El Tribunal de Justicia de la Unión Europea anula el Escudo de Privacidad que permitía la transferencia de datos personales de la Unión Europea a Estados Unidos

El pasado 16 de julio, el Tribunal de Justicia de la Unión Europea (TJUE) dictó la sentencia del Caso C-311/18 (El Comisionado de Protección de Datos vs. Facebook Ireland Ltd. y Maximillian Schrems) (la “Sentencia”), en la que se anuló la Decisión 2016/1250 de la Comisión Europea por la que se adoptaba el Escudo de Privacidad.

Recordemos que el RGPD supedita las transferencias de datos personales de la UE a terceros países o a organizaciones internacionales al cumplimiento de las condiciones establecidas en su capítulo V con el fin de obtener unas garantías de protección de los datos personales transferidos similares a las garantías ofrecidas en la UE.

En este sentido, conforme al artículo 45 del RGPD, la Comisión Europea es competente para determinar si un país u organización internacional fuera de la UE ofrece un nivel adecuado de protección de datos personales. Cuando esto sucede, la Comisión adopta una decisión de adecuación.

El Escudo de Privacidad era una decisión de adecuación adoptada por la Comisión Europea el 12 de julio de 2016 en el que se declaraba que los datos personales procedentes de la UE podían transferirse a empresas en EE.UU. si estas se comprometían a tratar los datos siguiendo una serie de normas de protección y salvaguardias bien definidas.

Para ello, las empresas estadounidenses interesadas debían suscribirse al marco del Escudo de Privacidad en el Departamento de Comercio de los EE.UU. y comprometerse a cumplir anualmente con una serie de obligaciones conocidas como “Los Principios de Privacidad”. Actualmente hay más de 5.000 empresas estadounidenses suscritas al marco del Escudo de Privacidad.


¿Por qué el TJUE ha anulado el Escudo de Privacidad?

Según el comunicado de prensa del TJUE, la anulación del Escudo de Privacidad se debe en primer lugar a que: “las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización por las autoridades estadounidenses” de los datos personales procedentes de la UE, no “satisfacen los requisitos equivalentes a los requeridos bajo el Derecho de la Unión, conforme al principio de proporcionalidad” debido a que “los programas de vigilancia (de EE.UU.) basados en esas disposiciones no se limitan a lo estrictamente necesario”.

Es decir, la desproporcionada vigilancia de los datos personales en EE.UU. por parte de sus servicios de inteligencia hace inviable que este país y sus empresas puedan ofrecer por el momento garantías adecuadas de protección de los datos personales transferidos similares a las garantías ofrecidas en la UE.

En segundo lugar, el TJUE menciona la insuficiencia del Mecanismo del Ombudsperson (Defensor del Pueblo) creado a través del Escudo de Privacidad.

El Ombudsperson del Escudo de Privacidad es un alto funcionario del Departamento de Estado de los EE.UU. que actúa con independencia de las agencias de información estadounidenses, y cuya misión es la de garantizar que las reclamaciones de los interesados se investiguen y gestionen apropiadamente en tiempo y forma.

Conforme al comunicado del TJUE, el Mecanismo del Ombudsperson “no proporciona a los interesados ninguna causa de acción ante un organismo que ofrezca garantías sustancialmente equivalentes a las exigidas por la legislación de la UE, como para garantizar tanto la independencia del Ombudsperson prevista por ese mecanismo como la existencia de normas que facultan al Ombudsperson para adoptar decisiones vinculantes para los servicios de inteligencia de los EE.UU..”


Alternativas para la transferencia de datos personales a EE.UU..

Tras la anulación del Escudo de Privacidad, los artículos 46 y 47 del RGPD ofrecen alternativas a las empresas que desean seguir enviando datos personales a EE.UU..

Concretamente, la alternativa más frecuente ha sido el uso de las cláusulas contractuales tipo de protección de datos adoptadas por la Comisión (“CCTs”). Sin embargo, las CCTs son anteriores a la publicación y entrada en vigor del RGPD, por lo que las empresas deberán revisar todas estas cláusulas para cerciorarse de que son suficientes para ofrecer las garantías adecuadas exigibles por el RGPD.

En este sentido, el considerando 109 del RGPD dice que: “Se debe alentar a los responsables y encargados del tratamiento a ofrecer garantías adicionales mediante compromisos contractuales que complementen las cláusulas tipo de protección de datos”.

La AEPD enumera en su página web de una forma más exhaustiva todas las opciones disponibles a la hora de transferir datos personales a países ajenos a la UE.


Conclusión:

La Sentencia del TJUE deja en una situación de incertidumbre legal a las empresas multinacionales estadounidenses que se han suscrito al marco del Escudo de Privacidad, realizando para ello inversiones millonarias con el fin de adaptar sus políticas y procedimientos relacionados con el tratamiento de datos a la normativa del RGPD.

A priori parece difícil que las empresas estadounidenses puedan encontrar fórmulas adecuadas para garantizar los derechos de los interesados de una forma similar al RGPD, cuando el propio TJUE reconoce que uno de los principales problemas en EE.UU. es la desproporcionada vigilancia de los datos personales realizada por parte de sus servicios de inteligencia.

Será interesante comprobar si las autoridades de protección de datos de la U.E. otorgarán un periodo de gracia a las empresas que envían datos personales a EE.UU. para que estas puedan adaptarse lo antes posible a la nueva realidad legal.

En la fecha actual, la Comisión Europea ha adoptado decisiones de adecuación para la transferencia de datos personales con los siguientes países: Andorra, Argentina, Canadá, Guernsey, Isla de Man, Islas Feroe, Israel, Japón, Jersey, Nueva Zelanda, Suiza, y Uruguay.


Si te ha parecido interesante el post, puedes suscribirte a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.

Comentarios

Subscribe
Notify of
guest
0 Comentarios
Inline Feedbacks
View all comments
Ir al TOP
0
Would love your thoughts, please comment.x