El pasado 16 de julio de 2020 el Tribunal de Justicia de la Unión Europea dictó sentencia en el Asunto C311/18. Mediante la cuál se declaraba inválido el Acuerdo de Privacy Shield para las transferencias de datos entre Europa y Estados Unidos a aquellas entidades norteamericanas adheridas al Acuerdo de Privacy Shield.

 

Origen de la declaración de invalidez del Privacy Shield: el antecedente de Safe Harbour

En el año 2015, el Tribunal de Justicia de la Unión Europea (“TJUE”), declaró inválida igualmente la Decisión 2000/520 de la Comisión Europea. Esta era conocida como “Safe Harbour” (esto es, el acuerdo de aplicación hasta ese momento en materia de transferencias de datos personales entre la UE y EE.UU.). Lo hace mediante la sentencia de 6 de octubre (C-362/14).

Este caso se basó fundamentalmente en la reclamación por parte del ciudadano austriaco, Maximillian Schrems, contra Facebook. A fin de impedir que la compañía tecnológica y otras empresas pudieran exportar sistemáticamente datos personales de ciudadanos de la Unión Europea a este país y ponerlos a disposición de los servicios de inteligencia estadounidenses a través del programa PRISM. Ello sin ningún tipo de respeto a las garantías y derechos fundamentales reconocidos por la UE a sus ciudadanos en materia de privacidad y protección de datos.

En este sentido, y al igual que ocurrió hace cinco años, el TJUE ha vuelto a dar la razón a Maximillian Schrems. Invalidando la aplicación del acuerdo “Privacy Shield” mediante la Sentencia de 16 de julio de 2020 (asunto C‑311/18).

 

Sentencia del TJUE de 16 de julio de 2020

Conforme a la nueva sentencia dictada por el alto tribunal europeo, el acuerdo de Privacy Shield no es capaz de garantizar la seguridad de los datos dentro del marco de protección exigido por el RGPD. Por lo que no ofrece a los usuarios las garantías exigidas por la normativa para el tratamiento de sus datos de carácter personal.

La corte establece que, si bien la misma normativa establece exigencias que las autoridades estadounidenses deben respetar al aplicar los programas de vigilancia de que se trata, estos programas de vigilancia no confieren a los interesados los derechos exigibles conforme al RGPD ante las autoridades estadounidenses.

Por lo tanto, y en lo que se refiere a la exigencia de tutela judicial, el TJUE declara que: “contrariamente a lo que la Comisión consideró en la decisión Escudo de la privacidad”, el mecanismo del Defensor del Pueblo contemplado en dicha decisión no proporciona a esas personas ninguna vía de recurso ante un órgano que ofrezca garantías sustancialmente equivalentes a las exigidas en el Derecho de la Unión.

 

Alternativa propuesta por el TJUE ante la declaración de invalidez del “Privacy Shield”: cláusulas contractuales tipo

Esta Sentencia ha dado lugar a una situación muy similar a aquella vivida en el año 2015 con la declaración de invalidez del “Safe Harbour”. Volviendo a tener que acudir de nuevo las empresas a las cláusulas contractuales tipo para las transferencias de datos personales a terceros países que, a su vez, también fueron impugnadas con la entrada en vigor del propio “Privacy Shield” en el año 2016.

En este sentido, estas cláusulas tipo pueden definirse como instrumento que permite a los responsables del tratamiento realizar transferencias internacionales con garantías. Suscribiendo un contrato entre el exportador e importador de la información por el que, este último, se compromete a tratar la información de forma acorde a las exigencias del RGPD.

Las cláusulas contractuales tipo deben estipular las medidas de seguridad técnicas y organizativas necesarias que han de aplicar los encargados del tratamiento establecidos en un tercer país que no ofrece la protección adecuada Con el fin de garantizar el nivel de seguridad apropiado para los riesgos que entraña el tratamiento y la naturaleza de los datos que han de protegerse.

A este respecto, el importador de datos tratará los datos personales transferidos sólo en nombre del exportador de datos y de conformidad con las instrucciones que reciba y las obligaciones impuestas en las cláusulas. Consistiendo el encargo exclusivamente en las operaciones acordadas en el contrato entre el exportador de datos y el importado. Este no se referirá a operaciones de tratamiento o finalidades diferentes para respetar así el principio de limitación de la finalidad.

Desde Letslaw seguiremos informando de cualquier novedad relevante en esta materia.

Letslaw es un despacho de abogados especializado en privacidad y derecho digital.

letslaw

Letslaw es una firma de abogados internacionales especializada en el derecho de los negocios.