", y qué son las "Cláusulas Contractuales Tipos" o las "CCTs"?
En virtud del TJUE, los datos personales no pueden salir de la UE. Como excepción a esta regla, las empresas pueden utilizar ciertos instrumentos jurídicos para permitir las transferencias. Dos de las herramientas más comunes en las que confían las empresas para transferir sus datos desde la UE a los EE.UU. son las "Cláusulas Contractuales Tipos" (o "CCTs") y el "Privacy Shield" (Escudo de Privacidad).
El Privacy Shield fue invalidado por el Tribunal de Justicia, por lo que ya no existe. Los datos no pueden ser transferidos a los EE.UU. bajo el Privacy Shield desde el 16 de julio de 2020
Casi la misma prohibición se aplica al uso de las CCTs: Todas las empresas que caen bajo una ley de "vigilancia masiva" de EE.UU. ya no pueden utilizar las CCTs. Esto se debe a que las CCTs no pueden anular la ley de EE.UU.
¿Qué significa esto en la vida cotidiana?
A continuación, puede encontrar algunos ejemplos de casos comunes que probablemente incluyan la transferencia de sus datos personales a los EE.UU
Casos que son típicamente afectados por la sentencia:
Si eres cliente de una empresa de la UE/EEE que:
- es una filial integrada de una empresa de EE.UU. (por ejemplo, Google, Apple, Amazon, Microsoft, Facebook, Instagram, Twitter, Yahoo y similares) o
- se basa en el almacenamiento u otro tipo de tratamiento en los EE.UU. (muchas empresas "promedio" de la UE).
Casos que normalmente no se ven afectados por la sentencia:
Transferencias necesarias que siguen siendo legales, algunos ejemplos son los siguientes:
- Reservando un hotel u otro tipo de alojamiento directamente en los Estados Unidos o a través de una agencia de viajes en la UE (por ejemplo, una habitación en San Francisco);
- Reservar un vuelo a los Estados Unidos;
- Reserva de un coche de alquiler en los EE.UU;
- Pedido de mercancías en línea a una empresa con sede en los EE.UU;
- Utilizando los servicios en línea proporcionados por una empresa con sede en los Estados Unidos (sin establecimiento en la UE);
- Enviando un correo electrónico a los EE.UU;
- Enviando sus datos a su abogado en los EE.UU. en el contexto de una demanda;
- Contactando a un amigo de Facebook que se encuentra en los EE.UU;
- Videollamadas a los Estados Unidos.
