El Tribunal de Justicia de la Unión Europea invalida el Privacy Shield

El Tribunal de Justicia de la Unión Europea (TJUE) ha resuelto en la sentencia del caso Schrems II que la protección de datos proporcionada por el acuerdo conocido como Privacy Shield no es adecuada. Por ello, invalida dicho instrumento para las transferencias de datos personales de la UE y los EE. UU.

Antecedentes

En octubre de 2015, el TJUE declaró que el acuerdo entre la Unión Europea y los EE. UU. sobre garantías de protección de los datos personales para la exportación de datos personales a este país no se adecuaba suficientemente a la Directiva 95/46/CE.

Este acuerdo se había conocido como «de puerto seguro» o «safe harbour» y esta primera sentencia, como «sentencia Schrems I», debido a que tuvo su origen en la denuncia presentada por el Sr. Schrems ante la autoridad de protección de datos de Irlanda en 2013.

En ella, este ciudadano austríaco solicitaba que se prohibiera a Facebook Irlanda exportar sus datos personales a Facebook en EE. UU., por entender que las garantías del acuerdo de safe harbour no eran adecuadas; en concreto, por las potestades de vigilancia atribuidas a las autoridades públicas.

Para cumplir esta sentencia, se celebró un nuevo acuerdo, conocido como «Privacy Shield» (o «escudo de privacidad»), que sustituyó al de safe harbour, y se revisaron los modelos de los contratos para regular las garantías de las transferencias internacionales mediante dos decisiones de la Comisión.

Pero, tambien en ejecución de esta sentencia, el Sr, Schrems reformuló su primera denuncia, planteando que las decisiones de la Comisión no garantizaban suficientemente la protección de los datos exportados a los EE. UU.

Sentencia sobre el asunto Schrems II

Como resultado de esta reformulación de la denuncia, el TJUE ha resuelto ahora el asunto Schrems II, acordando que:

• los modelos de contrato de regulación de las transferencias internacionales de datos autorizados por decisión de la Comisión Europea (cláusulas contractuales tipo) son válidos, y
• la protección garantizada por el acuerdo Privacy Shield entre la UE y los EE. UU., autorizado por la Decisión 2016/2150 de la Comisión, no es suficiente.

El TJUE ha examinado las garantías del acuerdo a la luz de los requisitos del Reglamento General de Protección de Datos (RGPD) y concluye que:

• el acceso y el uso de las autoridades estadounidenses a los datos exportados desde la UE no respetan el principio de proporcionalidad que garantiza el RGPD, y, por lo tanto,
• el nivel de protección derivado de este acuerdo no puede considerarse como equivalente al garantizado en la UE.

El RGPD determina que, para exportar datos personales fuera del territorio de la Unión, el país de destino debe garantizar mediante instrumentos legales una protección de los datos personales equivalente a la que proporciona el reglamento.

Por tanto, a falta de una declaración oficial de adecuación, las transferencias internacionales solo pueden efectuarse si el exportador proporciona salvaguardas adecuadas.

En este sentido, el TJUE:

1. recuerda que las autoridades de control deben suspender o prohibir las transferencias de datos cuando detecten que en el país de destino no se cumplen las normas de protección de datos, o si el receptor de los datos no es capaz de cumplir las garantías de los contratos tipo;
2. concluye que las cláusulas contractuales tipo son válidas, siempre que garanticen un nivel adecuado de protección frente a cualquier acceso de las autoridades públicas del país a los datos transferidos.