La importancia de la anulación del escudo de Privacidad por parte del Tribunal de Justicia de la Unión Europea
El dato ,esa información sobre el individuo que permite elaborar y predecir un perfil de sus habitos de consumo, sociales , opiniones e inclinaciones politicas entre otras .Alcanza una relevancia cada vez mayor en una sociedad cada vez más informatizada donde la tecnologia permite seccionar , clasificar y depurar volumenes inimaginables de datos personales , lo que se ha venido a denominar el “BIG DATA”.
Es por ello que la Unión europea una de las sociedades más garantistas en lo que corresponde a la tutela del individuo, ha establecido un reglamento de protección de datos de carácter personal tremendamente ambicioso en varios puntos uno de ellos es lo que corrresponde a la transaccion de datos ,los datos personales que se transfieran entre estados miembros de la UE se consideran protegidos por un nivel de seguridad adecuado .Sin embargo para que esos datos puedan ser transferidos a paises terceros fuera de la UE , es necesario realizar una evaluación de adecuación del nivel de privacidad con sus correspondientes clausulas contractuales de cada una de las trasnferencias que se realicen desde la UE a ese tercer pais, con declaración frenta a la agencia ancional correspondiente o en su defecto la trasferencia internacional tiene que estar amparada por un sistema que garantice la privacidad en ese estado no perteneciente a la UE , ese nivel de seguridad tiene que estar reconocido por la UE.
La ventaja de este segundo sistema ,el reconocimiento automatico es innegable. La facilidad del transito de datos , la fluidez del mismo y la seguridad juridica hacen de esta segunda via una necesidad innegable para los paises de fuera de la UE
Los estados Unidos , donde la protección de los datos personales del individuo es mucho menor que en la UE funcionaba en materia de protección de datos con los acuerdos de “Puerto Seguro” negociados entre la Unión europea y el departamento de comercio de estados unidos. Donde se establecia unos requisitos de seguridad en materia de protección de datos para las empresas radicadas en los EEUU similares a los establecidos por la UE en lo que corresponde al transito de datos de los ciudadanos de la UE.
Estos acuerdos de “Puerto seguro” saltarón por los aires a raiz de las declaraciones de Edward Snowden. Esto precipito la anulación unilateral por parte de la UE de los acuerdos de “Puerto seguro” .En 2015 la decisión 2000/520/CE de 26 de Julio de 2000 fue anulada por el tribunal superior de Justicia de la UE en la sentencia referida al Caso Schrems (C-362/14). Por elo se hizo necesario establecer un nuevo metodo de garantizar la protección de los datos que se transfieran a los estados Unidos y que permitiese evitar el analisis individual de cada trasnferencia de datos cuyo destino fuese los EEUU.
De aquí nace el escudo de privadidad, el Escudo de la Privacidad Unión Europea-Estados Unidos, es un acuerdo informal en el ámbito de la protección de datos que se negocio entre la UE y los estado unidos de 2015 a 2016 y que en principio ya cumplía con los requisitos de privacidad emanados del Reglamento europeo de protección de datos 2016/679 aprobado el 27 de Abril de 2016.
El 12 de Julio de 2016 la Comisión europea decidió que los requisitos de privacidad del escudo estaban alineados en consonancia con los requisitos de protección de datos en la unión europea.
De esta forma las transacciones de datos entre la UE y los estados Unidos fluían agiles y sin un control individualizado. De esta forma desde 2016 miles de empresas usan este mecanismo para transferir libremente datos desde la UE a Estados Unidos, empresas no solo tecnológicas sino empresas de servicios, finanzas o consultoras de servicios.
La resolución del tribunal de la UE , sobre el caso interpuesto por el austriaco Schrems contra Facebook Irlanda declarando invalido el escudo de privacidad ha tumbado este flujo libre de datos entre la UE y EEUU. En esencia la sentencia promovida por la cesión de datos personales de Facebook Irlanda a su central en EEUU ha dejado claro que el escudo de privacidad es completamente inútil dado que la prevalencia de la normativa de EEUU y su concepto de seguridad nacional hace que en cualquier momento cualquier datos personal de un ciudadano europeo en posesión de una empresa de EEUU o con sede en ese país pueda ser requerido o utilizado sin requisito legal por el gobierno en aras de la seguridad nacional o por una investigación preventiva , concepto totalmente desconocido para el ordenamiento jurídico Europeo.
Esta resolución del TSJ de la UE de 16 de Julio de 2020 ha propiciado una declaración de la agencia europea de protección de datos de 20 de Julio de 2020 donde clarifica y puntualiza la vuelta al uso de las clausulas contractuales en la operaciones donde exista tráfico de datos entre EEUU y Europa, mientras no se establezca si es posible un nuevo mecanismo de reconocimiento automático.
La autoridad europea de protección de datos ( EDPB) toma nota de la responsabilidad principal del exportador y del importador, al considerar la posibilidad de entrar en las Cláusulas contractuales (CEC) , para garantizar que éstas mantengan un nivel de protección que sea esencialmente equivalente al garantizado por el RGPD a la luz de la Carta de la UE. Al realizar dicha evaluación previa, el exportador (si es necesario, con la asistencia del importador) tendrá en cuenta el contenido de las CEC, las circunstancias específicas de la transferencia, así como el régimen jurídico aplicable en el país del importador. El Tribunal subraya que el exportador puede tener que considerar la posibilidad de adoptar medidas adicionales.
El EDPB también toma nota de los deberes de las autoridades de control competentes (En España la AEPD) de suspender o prohibir la transferencia de datos a un tercer país en virtud de las CEC, si, a juicio de la SA competente y a la luz de todas las circunstancias de dicha transferencia, esas cláusulas no se cumplen o no se pueden cumplir en ese tercer país, y la protección de los datos transferidos no puede garantizarse por otros medios , en particular cuando el controlador o el procesador no se haya suspendido o haya puesto fin a la transferencia.
El EDPB recuerda que adoptó directrices sobre el artículo 49 del RGPD y que tales excepciones deben aplicarse caso por caso.
El EDPB evaluará la sentencia con más detalle y proporcionará más aclaraciones a las partes interesadas y orientación sobre el uso de instrumentos para la transferencia de datos personales a terceros países en virtud de la sentencia. El EDPB y sus SA europeas también están preparados, como ha señalado el TJUE, para garantizar la coherencia en todo el EEE.
Es por tanto que ahora, lo que nos encontramos es en la necesidad de realizar contratos y clausulas específicas en materia de protección de datos para la cesión de datos entre empresas radicadas en territorio de la UE y empresas radicadas en EEUU. Que esas clausulas tienen que ser evaluadas operación por operación.
Que las autoridades de control nacional en uso de sus potestades pueden anular operaciones de tráfico de datos y sancionar a aquellas que no cumplan los requisitos de comunicación.
Los supuesto de excepcionalidad, fijados en base al artículo 49 del Reglamento (utilidad pública, seguridad, etc) deben ser analizados caso por caso.
Por último el supervisor europeo de protección de datos, indica que ira estableciendo medidas y mecanismos con el objeto de normalizar y dar coherencia en las transferencias de datos desde los diferentes miembros de la UE a EEUU.
Esto continuara……….
Arán Feijoo
4 de septiembre de 2020
Arán Feijoo Covelo
Delegado de protección de datos en el ayuntamiento de Salvaterra de Miño, provincia de Pontevedra Comunidad autónoma de Galicia.
