No obstante, de acuerdo con la sentencia Schrems II, el uso de las cláusulas contractuales estándar conlleva atenerse a una normativa más estricta: las empresas deben introducir medidas adicionales y en principio tratar cada transferencia de datos como un caso particular, debiendo asegurarse de que cada país cuenta con un nivel de protección de datos suficiente. En caso de no cumplirse esta condición, por ejemplo, debido a la legislación de seguridad en ese país, la empresa está obligada a paralizar la transferencia de datos.
Además, estas cláusulas estándar están sujetas a una inspección de los organismos europeos de supervisión y protección de datos. Si la situación jurídica de un país impide que el receptor de los datos cumpla con sus obligaciones de las cláusulas estándar, la transferencia de datos puede interrumpirse o incluso prohibirse. Todo el proceso debe tenerse en cuenta en el momento de analizar el nivel de protección de datos. Se debe garantizar en todo momento que, por ejemplo, las autoridades judiciales o de seguridad nacional del país receptor no tengan acceso a datos personales.
En la situación actual, la evaluación caso por caso es particularmente difícil para las pymes, ya que normalmente no disponen de los conocimientos técnicos y los medios para verificar en detalle si existe, por ejemplo, un nivel adecuado de protección de datos en un tercer país. Además, el fallo del TJUE no especifica exactamente qué normas se aplicarán específicamente a las evaluaciones de casos individuales o a posibles ampliaciones de las cláusulas contractuales estándar.
Las pymes deberían de todos modos abordar activamente la cuestión. Los expertos jurídicos aconsejan tomar las mayores precauciones posibles y documentar detalladamente los procedimientos de protección de datos que aplican. Las empresas estarán así preparadas para una posible disputa legal y podrán defender mejor sus propias acciones ante los tribunales una vez el Privacy Shield quede sin efecto.
Una medida concreta de protección consiste en aplicar cuidadosamente los aspectos formales de las cláusulas generales de protección de datos (por ejemplo, mediante una descripción detallada de los flujos de datos). Además, solo se deben recopilar y transmitir los datos personales absolutamente necesarios. Asimismo, los expertos jurídicos recomiendan realizar un análisis de riesgo bien fundamentado y bien documentado que considere los problemas relevantes. Por ejemplo, debería analizarse en profundidad la situación jurídica en los Estados Unidos o en países fuera de la UE y evaluarse la probabilidad de un acceso no autorizado a los datos.
Además, debería aclararse si, dada la situación actual, el receptor de los datos asume obligaciones contractuales adicionales (por ejemplo, el aumento de sus obligaciones de control y notificación). En la situación actual, las empresas también podrían exigir a sus socios comerciales y proveedores de servicios de los Estados Unidos utilizar todos los medios técnicos disponibles a fin de optimizar la protección de datos –por ejemplo, el uso de cifrado de extremo a extremo en un software de videoconferencia.
Aquellos que puedan renunciar a transferencias de datos, servicios en la nube y servidores en terceros países fuera de la UE, deberían buscar alternativas en la UE que cumplan con la normativa del Reglamento General de Protección de Datos (RGPD). Asimismo, deberían también seguir de cerca los acontecimientos concernientes a la legislación sobre protección de datos. El Comité Europeo de Protección de Datos (CEPD) informa sobre la situación actual en sus preguntas frecuentes acerca de la sentencia del TJUE sobre el acuerdo Privacy Shield.