AD 106/2020
Sumario: 1. Antecedentes y estado de la cuestión; 2. Los motivos que determinan la invalidez de la Decisión Privacy Shield: nada nuevo bajo el Sol; 3. Las “otras” cuestiones de la Sentencia; 4. Consecuencias y conclusiones.
Resumen:
En el presente artículo se pretende ofrecer un primer análisis del pronunciamiento del TJUE en el Asunto Schrems II, que vuelve a poner en el foco de atención las transferencias internacionales y flujos de datos entre responsables y encargados de la UE y los EEUU. Asimismo, se ambiciona señalar los aspectos críticos de la Sentencia y las causas, consecuencias y conclusiones derivadas de la misma.
Palabras clave:
transferencias internacionales, datos personales, flujo de datos, EEUU, UE, Privacy Shield, Schrems, TJUE, Tribunal de Justicia, surveillance, vigilancia, privacidad.
Lo que era ya un secreto a voces [1] se ha terminado por oficializar con el advenimiento de la Sentencia del Tribunal de Justicia de la Unión Europea del 16 de julio de 2020 (Asunto C-311/18, “Schrems II”) [2]: el “Escudo de Privacidad” (más conocido por su designación anglosajona, Privacy Shield) deja de ser válido para legitimar transferencias internacionales de datos personales entre encargados y/o responsables de la Unión Europea y los Estados Unidos.
En el presente artículo se pretende ofrecer una primera aproximación apriorística al pronunciamiento del TJUE en el Asunto Schrems II que, seguro, dará lugar a una prolija literatura académica y unas consecuencias todavía por determinar en muchos casos. De ahí que el objeto de la presente no sea sino servir como una suerte de prolegómeno de una extensa Sentencia que, muy probablemente, abordemos posteriormente con más detenimiento.
- Antecedentes y estado de la cuestión
El pronunciamiento del TJUE suma un capítulo más al histórico de conflictos entre la Unión y los EEUU que, en esencia, constituye una continua pugna entre las normas de protección de datos europeas y las de vigilancia y seguridad estadounidenses. Y no parece vislumbrarse una solución estable a corto plazo.
Hasta el año 2015 las transferencias internacionales entre encargados y/o responsables de la UE y EEUU podían encontrar acomodo en la Decisión de la Comisión 2000/520/CE, que establecía el denominado “Puerto Seguro” o Safe Harbor [3]. No obstante, el TJUE declaró en su Sentencia (ahora ya conocida como Schrems I) [4] que dicha Decisión y el mecanismo Safe Harbor eran inválidas, al entender que, entre otros, no estaba garantizando un nivel de protección de datos equivalente al europeo, debido a que la normativa estadounidense en materia de seguridad y vigilancia permitía a las autoridades acceder de manera indiscriminada a los datos personales.
Tras la anulación de la Decisión, las transferencias UE-EEUU que se fundaban exclusivamente en dicho mecanismo quedaron en un limbo jurídico. Como respuesta, se negoció una nueva decisión de adecuación, la Decisión de Ejecución (UE) 2016/1250 de la Comisión, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EEUU (Privacy Shield)
Decisión esta última que, como bien sabemos, también ha sido invalidada por el TJUE, precisamente, por medio de la Sentencia objeto del presente artículo.
2.- Los motivos que determinan la invalidez de la decisión de adecuación y el Privacy Shield: nada nuevo bajo el Sol
El profuso pronunciamiento del TJUE determina la invalidez de la Decisión y, por ende, concluye que las transferencias de datos realizadas con base exclusiva en el Privacy Shield no garantizan un nivel de protección adecuado, tal y como viene exigido por el art. 45 del RGPD. Se trata, sin ningún atisbo de duda, de la cuestión más relevante en la praxis, tanto en lo que atañe a sus consecuencias jurídicas como a las económicas, por el número de actores y el volumen de datos personales involucrados.
No obstante, no puede decirse que el sentido del pronunciamiento fuera sorpresivo (pues ya lo anticipaban, entre otras, las conclusiones del Abogado General) ni tampoco que sean novedosos los motivos en que se basa, heredados en gran medida del Asunto Schrems I.
Ciertamente, el primer motivo que fundamenta la invalidez de la decisión como mecanismo para el otorgamiento de un nivel adecuado de protección para las transferencias no es otro que la existencia de previsiones y excepciones en el propio Privacy Shield en favor de “la seguridad nacional y el interés público”. Por consiguiente, al igual que ocurría con el Safe Harbor, la Decisión está permitiendo la injerencia de las autoridades estadounidenses en los derechos fundamentales de las personas cuyos datos van a ser transferidos desde la UE, sobre la base de la normativa interna de seguridad de los EEUU (fundamentalmente, la FISA). En consecuencia, cualquier acceso a los datos por terceros (incluidas autoridades) o la conservación de estos supone una injerencia en los derechos fundamentales consagrados por la normativa europea.
