El Tribunal de Justicia de la Unión Europea (TJUE) invalida el escudo de privacidad Privacy Shield, el mecanismo legal para realizar transferencias internacionales de datos entre la UE y los Estados Unidos.
¿Qué es y qué significaba para los usuarios el Privacy Shield?
El escudo de privacidad UE-EEUU o EU-US Privacy Shield se trataba de un acuerdo firmado entre los EE.UU. y la Unión Europea en materia de privacidad, que sustituía al antiguo marco de Puerto Seguro (o Safe Harbor), vigente hasta 2015.
Este acuerdo tenía por finalidad que las empresas norteamericanas que recopilaran datos de usuarios europeos garantizaran el cumplimiento de la normativa europea de protección de datos, aunque en la práctica, el Privacy Shield no garantizaba la protección de los ciudadanos europeos, especialmente porque EE.UU no cumplió con las exigencias de dicho acuerdo.
¿Por qué el Tribunal de Justicia de la Unión Europea ha invalidado del escudo Privacy Shield?
Los motivos alegados por el TJUE para invalidar el acuerdo Privacy Shield se fundamentan, por un lado, en que los considerandos 67 al 135 del acuerdo se permitían el acceso a los datos personales transferidos en el marco del Escudo de Privacidad UE-EE.UU y la utilización de esos datos por las autoridades públicas estadounidenses a efectos de seguridad nacional y otros fines de interés general. Es más, el considerando 140 se expresaba de la siguiente forma:
“las injerencias de los poderes públicos de los Estados Unidos en los derechos fundamentales de las personas cuyos datos se transfieran desde la Unión a dicho país en el marco del Escudo de la privacidad a efectos de seguridad nacional, aplicación de la ley u otros fines de interés público, y las consiguientes restricciones impuestas a las entidades autocertificadas con respecto a su adhesión a los principios de privacidad, se limitarán a lo estrictamente necesario para alcanzar el objetivo legítimo perseguido, y que existe una tutela judicial efectiva frente a tales injerencias”
Está claro que la comunicación de datos de carácter personal a un tercero ya sea o no autoridad pública constituye una injerencia en los derechos fundamentales consagrados en el Reglamento General de Protección de datos en los artículos 7 y 8 de la Carta.
Y, por otro lado el siguiente motivo versa sobre la garantía del mecanismo del Defensor del Pueblo contemplado en el acuerdo marco del Escudo de Privacidad UE-EE.UU ya que éste no proporciona ninguna vía de recurso ante un órgano que ofrezca a las personas cuyos datos se transfieren a los Estados Unidos garantías sustancialmente equivalentes a las exigidas en el artículo 47 de la Carta, por lo que se desprende que el artículo 1 del Escudo de Privacidad UE-EE.UU es incompatible con el artículo 45, apartado 1, del RGPD, interpretado a la luz de los artículo 7, 8 y 47 de la Carta, y que es, por ello, inválido.
Conclusión sobre la invalidación del Escudo de Privacidad UE-EE.UU
En general, la opinión generalizada del Privacy Shield es que se queda corto a la hora de proteger los datos de los ciudadanos europeos, especialmente porque EE.UU. no ha cumplido completamente con las exigencias del propio acuerdo, y que este no es muy distinto al Safe Harbor que ya tumbó el Tribunal Europeo.
Esta sentencia nos ha dejado claro que para las empresas norteamericanas autocertificadas en el Privacy Shield ya no va a ser una herramienta para garantizar el cumplimiento de la normativa protección de datos europea, mucho más exigente en materias como el consentimiento expreso de los usuarios para el tratamiento de sus datos personales o la transferencia internacional de datos personales. Aunque es cierto que todavía sigue siendo un tema controvertido con un marco legal difuso, más exigente para las empresas europeas que para las estadounidenses.
La otra conclusión que emana de esta resolución es que se considera que Estados Unidos no es un país que pueda garantizar el cumplimiento de la normativa europea, cuestión que tiene muchas más consecuencias que la simple invalidez del Privacy Shield.
¿Qué consecuencias va a tener la invalidación del Escudo de Privacidad UE-EE.UU y su declaración como país no garantista?
La principal consecuencia, resultará en que la certificación de Privacy Shield ya no es una garantía de cumplimiento de la normativa europea de protección de datos, por lo tanto, tendríamos que recurrir a cualquiera de las otras garantías que establece el artículo 46 del RGPD.
Sin embargo y como hemos mencionado, esto no se queda ahí. El TJUE ha ido más allá, y ha declarado que, ni siquiera recurriendo a las medidas garantizadoras de privacidad del artículo 46, se podría considerar que el tratamiento de datos en EEUU respeta la normativa europea. Por lo tanto, ningún tipo de transferencia a dicho país se va a considerar segura y se tendrá que estar en lo dispuesto en el artículo 49 del RGPD para establecer las excepciones para situaciones específicas. ¿Y esto en qué se traduce en la práctica? Pues que, en la mayoría de las ocasiones, tendremos que recurrir al consentimiento expreso del interesado para realizar una transferencia de sus datos a entidades de EEUU. Este consentimiento deberá de informar que el país donde se transferirán los datos es un país que no garantiza que sus datos sean tratados conforme a la normativa de la Unión Europea, tal y como estable el artículo 49.1, apartado a). Estamos hablando de empresas que realicen hosting, copias de seguridad, gestores de correo… muchas de las que utilizamos habitualmente en el mundo empresarial.
Desde Legitec, hemos visto esta situación en otras ocasiones, como sucedió ya con el Safe Harbor, y no dudamos de que en un futuro haya otro acuerdo similar entre la UE y EEUU. Sin embargo y mientras tanto, tendremos que ajustarnos a la normativa y a las declaraciones que puedan hacer desde nuestra Agencia Española de Protección de Datos. No dudes en consultarnos si tienes alguna situación como la que mencionamos en este post.