La Justicia europea tumba el esquema de transferencia de datos personales entre la UE y EE UU

El activista y abogado austriaco Max Schrems, con su "historial" de Facebook.

Corresponsal en Bruselas — 16 de julio de 2020 11:18h Actualizado el 16/07/2020 11:18h

La Justicia europea tumba el llamado escudo de la privacidad, el esquema de transferencia de datos personales entre la Unión Europea y Estados Unidos. No obstante, avala las cláusulas tipo de transferencias de datos usadas por empresas como Facebook.

En su sentencia de este jueves, el Tribunal de Justicia con sede en Luxemburgo, analiza la causa impulsada por el activista y abogado austriaco Max Schrems sobre los dos asuntos: las cláusulas y el escudo de privacidad, quien ha celebrado la sentencia.

After a first read of the judgement on #PrivacyShield it seems we scored a 100% win - for our privacy

The US will have to engage in serious surveillance reform to get back to a "privileged" status for US companies.

More details here: https://t.co/t7LFgE7LmT #ThanksToEveryone!
— Max Schrems 🇪🇺🇦🇹 (@maxschrems) July 16, 2020

En primer lugar, en lo relativo a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, Luxemburgo considera que la decisión de la Comisión Europea al respecto es válida. En cambio, declara que la decisión sobre el escudo de la privacidad es inválida.

Según el Tribunal de Justicia, la validez de dicha decisión del Ejecutivo comunitario sobre las cláusulas tipo “no queda puesta en entredicho por el mero hecho de que, debido a su carácter contractual, las cláusulas tipo de protección de datos recogidas en ella no vinculen a las autoridades del país tercero al que podrían transferirse los datos”.

En cambio, el Tribunal de Justicia precisa que esa validez “depende de si se incluye mecanismos efectivos que permitan garantizar en la práctica que el nivel de protección exigido por el Derecho de la Unión sea respetado y que las transferencias de datos personales basadas en esas cláusulas sean suspendidas o prohibidas en caso de que se incumplan dichas cláusulas o de que resulte imposible cumplirlas”.

Así, el Tribunal de Justicia indica que sí se establecen esos mecanismos: “Obliga al exportador de los datos y al destinatario de la transferencia a comprobar previamente que el mencionado nivel de protección se respete en el país tercero de que se trate y que obliga al antedicho destinatario a informar al exportador de los datos de que podría ser incapaz de cumplir las cláusulas tipo de protección, debiendo entonces el exportador suspender la transferencia de datos o rescindir el contrato celebrado con el primero”.

En relación con el escudo de la privacidad y las exigencias derivadas del reglamento europeo de protección de datos, Luxemburgo tiene en cuenta las disposiciones de la Carta Europea de Derechos, “que garantizan el respeto de la vida privada y familiar, la protección de datos de carácter personal y el derecho a la tutela judicial efectiva”.

A este respecto, el Tribunal de Justicia señala que el escudo de privacidad reconoce “la primacía de las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense, posibilitando de este modo injerencias en los derechos fundamentales de las personas cuyos datos personales se transfieren a ese país tercero”.

Según el Tribunal de Justicia, “las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización, por las autoridades estadounidenses, de los datos transferidos desde la Unión a ese país tercero, y que la Comisión Europea evaluó en la decisión sobre el escudo de la privacidad, no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas, en el Derecho de la Unión, por el principio de proporcionalidad, en la medida en que los programas de vigilancia basados en la mencionada normativa no se limitan a lo estrictamente necesario”.

Así, el Tribunal de Justicia señala que, con respecto a algunos programas de vigilancia, “no se desprende en modo alguno que existan limitaciones a la habilitación que otorga para la ejecución de esos programas, ni tampoco que existan garantías para las personas no nacionales de los Estados Unidos que sean potencialmente objeto de esos programas”.

El Tribunal de Justicia añade la normativa “no confiere a los interesados derechos exigibles a las autoridades estadounidenses ante los tribunales”.

“Por lo que atañe a la exigencia de tutela judicial”, el Tribunal de Justicia declara que, “contrariamente a lo que la Comisión Europea consideró en la decisión sobre el escudo de la privacidad, el mecanismo del Defensor del Pueblo contemplado en dicha Decisión, no proporciona a esas personas ninguna vía de recurso ante un órgano que ofrezca garantías sustancialmente equivalentes a las exigidas en el Derecho de la Unión, que puedan asegurar tanto la independencia del Defensor del Pueblo previsto en el antedicho mecanismo como la existencia de normas que faculten al referido Defensor del Pueblo para adoptar decisiones vinculantes con respecto a los servicios de inteligencia estadounidenses. Por todas esas razones, el Tribunal de Justicia declara inválida la Decisión Escudo de la privacidad”.

Etiquetas