TRANSFERENCIAS INTERNACIONALES: EL TJUE INVALIDA EL “PRIVACY SHIELD”. PRIMER ANÁLISIS.

16 julio, 2020 por Govertis Blog, Noticias 0 comentarios

TRANSFERENCIAS INTERNACIONALES: EL TJUE INVALIDA EL “PRIVACY SHIELD”. PRIMER ANÁLISIS.

El Tribunal de Justicia de la Unión Europea (TJUE) acaba de comunicar una noticia de alcance: queda invalidado el “Privacy Shield” o “Escudo de Privacidad”, mediante el que se autorizan las transferencias internacionales a las entidades de EEUU certificadas en el mismo, entre las cuales se encuentran grandes importadores de datos como Facebook, Amazon, Dropbox, etc. Sin embargo, la sentencia del TJUE sí que mantiene la validez de las cláusulas contractuales tipo, que es otro de los instrumentos por el que se validan estas transferencias internacionales, y que están incluidas en los contratos de muchos de los gigantes de Internet mencionados.

En este punto hay que recordar que, en el marco de la normativa de protección de datos, se entiende por transferencia internacional “el flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega)”.

Para que una transferencia internacional sea legal, se tienen que cumplir algunos de los siguientes requisitos:

  1. Los destinatarios de los datos se encuentren en un país, un territorio o uno o varios sectores específicos de ese país u organización internacional que haya sido declarado de nivel de protección adecuado por la comisión europea mediante una decisión de adecuación. Este es el caso del “Privacy Shield” o “Escudo de Privacidad”.
  2. A falta de decisión de adecuación, debe cumplir las siguientes garantías:
    a) Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos público.
    b)Normas corporativas vinculantes (BCR).
    c)Cláusulas tipo de protección de datos adoptadas por la Comisión.
    d)Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión.
    e)Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a – los derechos de los interesados.
    f) Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las – relativas a los derechos de los interesados.
  3. En ausencia de decisión de adecuación y de garantías, debe cumplir alguno de los siguientes requisitos:

           a) El interesado haya dado explícitamente su consentimiento
            b) La transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado
            c) La transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica
           d) La transferencia sea necesaria por razones importantes de interés público
           e) La transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones
           f) La transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento
         g) La transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.

Decisiones de adecuación: Privacy Shield

Dentro de este listado de declaraciones de adecuación se encuentra la decisión aplicable a las entidades certificadas en el marco de Escudo de Privacidad UE-EE.UU., que acaba de ser invalidada: Decisión 2016/1250.

El Escudo de Privacidad se basa en un sistema de autocertificación por el que las entidades estadounidenses se comprometen a cumplir una serie de principios de protección de la vida privada, establecidos por el Departamento de Comercio de los Estados Unidos y que se recogen en el Anexo II de la Decisión.  

Así, las empresas sujetas a este Escudo de privacidad debían cumplir los siguientes requisitos:   

  • Cumplir con el deber de información a los afectados.  
  • Minimización de los datos y obligación de guardar los datos únicamente durante el tiempo necesario.  
  • Limitaciones en el uso de sus datos para diversos fines.  
  • Obligación de asegurar los datos mediante la adopción de las medidas de seguridad necesarias.  
  • Obligación de proteger los datos si se transfieren a otra empresa.  
  • Atender los Derecho de acceso y rectificación.  
  • Contemplar el Derecho a presentar una reclamación y a obtener reparación por parte del afectado.  

Ya el Parlamento Europeo, en julio de 2018, solicitó a la Comisión la declaración de nulidad del Escudo de Privacidad, al considerar que no garantiza la protección de los derechos de los ciudadanos como quedó de manifiesto en asuntos como “Cambridge Analítica” o el mal uso que se ha efectuado con los datos de usuarios de Facebook.

Sentencia en el asunto C-311/18. Maximillian Schrems y Facebook Ireland

El origen de la sentencia publicada hoy es la reclamación interpuesta por Max Schrems, usuario de Facebook, por la transferencia internacional de datos que se realiza desde Facebook Ireland a Facebook Inc., en EE.UU. Alegó que el Derecho y las prácticas de los Estados Unidos no ofrecían suficiente protección frente al acceso, por parte de las autoridades públicas, a los datos transferidos.