En segundo lugar, los ciudadanos europeos no tienen en su poder mecanismos o remedios efectivos para la defensa de sus derechos e intereses que, además, por mor del art. 47 de la CDFUE, se configuran como un derecho de acudir a un órgano jurisdiccional independiente e imparcial. A tales efectos, el mecanismo introducido por el Privacy Shield (“Ombudsperson”) no es suficiente para cumplir con dicha prerrogativa en tanto en cuanto no es una instancia judicial imparcial e independiente. Así pues, no garantiza el derecho a la tutela judicial efectiva en el sentido exigido por la normativa y jurisprudencia europeas.
Consecuentemente, de los dos motivos anteriores se desprende, fundamentalmente, que la Decisión no es susceptible de cumplir con los postulados del art. 45 del RGPD y que, por ende, no confiere a los ciudadanos europeos un nivel adecuado de protección de sus derechos fundamentales, equivalente al europeo.
3.- Las “otras” cuestiones de la Sentencia.
El pronunciamiento sobre el Privacy Shield, debido a las consecuencias prácticas en el tráfico económico y jurídico, parece haber eclipsado las otras cuestiones planteadas ante el TJUE por el órgano remitente.
Por ello, procede reproducir someramente las principales conclusiones interpretativas extraídas del tenor de la Sentencia:
- Aplicación de los arts. 2.1 y 2.2. del RGPD. El Reglamento se aplicará a las transferencias internacionales de datos con independencia de si los datos van a ser tratados (inicial o posteriormente) por autoridades de un tercer país con fines de seguridad pública o defensa nacional.
- ¿El nivel de protección de datos equivalente al garantizado en la UE, a los efectos de las cláusulas tipo, debe determinarse a la luz del derecho europeo o a la luz del derecho nacional de los Estados Miembros?. Debe determinarse sobre la base del RGPD, interpretado a la luz de los derechos fundamentales consagrados en la Carta de Derechos Fundamentales de la UE.
- ¿Qué factores deben tenerse en cuenta a los efectos de determinar la adecuación del nivel de protección cuando se transfieren datos personales a un tercer país de conformidad con las cláusulas tipo de protección de datos?. Se deberán tener en cuenta las propias cláusulas contractuales acordadas y los elementos del art. 45.2 del RGPD (nivel de adecuación general de la normativa del Estado destinatario) con carácter no exhaustivo.
- ¿Está obligada la autoridad de protección de datos competente a suspender o prohibir una transferencia internacional realizada en virtud de las cláusulas tipo si observa que no se cumplen los derechos y garantías?. Si existe una decisión de adecuación válida y vigente las autoridades no podrán, como regla general, suspender o prohibir motu proprio las transferencias (lo que no impide la presentación de quejas y reclamación por los particulares). No obstante, si se declarase inválida dicha decisión las autoridades sí estarían obligadas a actuar si, a su juicio, no se cumplen o no pueden cumplirse las garantías y derechos recogidos en las cláusulas tipo.
- Validez de las cláusulas tipo de protección de datos. Las cláusulas tipo en protección de datos aprobadas por la Comisión mediante la Decisión 2010/87/UE, de 5 de febrero de 2010, siguen siendo válidas. Ello porque únicamente tienen por objeto ofrecer unas garantías contractuales uniformes para cualquier tercer país, con independencia del nivel de protección de datos de cada Estado. La validez de éstas dependerá de si el responsable o encargado en cuestión ha adoptado medidas y mecanismos efectivos para garantizar la protección de las personas. No obstante, las autoridades de protección de datos competentes deberán suspender o prohibir las transferencias basadas en estas cláusulas tipo si constatan incumplimientos por parte de los responsables o encargados (como puede ocurrir en los casos de vigilancia masiva por mor de la normativa estadounidense).
Por ende, el mecanismo de las cláusulas tipo tampoco ha salido tan “indemne” del pronunciamiento del TJUE como erróneamente se señala en ciertos titulares, pues se confirman las facultades de las autoridades nacionales de protección de datos para suspender o prohibir transferencias y, al mismo tiempo, se siembra un nuevo halo de sospecha en torno a la validez de este mecanismo en terceros países con una normativa que choque frontalmente con la europea (como es el caso de la normativa de seguridad y vigilancia estadounidense).
