¿Qué supone la decisión del TJUE por la que se invalida el “Privacy shield”?

El pasado 17 de julio iniciábamos el día con una resolución del Tribunal de Justicia de la Unión Europea (TJUE) de mucho peso en el ámbito de la protección de datos. Dicha resolución anula el conocido “Privacy Shield” que hacía posible que se llevasen a cabo transferencias internacionales de datos entre la Unión Europea (UE) y los Estados Unidos (EE. UU).

Las transferencias internacionales: suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega).

El “Privacy Shield” (Escudo de privacidad): es el acuerdo firmado en 2016 en sustitución al anterior marco legal conocido como “Safe Harbour” (Puerto seguro), se encarga de proteger los derechos fundamentales de cualquier persona en la UE cuyos datos personales se transfieran a los Estados Unidos aportando claridad jurídica para las empresas que dependen de transferencias internacionales de datos. Asimismo, la propia Decisión 2016/1250 indica que “el escudo de la privacidad UE-EE. UU. se basa en un sistema de auto certificación por el que las entidades estadounidenses se comprometen a cumplir una serie de principios de protección de la vida privada establecidos por el Departamento de Comercio de Estados Unidos y enumerados en el anexo II de la presente Decisión”.

Pero, ¿qué ha llevado al TJUE a tomar esta decisión?

El origen de la Decisión del TJUE tiene lugar en dos reclamaciones presentadas por el Sr. Schrems, un ciudadano austríaco y usuario de Facebook desde 2008. Este usuario de la red social presentó una reclamación ante la autoridad irlandesa de control en la que solicitaba, esencialmente, que se prohibiesen las transferencias de sus datos personales desde Facebook Ireland a servidores pertenecientes a Facebook Inc., situados en el territorio de Estados Unidos, donde son objeto de tratamiento. 

En su reclamación alegaba que el Derecho y las prácticas de los Estados Unidos no ofrecían suficiente protección frente al acceso, por parte de las autoridades públicas, a los datos transferidos a ese país. Esta reclamación fue el origen de la antedicha sentencia que declaraba nulo el “Safe Harbor” en 2015 (sentencia del TJUE 6 de octubre de 2015).

En una segunda reclamación este ciudadano austríaco argumenta que Estados Unidos no ofrece una protección suficiente de los datos que se transfieren a ese país y solicita la suspensión o prohibición, de cara al futuro, de las transferencias de sus datos personales desde la Unión a los Estados Unidos por parte de Facebook Ireland.

En base a las reclamaciones indicadas, los principales motivos por los que el TJUE ha tomado la decisión de invalidación del escudo de privacidad son:

En primer lugar, por el riesgo que entiende que presentan los programas de vigilancia estadounidenses para los datos de carácter personal de todos los ciudadanos europeos, dado que expone que el escudo de privacidad puede llegar a menoscabar los derechos fundamentales de las personas cuyos datos se transfieren a servidores que se encuentran alojados en Estados Unidos. El Tribunal estima dicha pretensión toda vez que el tratamiento de los datos no se limita a lo estrictamente necesario, si no que podrían llegar a utilizarse para otros fines que difieren totalmente de lo estipulado, y esto es así ya que la legislación norteamericana en materia de protección de datos es considerada por los jueces como “menos estricta” que la europea, indicando textualmente el TJUE:

«las personas cuyos datos personales se transfieren a un país tercero deben gozar de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión», aspecto que no se está cumpliendo a través del “Privacy Shield”.

En segundo lugar, otro de los principales motivos por los que lleva al TJUE a tomar la decisión de anular el escudo de privacidad, es la constatación de las limitaciones del derecho a la tutela judicial efectiva que existen en EE. UU. Se ha podido comprobar que la normativa de Estados Unidos no prevé posibilidad alguna de que el justiciable ejerza acciones en Derecho para acceder a los datos personales que le conciernen o para obtener su rectificación o supresión, lo cual está yendo en contra de las garantías prestadas por los países de la Unión Europea.

Entonces, ¿qué alternativas tienen las empresas para realizar Transferencias Internacionales a EE. UU con el Escudo de Privacidad invalidado?

Como punto de partida, altamente recomendable, es que las empresas aprovechemos la nueva situación para revisar y analizar las posibles transferencias internacionales que realizamos en base al “Privacy Shield”, como por ejemplo el uso de la plataforma MailChimp o utilización de la nube de Google con servidores sitos en EE.UU, etcétera.