A raíz de su reclamación, en 2015 el TJUE invalidó la Decisión 2000/520 («Decisión de puerto seguro»), que declaraba que EE.UU ofrecía un nivel adecuado de protección, y adoptó la Decisión (UE) 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU («Decisión Escudo de la privacidad»).

Posteriormente, solicitó la suspensión o prohibición de las transferencias de sus datos personales a EEUU que Facebook Ireland lleva a cabo sobre la base de las cláusulas tipo de protección recogidas en la Decisión 2010/87.

A raíz de esto, se planteó cuestión prejudicial al TJUE sobre ambas decisiones: Decisión 2010/87 (cláusulas contractuales tipo) y Decisión 2016/1250 (escudo de privacidad).

El TJUE, finalmente, ha decidido invalidar la Decisión 2016/1250 (escudo de privacidad), y mantener la validez de la Decisión 2010/87 (cláusulas contractuales tipo). 

Afirma el Tribunal en su comunicado de prensa que “las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización, por las autoridades estadounidenses, de los datos transferidos desde la Unión a ese país tercero, y que la Comisión evaluó en la Decisión Escudo de la privacidad, no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas, en el Derecho de la Unión, por el principio de proporcionalidad, en la medida en que los programas de vigilancia basados en la mencionada normativa no se limitan a lo estrictamente necesario”.

Además, en lo que atañe a la exigencia de tutela judicial, el Tribunal de Justicia declara que el mecanismo del Defensor del Pueblo contemplado en la Decisión del Escudo de Privacidad no proporciona ninguna vía de recurso ofrezca garantías sustancialmente equivalentes a las exigidas en el Derecho de la Unión, que le permita adoptar decisiones vinculantes con respecto a los servicios de inteligencia estadounidenses.

Respecto a las cláusulas contractuales tipo, señala el TJUE que “la validez de dicha Decisión no queda puesta en entredicho por el mero hecho de que, debido a su carácter contractual, las cláusulas tipo de protección de datos recogidas en ella no vinculen a las autoridades del país tercero al que podrían transferirse los datos (…) Esa validez depende de si la referida Decisión incluye mecanismos efectivos que permitan garantizar en la práctica que el nivel de protección exigido por el Derecho de la Unión sea respetado y que las transferencias de datos personales basadas en esas cláusulas sean suspendidas o prohibidas en caso de que se incumplan dichas cláusulas o de que resulte imposible cumplirlas. El Tribunal de Justicia indica que la Decisión 2010/87 establece esos mecanismos”.

En definitiva, que si bien la inclusión de estas cláusulas tipo no impedirían el acceso a los datos por parte de las autoridades norteamericanas, esto no las invalida, por cuanto lo que “fallaría” sería la aplicación de las mismas. Para ello, la Decisión 2010/87 surte de instrumentos para los casos de incumplimiento.

Esto, como indicamos en el inicio del artículo, hace que a pesar de decretarse el fin del “Escudo de privacidad”, no queden invalidadas las transferencias internacionales de datos entre organismos y entidades europeas y gran parte de los grandes operadores de Internet estadounidenses, si bien se abre la puerta a reclamaciones para garantizar la eficacia de las mismas.

 

Artículos Relacionados

por Govertis5 septiembre, 20150 comentarios

Bienvenido al blog experto en Gobierno TI, Seguridad, Riesgo y Cumplimiento Normativo

por Govertis4 enero, 20160 comentarios

Aspectos TIC en la reforma de la LECRIM (Parte I)

por Govertis27 enero, 20163 comentarios

LA PROTECCIÓN DE DATOS: 15 AÑOS ANTES Y 15 DESPUÉS…

Escribe un Comentario!

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

RECONOCIMIENTO FACIAL, BIOMETRÍA Y CATEGORÍAS ESPECIALES DE DATOSEntrada anterior:
EL AUGE DE LOS VIDEOJUEGOS FREE TO PLAY (F2P): ALGUNAS REFLEXIONES JURÍDICAS (PARTE II)Siguiente entrada