El Tribunal de Justicia de la Unión Europea ha declarado inválida la decisión de adecuación de la Comisión europea, denominada “Privacy Shield” o “Escudo de Privacidad UE-EE. UU.”, dejando en evidencia el acceso eventual de los servicios de inteligencia estadounidenses a los datos personales transferidos de los ciudadanos europeos.
Mecanismos de adecuación de las transferencias internacionales de datos personales
El principio general que rige las transferencias internacionales de datos es la preservación del nivel de protección de los datos personales de los ciudadanos europeos, una vez dichos datos son tratados en un tercer país u organización internacional.
Para la realización de este tipo de transferencias, el Reglamento General de Protección de Datos europeo – conocido como “RGPD”-, prevé varios mecanismos legales. El primero de ellos es el reconocimiento por parte de la Comisión europea de aquellos destinatarios internacionales que cumplen con las garantías adecuadas para que dichas transferencias puedan producirse.
En defecto de decisión europea, el RGPD prevé la utilización de cláusulas tipo y determinadas normas vinculantes entre los responsables y/o encargados del tratamiento, de tal forma que los ciudadanos europeos cuenten con derechos exigibles y acciones legales efectivas. A diferencia de la situación anterior, cada autoridad de control podrá decidir si prohibir o suspender este tipo de transferencias internacionales si no garantizan el cumplimiento del RGPD.
Terceros países reconocidos por la Comisión europea
La Comisión Europea ha reconocido a Suiza, Canadá, Argentina, Andorra, Israel, Uruguay y Nueva Zelanda, entre otros, como países que cuentan con un nivel adecuado de protección. Estados Unidos ha sido considerado desde el día 12 de julio de 2016 como un destinatario adecuado por la Comisión europea, siempre que las entidades estadounidenses destinatarias de los datos personales de ciudadanos europeos formaran parte del Escudo de Privacidad UE-EE. UU.
Sin embargo, tras la Sentencia del Tribunal de Justicia Europeo del pasado 16 de julio de 2020, Estados Unidos ha dejado de contar con el reconocimiento de la Comisión, abriéndose de nuevo un futuro incierto respecto a las garantías que ofrece la legislación estadounidense en esta materia.
Cabe recordar que ya en el año 2015 la corte europea anuló el acuerdo entre Europa y Estados Unidos, denominado “Safe Harbor” o “Puerto Seguro”.
Argumentos del Tribunal de Justicia Europeo
Según el Tribunal, si bien los ciudadanos europeos disponen de una serie de vías de recurso cuando han sido objeto de vigilancia electrónica no autorizada, le resulta evidente que no están cubiertas todas las bases jurídicas para los ciudadanos europeos en Estados Unidos.
Afirma que los ciudadanos no estadounidenses, aunque dispongan de la posibilidad de recurso jurisdiccional, como el previsto en la Ley estadounidense de vigilancia de inteligencia exterior (“FISA”, por sus siglas en inglés), sufren una limitación respecto de los medios de acción previstos en la legislación comunitaria.
La referida Sentencia se ha dictado en un procedimiento judicial iniciado de nuevo por Maximillian Schrems frente a Facebook en relación con la transferencia de sus datos personales por parte de Facebook Ireland Ltd. a Facebook Inc. en Estados Unidos.
Toda persona residente en el territorio de la Unión Europea que desee utilizar esta red social celebra un contrato en el que se establece que sus datos personales se transfieren total o parcialmente a servidores pertenecientes a Facebook Inc., pudiendo los servicios de inteligencia estadounidenses conocer los datos de los ciudadanos europeos e incluso el contenido de las comunicaciones.
El Tribunal europeo afirma que el tratamiento de los datos de los ciudadanos europeos con fines de seguridad pública, defensa o seguridad del Estado por parte de las autoridades estadounidenses no puede excluir la aplicación del RGPD e insta a las autoridades de control a velar por su cumplimiento.
En aras a facilitar la misión encomendada a las autoridades de control en materia de protección de datos (en España, la Agencia Española de Protección de Datos), invalida la decisión de adecuación de la Comisión respecto de Estados Unidos y determina que cada autoridad de control deberá apreciar con independencia si la transferencia internacional cumple con las exigencias establecidas por el RGPD e interponer los recursos necesarios ante los tribunales nacionales.
En caso de que existiera contradicción entre las resoluciones de las distintas autoridades de control europeas, deberá solicitarse un dictamen al Comité Europeo de Protección de Datos con la finalidad de adoptar una decisión que será vinculante para todas ellas.
Consecuencias legales
El Tribunal de Justicia europeo entiende que el acceso a los datos personales afecta al derecho fundamental de las personas al respeto de la vida privada y, por tanto, la comunicación de datos de carácter personal a una autoridad pública constituye una injerencia en los derechos fundamentales de los ciudadanos europeos.
Tras la anulación de la decisión de la Comisión, las transferencias internacionales de datos a Estados Unidos desde Europa deberán realizarse por el momento con el consentimiento expreso del interesado, para la ejecución de un contrato o reclamación en interés del mismo o para proteger sus intereses vitales, pudiendo cada autoridad de control suspender o prohibir estas transferencias internacionales de datos en caso de no adecuarse a las garantías otorgadas por la legislación europea.
Por su parte, los responsables y/o encargados de tratamiento deberán recurrir a cláusulas tipo adoptadas por la Comisión o la autoridad de control competente, incluyéndose otras cláusulas o garantías adicionales siempre que no contradigan ni mermen los derechos o las libertades fundamentales de los ciudadanos europeos.
En Evolvers contamos con Delegados de Protección de Datos certificados que conocen cómo aplicar en tu empresa la legislación vigente a las transferencias internacionales de datos.