En una muy reciente decisión de ayer, 16 de julio 2020, el TJUE ha anulado el Escudo de Privacidad EU-EEUU (o EU-US Privacy Shield), esto es, el acuerdo marco sobre privacidad entre la UE y los Estados Unidos, que amparaba las transferencias internacionales de datos entre la UE y EEUU al establecer obligaciones más estrictas y controles sobre las empresas estadounidenses en la protección de los derechos de privacidad de los ciudadanos de la UE. Este marco daba una mayor seguridad jurídica a las empresas en las transferencias internacionales de datos entre UE y EEUU, ya que dichas transferencias se consideraban válidas si la empresa estadounidense estaba adherida al Privacy Shield.
El Escudo de Privacidad adoptado en el año 2016 vino a sustituir al Safe Harbour, que era el marco anterior que se aplicaba a las transferencias internacionales de datos entre UE y EEUU y que fue invalidado por una sentencia del TJUE de 6 de octubre de 2015 (Asunto C-362/14).
En ambos casos, las sentencias del TJUE parten de una reclamación del ciudadano austríaco Maximiliam Schrems frente a Facebook. El Sr. Schrems consideraba que los datos transferidos por Facebook de Europa a sus servidores en Estados Unidos no estaban seguros porque el gobierno y las agencias de seguridad americanas podían acceder a los datos de ciudadanos europeos sin respetar los derechos y garantías sobre privacidad y protección de datos que se garantizaban a sus titulares en la UE. En este sentido, hacía referencia a las revelaciones del Sr. Edward Snowden sobre las actividades de los servicios de información de Estados Unidos (en particular, la NSA). El Sr. Schrems presentó una reclamación ante el Comisario Irlandés (Facebook Ireland es la empresa con la que los residentes de la UE han de firmar el contrato para el uso de Facebook, de ahí la competencia del Comisario irlandés) por la que solicitaba que prohibiera a Facebook la transferencia de sus datos. El tema llegó al Tribunal Superior de Irlanda (High Court) que planteó al TJUE una petición de decisión prejudicial relativa a la interpretación y a la validez de la Decisión 2000/520 (relativa al Safe Harbour).
En su decisión de 2015, el TJUE declaró invalida la Decisión 2000/520/CE sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y por la que la Comisión declaraba que EEUU garantizaba un nivel de protección adecuado. Es decir, anuló el acuerdo sobre la transferencia internacional de datos conocido como Safe Harbour.
Al caer el marco general que facilitaba de una forma sencilla las transferencias internacionales de datos entre la UE y EEUU, se empezó a negociar un nuevo marco que solucionara los problemas detectados por la Sentencia del TJUE y en línea con el RGDP, hasta que en julio de 2016 se aprobó por la Comisión la adecuación de la protección conferida por el Escudo de Privacidad UE-EEUU.
En ese ínterin, una de las soluciones utilizadas para la transferencia internacional de datos con EEUU fue el uso de las “Cláusulas Contractuales Tipo” de la Comisión Europea, un documento con cláusulas tipo que es firmado por ambas partes (exportadora e importadora de datos) con carácter previo a la transferencia.
Mientras, la batalla del Sr. Schrems seguía porque como consecuencia de la sentencia del TJUE el Tribunal Superior de Irlanda anuló la desestimación de la reclamación del Sr. Schrems y se la devolvió al Comisario, quien abrió una investigación. Como consecuencia de la investigación, el Sr. Schrems modificó su reclamación, pero siguió considerando que el sistema Privacy Shield (y también las Cláusulas Contractuales Tipo) no ofrecía un nivel suficiente de protección de sus derechos fundamentales cuando sus datos son transferidos por Facebook a Estados Unidos – ya que el Derecho estadounidense obliga a Facebook Inc. a poner los datos personales que se le transfieren a disposición de las autoridades estadounidenses- y solicitó al Comisario Irlandés que prohibiese o suspendiese la transferencia de sus datos personales a Facebook Inc.
Aunque la historia es más larga, de ahí se derivó el planteamiento de una nueva cuestión prejudicial al TJUE, y como consecuencia de ello, de nuevo, el TJUE ha anulado el esquema de transferencias acordado por la Comisión Europea, al invalidar la Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, sobre la adecuación de la protección conferida por el Escudo de la Privacidad UE-EEUU.
Por el contrario, el TJUE considera que la Decisión 2010/87/UE de la Comisión, de 5 de febrero, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, no ha puesto de manifiesto la existencia de ningún elemento que pueda afectar a la validez de dicha Decisión. Es decir, mantiene la validez del uso de las Cláusulas Contractuales Tipo.
La sentencia supone un cambio sustancial en cuanto a las transferencias internacionales de datos personales entre la UE y EEUU, ya que aquéllas que se amparaban en el Escudo de Privacidad ya no tienen cobertura legal. Multitud de empresas que realizaban dichas transferencias bajo el marco de protección del Escudo de Privacidad deberán adoptar de forma inmediata otras garantías adecuadas para realizar dichas transferencias, como el uso de Cláusulas Contractuales Tipo o pedir autorización a la autoridad de control.
Todo ello, claro está, mientras no se estudia y se alcanza un acuerdo para establecer otro mecanismo marco que facilite estas transferencias.
Deseo que acabéis de pasar una feliz semana.
Mª Luisa Osuna Páez
17 de julio de 2020