4.- Consecuencias y conclusiones
La principal consecuencia, como no podría ser de otra forma, es la invalidez de la Decisión Privacy Shield y la imposibilidad de seguir articulando transferencias internacionales de datos entre la UE y los EE. UU. con base a una decisión de adecuación.
Esto no supone, empero, la creación de un vacío legal, pues en palabras del propio TJUE, existen otros mecanismos para llevar a cabo las transferencias internacionales de datos en supuestos de ausencia de decisiones de adecuación, ya sea a través del art. 49 o del art. 46 del RGPD. (párrafo 202 de la Sentencia). Por tanto, aquellas transferencias que se consideren como “necesarias” (v.g. reservar un hotel, enviar un email a una persona residente en EE. UU.) podrán tener acomodo en las excepciones del art. 49 del RGPD. No ocurrirá lo mismo en los casos en que los datos únicamente se traten o almacenen en Estados Unidos como consecuencia de un outsourcing, cuando no sea técnica o jurídicamente necesario (v.g. cuando se opta por transferir los datos a los EE. UU. por ser más práctico, más fácil o barato). En estos últimos casos, la solución deberá pasar, como regla general, por encontrar nuevos mecanismos susceptibles de aportar garantías adecuadas (art. 46 RGPD).
Como conclusión, resulta evidente que la Sentencia tendrá efectos perniciosos sobre los flujos de datos que, hasta ahora, se basaban únicamente en el Privacy Shield y, por extensión, sobre la economía digital. Efectos, en todo caso, que muchas compañías podrán minorar si han implementado otros mecanismos de otorgamiento de garantías para las transferencias (BCRs, cláusulas tipo, etc.) lo que demuestra que el impacto bien podría haberse evitado si los responsables no hubieran únicamente optado por la vía rápida de la decisión de adecuación. El pronunciamiento del Tribunal evoca, una vez más, la máxima de que, para el RGPD, no es suficiente con generar una apariencia de cumplimiento, sino que se precisa un cumplimiento efectivo y proactivo que pueda acreditarse en la práctica.
Tal y como afirma el TJUE, el conflicto perdurará en tanto en cuanto los derechos de los ciudadanos europeos no sean respetados y garantizados de manera efectiva cuando se traten sus datos en los Estados Unidos. Por ello, la negociación de una nueva decisión de adecuación no dejará de ser un mero “parche” que establezca auténticos períodos de gracia para los flujos de datos personales hasta ser, posteriormente, anulados en vía judicial.
Mikel Recuero Linares.
17 de julio de 2020
Investigador G.I. Cátedra de Derecho y Genoma Humano (bioderecho.eu), Departamento de Derecho Público, Universidad del País Vasco UPV/EHU y de EUCANCan (European-Canadian Cancer Network, European Union’s Horizon 2020, grant agreement No. 825835). Accésit de “Investigación en protección de datos personales Emilio Aced” de la Agencia Española de Protección de Datos en el año 2019.
Twitter: @mikel_recuero
Linkedin: mikelrecuero
- Referencias en el texto.
[1] En publicaciones anteriores ya veníamos señalando los fundados riesgos de recurrir a las decisiones de adecuación como mecanismo para articular las transferencias internacionales, debido al halo de sospecha sembrado tras el pronunciamiento del TJUE en el Asunto Schrems I, por el que se anuló la Decision Safe Harbor. Vid. a este respecto: RECUERO LINARES, M. «Transferencias internacionales de datos genéticos y datos de salud con fines de investigación». Revista de derecho y genoma humano: genética, biotecnología y medicina avanzada. Leioa: UPV/EHU y Dykinson. Nº Extra 1, 2019, p. 422.
[2] Sentencia del Tribunal de Justicia de la Unión Europea (Gran Sala) de 16 de julio de 2020, Asunto C-311/18 (“Schrems II”). Texto completo disponible en: https://noyb.eu/files/CJEU/judgment.pdf
[3] Decisión de la Comisión 2000/520/CE, de 26 de julio de 2000, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada. Disponible en: https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32000D0520&from=ES
[4] Sentencia del Tribunal de Justicia de la Unión Europea (Gran Sala) de 6 de octubre de 2015, Asunto C-362/14 (“Schrems I”).
- Bibliografía.
RECUERO LINARES, Mikel. «Transferencias internacionales de datos genéticos y datos de salud con fines de investigación». Revista de derecho y genoma humano: genética, biotecnología y medicina avanzada. Leioa: UPV/EHU y Dykinson. Nº Extra 1, 2019 (Ejemplar dedicado a: Uso de datos clínicos ante nuevos escenarios tecnológicos y científicos. Oportunidades e implicaciones jurídicas), págs. 413-433.
