Revolución Digital

Anulado el Escudo de Privacidad entre Estados Unidos y la Unión Europea

De J. Carlos Fernández

4, agosto

Anulado el Escudo de Privacidad entre Estados Unidos y la Unión Europea

Gracias al Escudo de Privacidad las empresas europeas podían albergar sus datos en Estados Unidos, pero desde el 16 de julio esto ya no será así.

El Tribunal de Justicia de la Unión Europea (TJUE) declaró el pasado 16 de julio inválido el Escudo de Privacidad (Privacy Shield, en inglés) para la realización de transferencias internacionales de datos al país americano. Esto supone la anulación de la Decisión 2016/1250 de la Comisión que declaraba el adecuado el nivel de protección del esquema del Escudo de Privacidad.

El Escudo es un sistema de control que validaba a las empresas americanas adheridas al mismo para realizar transferencia de datos con las compañías de la UE, equiparando sus niveles de seguridad a los exigidos en materia de protección de datos en la Unión Europea.

La historia se repite

Con esta decisión se perseguía subsanar el problema creado un año antes, en el 2015, al anular el denominado "Puerto Seguro" (Safe Harbor). Esto fue causado por la reclamación de un austríaco frente a Facebook, ya que se quejaba de que los datos de la red social no estaban seguros al ser accesibles por el Gobierno americano y sus agencias de seguridad. Sin garantizar, principalmente, los derechos de privacidad y de protección de datos que la Unión Europea exige.

Al anularse el Safe Harbor sólo se podían realizar trasferencias internacionales basándose en las "Cláusulas Contractuales Tipo" de la Comisión Europea. Teniendo que firmar, por ambas partes, un contrato antes de realizar la transferencia. Esto derivó en multitud de problemas, por lo que fue necesario la creación del Escudo de Privacidad, con el fin de facilitar la transferencia de datos de forma fluida entre los continentes.

La propia Agencia Española de Protección de Datos dispone a día de hoy de una guía sobre el Escudo de Privacidad

Pero Maximiliam Schrems, nombre del ciudadano austriaco, no se sentía conforme ni con las "Cláusulas Contractuales Tipo" (CCT) ni con el Escudo de Privacidad y nuevamente volvió a demandar (C-311/18 Data Protection Commissioner /Maximillian Schrems y Facebook Ireland). Volviendo el tribunal a repetir la anulación del Puerto Seguro. De hecho, se conoce a esta sentencia como Schrems 2.

El tribunal determinó lo siguiente sobre los programas de vigilancia americanos:

"Las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización, por las autoridades estadounidenses, de los datos transferidos desde la Unión a ese país tercero, y que la Comisión evaluó en la Decisión Escudo de la privacidad, no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas, en el Derecho de la Unión, por el principio de proporcionalidad, en la medida en que los programas de vigilancia basados en la mencionada normativa no se limitan a lo estrictamente necesario"

Además, el tribunal indica que "la autoridad de control competente está obligada a suspender o prohibir una transferencia de datos a un país tercero basada en cláusulas tipo de protección de datos adoptadas por la Comisión, cuando esa autoridad de control considera, a la luz de todas las circunstancias específicas de la referida transferencia, que dichas cláusulas no se respetan o no pueden respetarse en ese país tercero y que la protección de los datos transferidos exigida por el Derecho de la Unión".

Pero esta sentencia establece, a su vez, la validez de las cláusulas contractuales estándar adoptadas por la Comisión Europea para realizar transferencias internacionales de datos entre un responsable establecido en la Unión Europea y un encargado del tratamiento fuera de ella.

El resultado ha sido que gran cantidad de las transferencias que se realizan a día de hoy entre Europa y los Estados Unidos son ilegales ya que deberían de firmar las mencionadas cláusulas, además de revisar sus políticas de privacidad, ya que deberá buscarse su adecuación a las garantías establecidas en el artículo 46 de RGPD.

Wilbur Ross, Secretario de Comercio de los Estados Unidos se ha mostrado decepcionado con esta sentencia. En la actualidad existen en este país más de 5.300 compañías adheridas al Escudo de Privacidad.

La Agencia Española de Protección de Datos ha colaborado en la adopción del comunicado emitido desde la reunión plenaria del Comité Europeo de Protección de Datos.

Se puede descargar la sentencia en este enlace: Sentencia ECLI:EU:C:2020:559 del 16/07/2020

Temas relacionados

Comentarios