El Tribunal de Justicia Europeo anula el escudo de privacidad con Estados Unidos

La sentencia, de fecha 16 de julio de 2020, vuelve a desdibujar el escenario de transferencias de datos entre Europa y Estados Unidos, y abre un nuevo periodo de incertidumbre a la hora de hacer negocios, especialmente a través de Internet. En especial, afecta negativamente a los más de 7 billones de dólares que generan las relaciones transatlánticas, y a los más de 5.300 compañías que se beneficiaban del privacy shield. No obstante, hay que destacar que el RGPD resulta aplicable a una transferencia de datos personales realizada entre y con fines comerciales por un operador económico establecido en un estado miembro, con otro operador económico establecido en un país tercero, por lo que en principio no debería afectar a las actividades de comercio electrónico directas con consumidores europeos llevadas a cabo por parte de las grandes plataformas como Google, Amazon, Facebook o Apple (conocidas como GAFA), salvo que entre la matriz americana y las filiales europeas sí se produzca este tipo de transferencias, en el sentido que indican en el registro que mantienen dichas compañías en la página web de privacy shield.

Esta sentencia trae causa de un procedimiento previo iniciado por un ciudadano austriaco contra Facebook, al que acusaba de transferir datos personales de ciudadanos europeos a Estados Unidos sin cumplir con las medidas de protección mínimas exigibles por la normativa europea de protección de datos, y que ya dio lugar a una primera sentencia (Schrems I) que anuló el acuerdo de puerto seguro, y que llevó a la creación de un nuevo acuerdo, denominado escudo de privacidad o privacy shield.

La normativa de protección de datos europea permite el intercambio de datos personales a empresas ubicadas en terceros países fuera de la Unión Europea durante sus relaciones comerciales, pero exige el cumplimiento de dos requisitos fundamentales, como son, de un lado, que se garantice la existencia de medidas de protección adecuadas de la información que se cede y, en segundo lugar, que el país de destino garantice que existen medidas legales eficaces de protección de los derechos de las personas titulares de los datos que son objeto de transferencia.

En cuanto al primer requisito, la Comisión Europea tiene recursos para indicar si un país tercero, a la vista de su legislación interna o de sus compromisos internacionales, garantiza ese nivel de protección adecuado y equivalente. En cuanto al segundo, se requiere que se prevean compromisos contractuales (entre otras, clausulas tipo) y que los interesados cuenten con procedimientos y acciones legales efectivas para proteger sus derechos.

El objetivo final es que, bajo ningún concepto, los derechos de los ciudadanos europeos se vean reducidos o perjudicados como consecuencia de la cesión de sus datos a un país tercero, aplicando en todo caso el mínimo de protección que recoge el RGPD. Aunque siendo conscientes de que dicha información, siempre dentro del ámbito de protección que establece el RGPD, pueda ser tratada con fines de seguridad nacional, defensa y seguridad en el estado destinatario.

En este caso, la Decisión del Tribunal europeo se basa en la falta de proporcionalidad entre las medidas de protección que aplica Estados Unidos, quien hace prevalecer las exigencias relativas a la seguridad nacional de una manera que posibilita injerencias en los derechos fundamentales de las personas cuyos datos de transfieren a aquel. En estrecha relación con este argumento, el Tribunal también considera acreditado que Estados unidos no dispone de procedimientos legales eficaces como para hacer prevalecer el derecho fundamental de las personas a su protección de datos frente a otros intereses locales, como es el de la inteligencia y la seguridad nacional.

Así las cosas, ante la prevalencia que Estados Unidos da a aspectos de seguridad frente a los derechos individuales de los ciudadanos, no puede considerarse que los criterios actuales sobre la transferencia internacional de datos de ciudadanos europeos cumpla con lo establecido en la RGPD, razón por la cual el Tribunal invalida la decisión 2016/1250 sobre la adecuación de la protección conferida por el escudo de privacidad.

No obstante, el Tribunal mantiene la validez de la decisión 2010/87 relativa a las clausulas contractuales tipo para las transferencias de datos personales a los encargados de tratamiento establecidos en terceros países, aunque en la práctica parece difícil poder mantener un sistema que no está soportado por un acuerdo de la Comisión acerca del nivel de protección de datos que ofrece Estados Unidos.

Las reacciones no se han hecho esperar, y el Secretario de Comercio norteamericano, Wilbur Ross, ha hecho público un comunicado en el que muestra su decepción por la resolución del tribunal europeo, y afirma que están analizando el impacto real de la sentencia. En particular, ha manifestado que el Departamento de Comercio seguirá administrando el programa de Privacy Shield, incluyendo los procesos de re-certificación y auto-certificación al marco de dicho esquema, y manteniendo la lista de empresas adheridas, pues, según afirma, la sentencia de hoy no excusa a las empresas de sus obligaciones conforme al acuerdo relativo al escudo de privacidad.

 

En Ecix Group somos especialistas en Protección de Datos asesorando a nuestros clientes ante riesgos que puedan ocasionar un impacto en su organización. Si tienes preguntas al respecto no dudes en contactar con nosotros.

 

Francisco Pérez Bes, Socio Derecho Digital Ecix Group

Compartir

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp