Saltar al contenido principal
Sobre Nosotros

Schrems II

TL;DR

Schrems II es el nombre dado a un caso del TJCE (Tribunal de Justicia de las Comunidades Europeas) que se basó en el hecho de que las empresas estadounidenses no pueden garantizar unos estándares adecuados de protección de datos personales. Como consecuencia, la transferencia de datos personales entre la UE y los EE.UU. se convirtió en ilegal y el acuerdo de Escudo de Privacidad (Privacy Shield) entre ellos quedó obsoleto.

¿Qué significa Schrems II?

Schrems II es el nombre genérico que se le dio a un caso en el Tribunal de Justicia Europeo, que falló a favor de Max Schrems y que llevó a la invalidación del Escudo de Privacidad (Privacy Shield) UE-EE.UU., el 16 de julio de 2020. Esto condujo al hecho de que se hizo ilegal para cualquier tipo de procesador de datos utilizar servicios de los EE.UU., que darían a esos servicios acceso a los datos personales de los ciudadanos de la UE, sin explicar completamente los riesgos. Las consecuencias fueron muy graves, hasta el punto de que algunas grandes empresas estadounidenses (por ejemplo, Facebook) se plantearon la posibilidad de interrumpir por completo sus actividades en la UE.

Un caso anterior, conocido como Schrems I, iniciado por la misma persona, había estado en el origen de un resultado similar en 2015. La decisión del TJCE en el caso Schrems II, se basó en el argumento de que, especialmente debido a la legislación de EE.UU. como la Ley CLOUD, no hay manera de garantizar la privacidad de los datos personales si son manejados por empresas estadounidenses. Las agencias federales que usan una orden judicial siempre podrían obligar a los procesadores de datos como Google o Facebook a revelar información personal sobre los usuarios, sin ningún consentimiento de ellos. No importa dónde se encuentren físicamente los servidores que contienen los datos. Por lo tanto, cualquier ciudadano de la UE que acceda a un sitio web alojado en los Estados Unidos, o a cualquier sitio web que utilice aplicaciones de terceros gestionadas por empresas estadounidenses (por ejemplo, Google Analytics), debe estar debidamente informado sobre todas las implicaciones legales de la transferencia de datos, así como sobre todos los riesgos.

Para más detalles sobre las consecuencias de Schrems II, puedes leer esta visión general. En resumen:

  • los propietarios de sitios web con visitantes de la UE no pueden almacenar datos fuera de la UE, a menos que las leyes de ese país puedan proporcionar un nivel adecuado de protección de los datos
  • cualquier servicio de terceros utilizado por un sitio web también debe proporcionar protección, y por lo tanto no puede estar basado en los EE.UU. Estos servicios pueden incluir: herramientas de análisis del sitio web, herramientas de gestión de relaciones con los clientes, servicios de publicidad, herramientas de chat, herramientas de conocimiento del usuario, etc.
  • la lista de compañías estadounidenses que fueron eximidas de las reglas, basadas en el Escudo de Privacidad (Privacy Shield), ya no operaban legalmente
  • Los banners de consentimiento deben incluir información específica sobre las cookies, así como las normas de transferencia de datos