Nos centramos ahora en el análisis de alternativas óptimas:

• Cuando estamos ante grupo empresarial:

Las Normas Corporativas Vinculantes o BCR (art. 47 RGPD), se sitúan como el modo más plausible de realizar transferencias internacionales en compañías multinacionales, tratándose de un mecanismo de autorregulación, lo cual permite actualizarlas a nuevos tratamientos, adaptarlas a nuevos usos de la tecnología, así como a los cambios de legislación nacional. Hasta el momento en España la autoridad de control (AEPD) solamente ha aprobado BCR para el Grupo FAE a través del informe que podrás visualizar pinchando aquí.

Por lo tanto, si un grupo de empresas quiere realizar transferencias internacionales deberá presentar su solicitud de aprobación ante la AEPD, indicando la propia autoridad de control que se estudiará y dará una respuesta en el plazo máximo de 6 meses desde su recepción.

• Empresas que no forman parte de un grupo:

Debemos acudir al artículo 46 del RGPD “Transferencias mediante garantías adecuadas”, ofreciendo como alternativa para estos casos la utilización de:

1. 1. Cláusulas tipo de protección de datos adoptadas por la Comisión, actualmente contamos con las siguientes:

• Decisión 2001/497/CE, de 15 de junio de 2001, relativa a cláusulas contractuales tipo para la transferencia de datos personales entre responsables del tratamiento a un tercer país
• Decisión 2004/915/CE, de 27 de diciembre de 2004, por la que se modifica la Decisión 2001/497/CE en lo relativo a la introducción de un conjunto alternativo de cláusulas contractuales tipo para la transferencia de datos personales a terceros países
• Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE d

Si hacemos uso de ellas no sería necesaria la autorización expresa por parte de la AEPD para la realización de transferencias internacionales a EE.UU. (al contrario de lo que ocurría con la LOPD 15/1999 en sus artículos 33 y 34 y el Real Decreto 1720/2007 en su artículo 65). Algo que llama bastante la atención sobre estas cláusulas es que tanto el TJUE como la Comisión las han considerado válidas a pesar de que fueron elaboradas en base a una normativa que ya no es de aplicación en materia de protección de datos (Directiva 95/46/CE que fue derogada por el RGPD).

El TJUE ha determinado tras examinar la Decisión 2010/87/CE de la Comisión Europea sobre las cláusulas contractuales estándar («CCE») que ésta es válida.

No obstante, dicha validez, tendrá una serie de salvedades que hemos de tener en cuenta:

• En ningún caso las CCE son vinculantes para los países de destino.
• Tanto el exportador de datos y al destinatario de los datos tienen la obligación de verificar, antes de cualquier transferencia, si se cumple con el nivel de protección “esencialmente equivalente” al garantizado en la UE por el RGPD en el tercer país de que se trate. Por lo tanto, si esto no es así las transferencias de datos personales en virtud de dichas cláusulas deberán de suspenderse.
• La autoridad de control tendrá la potestad de invalidar las CCE, en virtud del ya indicado Ar.46 RGPD, en los casos que estas no cumplan con las premisas indicadas en el párrafo anterior.

Asimismo, sin perjuicio de lo indicado anteriormente y considerando como los medios óptimos para realizar transferencias internacionales los que hemos ido detallando no podemos obviar la referencia al Art.49 RGPD, el cual incorpora otros supuestos que habilitarían estas transferencias internacionales de datos: a falta de decisión de adecuación y de garantías, solamente podrá realizarse la transferencia internacional de datos de carácter personal si se cumple una de las premisas que referenciamos en adelante:

1. a) El interesado haya dado explícitamente su consentimiento.
2. b) La transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado.
3. c) La transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica.
4. d) La transferencia sea necesaria por razones importantes de interés público.
5. e) La transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones.
6. f) La transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.
7. g) La transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.

Cuando tampoco sea aplicable ninguna de estas excepciones, solo se podrá llevar a cabo una transferencia si no es repetitiva, afecta solo a un número limitado de interesados, es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades del interesado, y el responsable del tratamiento evalué todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofrezca garantías apropiadas con respecto a la protección de datos personales. En este supuesto el responsable del tratamiento informará a la autoridad de control de la transferencia.

¿Qué ha dicho la AEPD respecto a la decisión tomada por el TJUE?

El pasado 22 de julio la AEPD emitió un comunicado al respecto, indicando que actualmente se encuentran estudiando el asunto con el resto de autoridades europeas para dar una respuesta armonizada a nivel europeo al respecto. Aunque se desconoce se entiende que ayudarán a sobrellevar la situación que deja la invalidación del escudo de privacidad.

A modo de conclusión, la invalidación del “Privacy Shield” marcará un antes y un después en materia de protección de datos, en lo que respecta a las transferencias internacionales, en tanto en cuanto consideramos que los fundamentos esgrimidos por el TJUE en su decisión refuerzan las garantías sobre los derechos fundamentales de los ciudadanos de la Unión Europea.