El Tribunal de Justicia de la Unión Europea anula el Escudo de Privacidad ('Privacy Shield')
Alerta Protección de Datos España
El Escudo de Privacidad es el marco que permitía las transferencias internacionales de datos entre Europa y Estados Unidos; su anulación provocará un caos en las relaciones comerciales entre la UE y el país norteamericano.
En una decisión que nos retrotrae cinco años, el Tribunal de Justicia de la Unión Europea (TJUE) vuelve a anular el marco de transferencias internacionales de datos entre la Unión Europea (UE) y los Estados Unidos (EEUU).
En el año 2016, la Comisión Europea adoptó una decisión que declaraba válidas las transferencias de datos personales entre la UE y EEUU, siempre que la empresa receptora de los datos estuviera adherida a un sistema de control denominado “Escudo de Privacidad” (Privacy Shield, en inglés). Esta decisión de la Comisión de 2016 subsanaba el problema que se había producido un año antes, cuando el TJUE había anulado el esquema de transferencias internacionales en vigor hasta entonces, el “Puerto Seguro” (Safe Harbor), tras la reclamación del ciudadano austríaco Maximiliam Schrems frente a Facebook. El motivo de la reclamación se basaba en que los datos transferidos desde Europa a EEUU por la red social no estaban seguros, porque el gobierno y las agencias de seguridad americanas podían acceder a todos los datos sin respetar las garantías y derechos fundamentales reconocidos en la UE a sus ciudadanos, fundamentalmente los derechos a la privacidad y a la protección de sus datos.
Cuando el TJUE anuló el Safe Harbor, a falta de un marco general de cumplimiento, la única alternativa para realizar transferencias internacionales era la utilización de las denominadas “Cláusulas Contractuales Tipo” de la Comisión Europea, un documento que deben firmar ambas partes, exportadora e importadora de datos, con anterioridad a cualquier transferencia. Esa situación produjo un terremoto jurídico que causó enormes problemas a todas las empresas que transferían datos a EEUU o que utilizaban prestadores de servicios ubicados en EEUU. La aprobación en 2016 del Escudo de Privacidad volvió a facilitar las transferencias internacionales de una forma sencilla y fluida.
Lo que se produce ahora con la nueva sentencia del TJUE es como un remake de aquella situación de 2015. Schrems volvió a reclamar ante el regulador irlandés, argumentando que ni las Cláusulas Contractuales Tipo ni el esquema de Escudo de Privacidad respetaban sus derechos fundamentales cuando sus datos son transferidos a Estados Unidos. Irlanda volvió a plantear una cuestión prejudicial ante el TJUE y este tribunal ha vuelto a anular, en la que ahora se denomina sentencia Schrems 2, el esquema de transferencias aprobado por la Comisión Europea. El TJUE mantiene, sin embargo, la validez de las cláusulas contractuales tipo que habían sido también impugnadas.
La consecuencia de todo ello es que la gran mayoría de las transferencias internacionales que se producen todos los días entre Europa y EEUU se convierten en ilegales, debiendo las empresas exportadora e importadora adoptar otras garantías adecuadas de forma inmediata (por ejemplo, firmar unas cláusulas contractuales tipo si ello fuera posible o pedir autorización a la autoridad de control), modificar sus políticas de privacidad y realizar otros análisis de riesgos internos, si no quieren arriesgarse a asumir el riesgo de enormes sanciones por incumplimiento del RGPD, que pueden llegar hasta los 20 millones de euros o el 4% de su volumen de facturación anual.
Profesional de contacto