El Tribunal de la Justicia de la UE anula el acuerdo de Escudo de Privacidad (Privacy Shield) con los EE.UU. sobre transferencias internacionales de los datos a este país.
Este jueves, 16 de julio de 2020, el TJUE adelantó a través de un comunicado emitido, el contenido de su sentencia de la misma fecha (asunto C-311/18, caso Sr. Schrems, nacional austríaco y usuario de Facebook desde 2008 contra las transferencias internacionales de sus datos realizados por esta red social a sus servidores ubicados en territorio de los EE.UU.), mediante la cual invalida la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE.UU. mientras que declara que la Decisión 2010/87 de la Comisión, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, es válida.
Según el comunicado del TJUE y en espera de la publicación de la sentencia completa en los próximos días, los motivos principales que han llevado al TJUE a esta resolución han sido los siguientes:
-
- El TJUE ha considerado que “la primacía de las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense” posibilitan injerencias en los derechos fundamentales de las personas cuyos datos personales se transfieren a ese país. El Tribunal de Justicia subraya que ese tipo de tratamiento por parte de las autoridades de un país tercero no puede significar que la referida transferencia quede fuera del ámbito de aplicación del RGPD.
- En segundo lugar, el TJUE señala que, si bien el Privacy Shield establece exigencias que las autoridades estadounidenses deben respetar al aplicar los programas de vigilancia de que se trata, ‘no confiere a los interesados derechos exigibles a las autoridades estadounidenses ante los tribunales’. Por tanto, respecto a la exigencia de tutela judicial, el Tribunal de Justicia declara que en la Decisión Escudo de la privacidad, el mecanismo del Defensor del Pueblo contemplado en dicha Decisión ‘no proporciona a las personas ninguna vía de recurso ante un órgano que ofrezca garantías sustancialmente equivalentes a las exigidas en el Derecho de la Unión’, que puedan asegurar tanto la independencia del Defensor del Pueblo previsto en el antedicho mecanismo como la existencia de normas que faculten al referido Defensor del Pueblo para adoptar decisiones vinculantes con respecto a los servicios de inteligencia estadounidenses.
¿Qué hacemos a partir de ahora en el caso de que nuestra entidad amparaba una transferencia internacional de datos pertenecientes a colectivos de sus interesados (empleados, clientes, usuarios, etc.) a terceros (entidades del mismo grupo, proveedores en condición de encargados de tratamientos, etc.) sobre el acuerdo de Escudo de Privacidad?
Para empezar, por las características del mercado actual, esta novedad va a afectar a muchas empresas cuyos datos directa o indirectamente llegaban a territorio americano y la base de legitimación de dicha transferencia ha sido hasta ahora el escudo de privacidad. Es que no se trata solamente de transferencias directas de datos de una empresa a su matriz en los EE.UU. o a terceros que actúan como proveedores de servicios (empresas como One Trust, SalesForce, Mailchimp (!mediante el cual les enviamos este mismo comunicado¡), Kronos, etc.si no también, en esta categoría se incluyen una serie de empresas como Facebook, Google, Linkedin, etc. cuya infraestructura de sus redes sociales se sostiene a la existencia de servidores en territorio de EE.UU.
Conforme a la sentencia del TJUE, todas transferencias hacía los servidores de estas empresas ubicados en territorio americano quedarían invalidadas. No obstante, y teniendo en cuenta el enorme impacto que una inmediata aplicación de dicha previsión de anulación tendría sobre el funcionamiento y la operativa de muchas empresas europeas, desde DGE Bruxelles recomendamos a las entidades que se ven afectadas de dicha sentencia que por ahora no tomen medidas al respecto, manteniendo su operativa ordinaria en espera que las autoridades europeas en materia de protección de datos (AEPD en el caso de España) se pronuncian sobre el asunto. Recordamos que algo parecido pasó el 2015 con la anulación del anterior acuerdo entre la UE y los EE.UU. (Puerto Seguro) y finalmente hubo un periodo de ‘transición’ hasta el nuevo marco regulatorio (la anulación del ‘Puerto Seguro’ fue el octubre de 2015 mientras la aprobación del ‘Escudo de Privacidad’ por parte de la UE fue el julio de 2016) durante el cual las autoridades de protección de datos ‘soportaron’ la ausencia formal de un marco regulatorio de las transferencias existentes de datos a EE.UU.
Lo que recomendamos fuertemente que haga cada organización es revisar sus flujos de datos para confirmar o descartar la existencia de posibles transferencias internacionales de datos a EE.UU. y, en su caso, el amparo de dichas transferencias al Escudo de Privacidad. Dicha información debería estar reflejada en el Registro de Actividades de Tratamientos de cada entidad.
No obstante, con respecto a nuevas transferencias de datos hacía EE.UU. iniciadas a partir de ahora queda claro que no podemos utilizar el escudo de privacidad como base de legitimación, en consecuencia, deberíamos buscar la base de legitimación entre el resto de las garantías adecuadas previstas en el RGPD (art. 46 RGPD), como pueden ser:
-
- Cláusulas Contractuales Tipo, aprobadas por la Comisión Europea y firmadas entre el exportador y el importador de los datos.
- Normas corporativas vinculantes
- un código de conducta, etc.
o, mediante alguna de las excepciones previstas para situaciones específicas, previstas en el artículo 49 del RGPD:
-
- consentimiento explícito del interesado
- transferencia necesaria para la ejecución de un contrato o la ejecución de medidas precontractuales adoptadas a solicitud del interesado
- transferencia por razones de interés público
- transferencia necesaria para la formulación, el ejercicio o la defensa de reclamaciones,
- etc.