El Tribunal de Justicia de la Unión Europea (TJUE) emitió el 16 de julio de 2020 un importante fallo sobre el régimen de transferencia de datos entre la Unión Europea (UE) y los Estados Unidos de América (EE.UU.) en el llamado caso “Facebook Ireland c. Schrems”, por el cual el TJUE dictamina que el nivel de seguridad exigido en el RGPD no se alcanza en aquellos datos personales almacenados y procesados por EE.UU.

El TJUE invalida con esta sentencia la Decisión 2016/1250 sobre la adecuación de la protección conferida por el llamado “Escudo de privacidad o Privacy Shield”, que permitía la transferencia de datos entre la UE y los operadores de los EE. UU. que se adhirieran a sus principios de protección de datos sin más formalidades.

Eso sí, declara que la Decisión 2010/87 de la Comisión, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a encargados de tratamiento establecidos en terceros países, tiene plena validez.

 

¿QUÉ ES EL PRIVACY SHIELD?

El Privacy Shield, también conocido como “Escudo de la privacidad UE-EEUU” o “EU-US Privacy Shield”, es un acuerdo firmado en 2016 entre EE.UU. y la Unión Europea como marco para la protección de datos, que sustituye al antiguo marco de “Puerto Seguro” (o “Safe Harbor”), el cual había estado vigente hasta 2015 cuando fue anulado igualmente por el Tribunal de Justicia de la Unión Europea.

La función del Privacy Shield se basaba en el cumplimiento de la normativa europea en materia de protección de la privacidad de los ciudadanos en los intercambios de datos con EE.UU. Es decir, su principal objetivo se centraba en garantizar que las empresas norteamericanas que recolectan datos de usuarios europeos lo hicieran cumpliendo con la normativa europea de protección de datos.

 

¿POR QUÉ SE HA INVALIDADO ESTE ACUERDO?

Según el TJUE la invalidación de este acuerdo se basa en las limitaciones de la protección de datos personales a consecuencia de la normativa interna de Estados Unidos, con respecto al acceso y uso de los datos que se transfieren desde UE por las autoridades estadounidenses.

Las limitaciones de la protección de datos personales no están reguladas conforme a los requisitos del Derecho de la Unión Europea, al no respetar el principio de proporcionalidad, en la medida en que los programas estadounidenses de vigilancia no se limitan al tratamiento de datos estrictamente necesarios.

En otras palabras, se alude a que el Privacy Shield no proporciona a las personas afectadas ninguna garantía suficiente y sustancialmente equivalentes a las existentes en el Derecho de la Unión Europea para preservar la privacidad de los datos y cumplir con el Reglamento General de Protección de Datos (RGPD).

 

¿CÓMO AFECTA LA CAÍDA DEL PRIVACY SHIELD A LAS EMPRESAS?

El fallo del TJUE implica que las empresas europeas deben revisar su flujo y tratamiento de datos para averiguar qué transferencias internacionales realizan a EEUU. Muchas de esas transferencias de datos se estarán produciendo porque cuentan con proveedores de servicios tecnológicos de EEUU. Algo muy habitual, por ejemplo, en el caso de servicios SaaS y Cloud. Y tendrán que verificar si dichas empresas tienen ubicados sus servidores en Europa o en EEUU.

Si los servidores están ubicados en EEUU, será necesario buscar alternativas contractuales que garanticen la legalidad de esas transferencias. Y si bien existen las cláusulas contractuales tipo de la Decisión 2010/87/UE, hay que tener en cuenta que dichas cláusulas no serán garantía suficientes si no evitan la intrusión de organismos estadounidenses sobre los datos de ciudadanos europeos por motivos de seguridad nacional o similares, es decir, que se necesitara contar con  r garantías adicionales.

En el caso de las empresas multinacionales con sede en EEUU y que vinieran realizando transferencias internacionales entre compañías del grupo amparadas en el Privacy Shield, lo que tendrán que hacer es plantear esas transferencias en virtud de Normas Corporativas Vinculantes (BCR) específicas que garanticen los adecuados niveles de seguridad para los datos transferidos.

 

¿Y A LOS USUARIOS?

El Privacy Shield, aunque aún tiene vigencia, queda en un segundo plano frente al RGPD, puesto que las garantías del reglamento europeo son mayores y más exigentes en materia de protección de datos personales de los usuarios y en cuanto a las transferencias de datos internacionales.

Las consecuencias con respecto a los usuario son que dado que las empresas han de buscar otras posibilidades de legitimar las trasferencias, como pueden ser las ya mencionadas cláusulas contractuales tipo, también puede preverse que se legitimen estas trasferencias de datos por medio del consentimiento de los usuarios como una vía que garantiza cumplir con el RGPD.