AD 128/2020
Abstract:
El Tribunal de Justicia de la Unión Europea (TJUE) ha invalidado la Decisión 2016/1250 de la Comisión sobre la adecuación de la protección que otorgaba el “Privacy Shield” entre la Unión Europea y Estados Unidos.
Y determina, en relación a la Decisión 2010/87 de la Comisión relativa a las “Cláusulas Contractuales Tipo”, que para llevar a cabo transferencias de datos personales a terceros países, esta será posible siempre y cuando se cumplan determinados requisitos.
Palabras clave:
- “Privacy Shield” o “Escudo de privacidad”.
- Transferencia de datos personales.
- “Cláusulas Contractuales Tipo”.
- “Safe harbor” o “Puerto seguro”.
- Reglamento General de Protección de datos y Ley Orgánica de protección de datos y garantía de los derechos digitales.
El Tribunal de Justicia de la Unión Europea invalidó, el pasado 16 de julio el “Privacy Shield”, que protegía el marco de las transferencias internacionales de datos de la Unión Europea a terceros países, en este caso, Estados Unidos.
Adhiriéndose a este escudo, las empresas norteamericanas demostraban que cumplían con un nivel óptimo de protección, aplicando de ese modo los mismos estándares de protección de datos que emplean las empresas localizadas en cualquier país perteneciente a la Unión Europea (UE).
Desde 2016 era posible que se realizase esta transferencia siempre que las empresas receptoras de los datos se encontrasen adscritas al “Escudo de Privacidad” mencionado anteriormente, sobreponiéndose así, a la decisión que tomó la corte europea en 2015 cuando anuló el “Safe Harbor”, que constituía un acuerdo sobre la transferencia internacional de los datos, tras entender que no cumplía EEUU con los requisitos de protección necesarios.
El TJUE alega que el acuerdo alcanzado no cumplía con los parámetros de protección recogidos en el Reglamento General de Protección de Datos y en la Carta de Derechos de la UE, debido a que el tratamiento realizado por las empresas estadounidenses no se limita a lo estrictamente necesario, no superándose así el principio de proporcionalidad, fallando que esa transferencia de datos personales se realiza con fines comerciales entre dos países con intereses económicos, y se recoge que esos datos podrán ser tratados por Estados Unidos con fines de seguridad nacional, defensa y seguridad del Estado.
El TJUE entiende que esas premisas posibilitan, según el Ordenamiento Jurídico estadounidense, la vulneración de Derechos Fundamentales de las personas en relación con nuestro ordenamiento y termina añadiendo que el “Privacy Shield” no da la posibilidad de recurrir a los ciudadanos en ninguna vía jurisdiccional ante el órgano correspondiente, por lo que infringe el derecho de otorgar una tutela judicial efectiva exigida en la Unión Europea.
Tras la invalidación del “Safe Harbor”, las empresas, tanto receptoras como exportadoras, comenzaron a emplear unas “Cláusulas Contractuales Tipo” de la Comisión Europea, que, tras la firma de ambas partes, permitían realizar la transferencia internacional de los datos personales.
Ahora, con esta nueva decisión del TJUE, las “Cláusulas Contractuales Tipo” (ratificadas por el TJUE en la misma sentencia, admitiendo su validez) vuelven a ser el principal mecanismo posible para realizar ese tratamiento, convirtiéndose en ilegal cualquier transferencia amparada por el “Privacy Shield”. Dichas clausulas serán posible siempre y cuando se garantice un nivel de protección adecuado en relación con los datos personales transferidos.
Todo esto provocará la modificación de la política de privacidad de muchas empresas de distintas áreas, teniendo que observar no solo las cláusulas contractuales de las que hemos hablado, sino también la legislación del país receptor de los datos.
Con esta resolución las autoridades públicas de control vuelven a ganar importancia, ya que desempañarán la labor de suspender o prohibir una transferencia de datos personales cuando no cumplan con los requisitos, llevando a cabo un estudio de los datos personales que se vayan a transferir en relación con la situación legal en la que se encuentre el tercer país donde radique la empresa receptora de mencionados datos.
En definitiva, el exportador de datos deberá llevar a cabo una exhaustiva evaluación acerca de la legitimidad o no de la transferencia que se produzca, y cobrarán mayor importancia las “Normas Corporativas Vinculantes” y los Códigos de Conducta.
David Navarrete
19 de agosto de 2020
Bibliografía:
- http://curia.europa.eu/juris/document/document.jsf;jsessionid=92A131562F60EA1656D2A2EC85109E4F?text=&docid=228677&pageIndex=0&doclang=ES&mode=req&dir=&occ=first&part=1&cid=9850886
- https://www.expansion.com/juridico/sentencias/2020/07/16/5f102549468aeb3b338b45ab.html
- http://noticias.juridicas.com/actualidad/jurisprudencia/15405-el-tjue-anula-el-acuerdo-entre-la-ue-eeuu-y-obliga-a-revisar-las-transferencias-de-datos-personales-/
- https://www.garrigues.com/es_ES/noticia/tribunal-justicia-union-europea-anula-escudo-privacidad-privacy-shield
David Navarrete
Graduado en Derecho por la Universidad Complutense de Madrid
Estudiante de Máster de acceso a la profesión de abogado y Máster en Derecho de las Nuevas Tecnologías.
Miembro del proyecto de investigación de innovación docencia: “El aprendizaje-
servicio como metodología de aprendizaje jurídico-pedagógico: la reinserción de
presos a través de la justicia restaurativa” de la Universidad Complutense.
Autor de la novela “La noche no entiende de luces” y de distintas publicaciones
jurídicas.
Participante seleccionado para Legal Challenge 2019 en Herbert Smith Freehills y para Bootcamp sectorial de seguros Madrid, adquiriendo en este último, premio individual en la resolución del caso.
Contacto: dnavarreteutrera@gmail.com
Twitter: @davidutrera1997
Linkedin: David Manuel Navarrete Utrera
