Los motivos del Tribunal de Justicia de la Unión Europea para invalidar el Escudo de la Privacidad UE-EE.UU.

Los motivos del Tribunal de Justicia de la Unión Europea para invalidar el Escudo de la Privacidad UE-EE.UU.

El Tribunal de Justicia de la Unión Europea (TJUE) ha invalidado la Decisión 2016/1250, sobre la adecuación de la protección otorgada por el Escudo de la Privacidad UE-EE.UU., en materia de transferencias internacionales de datos personales.

Una transferencia internacional de datos personales consiste en la transferencia de datos personales desde un país europeo a un país que se encuentre fuera del Espacio Económico Europeo. En el caso que nos ocupa, el supuesto analizado es referente al flujo de datos personales desde Facebook Ireland a su matriz estadounidense, Facebook Inc., aunque la decisión del TJUE es extensiva a toda transferencia internacional realizada bajo el Escudo de Privacidad UE-EE.UU.

El análisis del TJUE

El RGPD establece los supuestos en los que puede realizarse una transferencia internacional de datos personales. En este caso, el TJUE ha analizado dos mecanismos que habilitan a un responsable del tratamiento, establecido en Europa, a realizar una transferencia internacional de datos personales. El primero de ellos, es que el país al cuál se exportan los datos personales sea un país del que se considere que ofrece garantías adecuadas (previo estudio de dicha idoneidad por la Comisión Europea). El segundo, es la firma, entre el exportador y el importador de datos, de un contrato que incluya las cláusulas tipo aprobadas por la Comisión Europea, para la regulación de una transferencia internacional con todas las garantías.

Mediante la Decisión 2016/1250, sobre la adecuación de la protección conferida por el Escudo de la Privacidad UE-EE.UU., conocido generalmente como Privacy Shield, la Comisión Europea consideraba que las entidades estadounidenses adscritas al mecanismo ofrecido por el Privacy Shield ofrecían garantías adecuadas para la salvaguarda de los derechos y libertades de los interesados. En consecuencia, las transferencias internacionales de datos, realizadas por un responsable del tratamiento establecido en Europa a una entidad estadounidense adscrita al Privacy Shield, eran adecuadas y cumplían con todas las garantías.

La sentencia del TJUE, en el asunto C-311/18, examina la validez de la decisión relativa al Privacy Shield conforme a las exigencias derivadas del RGPD, interpretado conforme a las disposiciones de la Carta de los Derechos Fundamentales de la Unión Europea, que garantizan el respeto de la vida privada y familiar, la protección de datos de carácter personal y el derecho a la tutela judicial efectiva.

Las conclusiones sobre Privacy Shield

El TJUE considera que la regulación del Privacy Shield reconoce la primacía de las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense. Esto posibilita injerencias en los derechos fundamentales de las personas cuyos datos personales se transfieren a EE.UU. Es decir, las limitaciones de la protección de datos personales que se derivan de la de la normativa interna de los Estados Unidos (relativa al acceso y utilización de información, por las autoridades estadounidenses, de los datos transferidos desde la Unión Europea) no están reguladas conforme a las exigencias establecidas en el Derecho de la UE. Esto se debe a que los programas de vigilancia estadounidense no cumplen con el principio de proporcionalidad, al no limitarse a lo estrictamente necesario.

Por otro lado, y en lo referente a la tutela judicial efectiva, el TJUE entiende que el mecanismo del Defensor del Pueblo contemplado en la regulación del Privacy Shield, no proporciona a las personas físicas ninguna vía de recurso ante un órgano que ofrezca garantías equivalentes a las exigidas en el Derecho de la UE. Esto es debido a que, según el TJUE, la regulación del Privacy Shield no garantiza la independencia del Defensor del Pueblo, ni la existencia de normas que le permitan adoptar decisiones vinculantes con respecto a los servicios de inteligencia estadounidenses.

En la misma sentencia, el TJUE declara que la Decisión 2010/87 de la Comisión, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a encargados del tratamiento establecidos en países fuera del Espacio Económico Europeo, es válida.

¿Qué mecanismos se podrán utilizar?

En conclusión, las transferencias internacionales de datos personales realizadas por responsables del tratamiento establecidos en Europa, a entidades establecidas en EE.UU. bajo el Privacy Shield dejan de ser válidas. En este sentido, el RGPD ofrece otros mecanismos para regular dichas transferencias, como las cláusulas contractuales tipo o las normas corporativas vinculantes entre empresas de un mismo grupo, que, entendemos, comenzarán a utilizarse con más asiduidad como resultado de esta sentencia del TJUE.

Juan Manuel Valiente

Consultor TIC de Secure&IT

0/5 (0 Reviews)
Facebooktwitterpinterestlinkedinby feather