El TJUE invalida el Privacy Shield

El TJUE invalida el Privacy Shield

Por Irene Hernández  Batista

Abogada y D.P.O. – FORLOPD

¿Qué es el privacy shield?

El 16 de julio el Tribunal de Justicia de la Unión Europea, al invalidar el Privacy Shield, asestó un duro golpe a todas las empresas que fundaban sus transferencias internacionales de datos personales, en dicho acuerdo. Dentro de este acuerdo podíamos encontrar a grandes multinacionales como Mail Chimp, Facebook o Twitter; por mencionar algunas. La resolución llega poco tiempo después de que en Estados Unidos se planteara la prohibición de la red social china Tik Tok, vinculada con las autoridades institucionales asiáticas.

Con la sentencia del TJUE se ha generado una situación difícil para aquellas empresas que hacían uso de clouds o servicios de marketing de empresas ubicadas en Estados Unidos y que únicamente se fundaban en el acuerdo que ahora ha sido invalidado.

Antecedentes

Probablemente esta decisión no nos resulta totalmente desconocida y es que, si vamos 5 años atrás, en 2015 ya ocurrió lo mismo con el llamado acuerdo de Puerto seguro o Safe Harbour Agreement. El austriaco Max Schrems,presentó queja contra Facebook por considerar que se estaba violando la Directiva de 1995, ahora ya derogada por el RGPD, en relación con el acceso a sus datos personales por las autoridades estadounidenses. Este escándalo, si recordamos, fue destapado por Edward Snowden que había trabajado para la Agencia de Seguridad Nacional.

Fruto de la situación generada por la invalidación de tal acuerdo, surgió el Privacy Shield, que, para muchos seguía siendo una continuación del anterior acuerdo que más de 5.000 empresas suscribieron. Por su parte Facebook, decidió confiar en las cláusulas contractuales tipo, aprobadas y reconocidas por la Comisión Europea. Éstas, son incorporadas a los contratos entre partes. Sin embargo, el activista Schrems presentó nuevamente reclamación fundada en argumentos similares contra las cláusulas tipo recogidas en la Decisión 2010/87 y que, tras un largo proceso, ha llegado al TJUE. La sentencia, además de declarar la invalidez del Privacy Shield, en contraposición a lo valorado por la Comisión en su Decisión 2016/1250, ha valorado también estas cláusulas.

Razones de la anulación

Siempre ha sido conocida la primacía que tiene la seguridad nacional, la defensa y el cumplimiento de la legislación estadounidense en EEUU, frente a la privacidad del individuo. En definitiva, podría decirse que la legislación norteamericana es más flexible y menos garantista que la europea en cuanto a la protección de datos personales.

Recordando que el Privacy Shield, fue creado para admitir ciertas excepciones a las leyes comunitarias;el TJUE, a través de su última sentencia, ha venido a decir que, dichas excepcionalidades no pueden suponer una transgresión de la legislación europea, es decir, la persona titular de datos transferidos a Estados Unidos debe gozar de una protección equivalente también en ese país.

El Privacy Shield, al reconocer esa primacía anteriormente referida, viene posibilitando injerencias en los derechos fundamentales de los europeos, por parte de las autoridades estadounidenses sin limitaciones que se ajusten a las exigencias que el principio de proporcionalidad contempla en el Derecho de la UE.

Por otro lado, el TJUE contempla la ausencia de unas garantías equivalentes a las europeas que puedan salvaguardar el derecho a la tutela judicial del individuo frente a las autoridades estadounidenses.

¿Y qué pasa con las cláusulas contractuales tipo?

El TJUE entiende que, por el contrario, la validez de las cláusulas fundamentadas en la Decisión 2010/87 no puede ponerse en cuestión aunque su naturaleza contractual no vincule a autoridades de países terceros. La validez de las mismas se encuentra en la inclusión de mecanismos que garanticen que el nivel de protección que la normativa europea exige sea respetado y que, en caso de no hacerlo, se suspenda o prohíba toda transferencia internacional basada en esas cláusulas.

Según lo manifestado por el TJUE, dichos mecanismos sí se contemplan en la Decisión estudiada al prever una comprobación previa del destinatario de los datos.

Futuro incierto

Se genera un futuro incierto con esta decisión. Se muestra altamente improbable que se busque un sustituto al Privacy Shield por cuanto ya es la segunda vez que nos encontramos ante una invalidación total que provoca un limbo y una clara inseguridad jurídica.

El RGPD contempla otros mecanismos que, si bien hasta ahora eran totalmente desconocidos o desplazados, ahora deben ser estudiados y valorados.

Las autoridades de control se verán obligadas a suspender o prohibir toda transferencia internacional cuando, atendiendo al contexto de la misma, las cláusulas contractuales tipo no sean respetadas en el país de destino y que la seguridad que el Derecho de la UE exige para los datos personales de europeos, no pueda ser garantizada por otros medios diferentes.

Los mecanismos alternativos que ahora sí cobran importancia desde la entrada en vigor del RGPD son:

• Normas corporativas vinculantes
• Cláusulas contractuales tipo adoptadas por la Comisión que siguen siendo válidas y las adoptadas por una autoridad de control y aprobadas por la Comisión.
• Los códigos de conducta acompañados de compromisos vinculantes y exigibles de aplicar garantías adecuadas.
• Mecanismos de certificación con los compromisos ya referidos.
• Consentimiento explícito de los afectados una vez hayan sido informados de los posibles riesgos cuando no se dan mecanismos anteriores.