Blog

Protección de Datos

La TJUE invalida el ‘Privacy Shield’

24 julio, 2020

El Tribunal de Justicia de la UE, mediante la Sentencia del asunto C-311/18, del Data Protection Commissioner / Maximilian Schrems y Facebook Ireland (conocido como “Schrems II”), ha invalidado la Decisión de la Comisión Europea sobre Escudo de Privacidad (Privacy Shield). Indica que, «las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización, por las autoridades estadounidenses, de los datos transferidos desde la Unión a ese país tercero, y que la Comisión evaluó en el Escudo de la privacidad, no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas, en el Derecho de la Unión, por el principio de proporcionalidad, en la medida en que los programas de vigilancia basados en la mencionada normativa no se limitan a lo estrictamente necesario«.

El TJUE señala también, que, con respecto a algunos programas de vigilancia, de la referida normativa no se desprende en modo alguno que existan limitaciones a la habilitación que otorga para la ejecución de esos programas, ni tampoco que existan garantías para las personas no nacionales de los Estados Unidos que sean potencialmente objeto de esos programas.

Ello tiene consecuencias, ya que el Privacy Shield permitía que las organizaciones de EE.UU. que estuviesen adheridas al dicho sistema fueran consideradas como entidades que garantizan un nivel de protección adecuado en materia de protección de datos (en virtud del art. 45 del RGPD 2016/679). Por lo tanto, si se transferían datos personales a entidades ubicadas en los EE.UU. y éstas estaban adheridas al Escudo de Privacidad, ello era equiparable a ceder datos a una entidad de la UE. De hecho, no es la primera vez que el Tribunal de Justicia de la UE invalida una decisión de este tipo. En el pasado, esto ya ocurrió con el antiguo sistema de adecuación, de Puerto Seguro (Safe Harbour), entre la UE y los EE.UU.

Como resultado de lo anterior, las transferencias internacionales que se estén llevando a cabo en la actualidad en las organizaciones basándose en que la entidad de destino esté adherida al Escudo de Privacidad se quedarían sin causa de legitimación, salvo que cuenten también con otras garantías.

En este sentido, es conveniente iniciar la revisión de las transferencias internacionales de datos personales basadas en este sistema, poniendo especial atención a los proveedores de servicios IT contratados que estén ubicados en los EE.UU., con el fin de adoptar otras garantías alternativas para legitimar dichas transferencias internacionales.

Además, la sentencia del Tribunal de Justicia de la UE se pronuncia sobre otras cuestiones relevantes en relación, por ejemplo, con la validez del uso de las Cláusulas Contractuales Tipo de la Comisión Europea (como mecanismo habilitante del RGPD 2016/679 para realizar transferencias internacionales). Se trataría de la nueva alternativa la de utilizar mecanismos como las Cláusulas Contractuales Tipo, aunque apoyarse en este mecanismo tampoco va a resultar una tarea fácil para las empresas debido a que el Alto Tribunal Europeo indica en su sentencia que serán las empresas las que deberán evaluar bajo su responsabilidad si, para cada transferencia, esas cláusulas realmente se pueden cumplir.

Tampoco hay que olvidar la aplicación de sistemas menos utilizados hasta ahora y que cobrarán especial importancia, como, por ejemplo, las Normas Corporativas Vinculantes o los muy novedosos Códigos de Conducta aprobados con arreglo al RGPD.

Asimismo, estamos a la espera de que la Agencia Española de Protección de Datos se pronuncie al respecto. La Agencia Española de Protección de Datos, en el seno de la reunión plenaria del Comité Europeo de Protección de Datos, ha participado en la adopción del comunicado emitido, en el que se señala la importancia de la Sentencia respecto del derecho fundamental de la protección de datos en el marco de las transferencias internacionales a terceros países, pero todavía no ha dado más indicaciones.

Lo que sabemos, es que la Agencia va a seguir trabajando conjuntamente con el resto de Autoridades europeas en una respuesta armonizada a nivel europeo y participará en las labores que se lleven a cabo para adoptar un enfoque común, garantizando así una aplicación consistente de la sentencia en todos los países de la UE.

En DATAX, somos especialistas en la correcta gestión y tratamiento de transferencias internacionales de datos personales. Con una larga trayectoria profesional que nos acredita, nuestros clientes pueden tener la tranquilidad de que, en caso de transferir datos personales fuera de la UE, cumplen con lo que dispone la normativa vigente en materia de protección de datos y seguridad de la información, reduciendo el riesgo de sanción y reclamación, y, protegiendo a su vez sus intereses empresariales.

Javier de Zea

Consultor Legal en materia de protección de datos y seguridad de la información.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *