En el día de hoy hemos podido conocer, a partir de la Sentencia emitida por el Tribunal de Justicia de la Unión Europea (Sentencia nº 91/2020 de 16 de julio), una importante declaración respecto al nivel de garantía que ofrece el denominado Privacy Shield.
Dicha decisión ha sido el resultado del estudio realizado en el marco de la conocida reclamación interpuesta por un ciudadano austriaco (Maximilian Schrems) frente a la compañía Facebook Ireland Ltd. como responsable del gigante Facebook en la Unión Europea (asunto C-311-18). El objeto de la reclamación residía en el cese de las transferencias internacionales a EE.UU. en tanto no ofrecían protección suficiente ante el acceso a la información que las autoridades americanas podían llevar a cabo.
En un inicio, la petición de Schrems fue desestimada sobre la base, por aquel momento, de la validez de la Decisión 200/520 de Safe Harbor sobre las transferencias a este país. Sin embargo, una vez declarada su invalidez por el TJUE en octubre de 2015, Schrems volvió a instar la petición sobre la necesidad de restringir dicho tratamiento transfronterizo.
Así, el TJUE se ha visto obligado a analizar, una vez más, las garantías y nivel de protección que debe exigirse, desde la perspectiva de la protección del Reglamento General de Protección de Datos, a las transferencias a EE.UU., tanto desprendidas de las Cláusulas Contractuales Tipo como del conocido Privacy Shield.
Si bien la validez y garantías ofrecidas a través de la firma de Cláusulas Contractuales Tipo no se han visto afectadas tras las conclusiones del TJUE, no cabe decir lo mismo sobre el Privacy Shield.
Fruto de este examen ha sido la declaración, por parte del TJUE, de la invalidez de la Decisión del Privacy Shield acordado entre EE.UU. y la Unión Europea.
Los fundamentos detrás de esta posición radican, al igual que ocurrió con la Decisión de Safe Harbor, en la primacía de la normativa, seguridad nacional y potestades desproporcionadas de acceso y uso de la información por las autoridades norteamericanas, en lugar de la efectiva protección del derecho de protección de datos de los ciudadanos europeos que persigue la UE.
No obstante, el TJUE declara que, junto a la vulneración del principio de proporcionalidad por el acceso ilimitado de las autoridades debe apreciarse, asimismo, la ausencia de derechos y mecanismos independientes que hagan valer, ante los tribunales americanos, los derechos lesionados de los ciudadanos. Desprendiéndose así la vulneración del derecho a la tutela judicial y, por consiguiente, la ausencia de un nivel equivalente de protección en EE.UU. bajo las exigencias del RGPD.
En definitiva, deberemos estar pendientes de futuros pronunciamientos, tanto del Tribunal de Justicia de la Unión Europea como de las autoridades de control de cada Estado, sobre el reconocimiento y regulación de las, ahora temidas, transferencias internacionales a EE.UU.
Miriam Romano, Consultora Legal
- Nuevas obligaciones laborales para empresas: medidas para la igualdad LGTBI
- Actualización en las Normas ISO 27001, ISO 37001 e ISO 37301
- Análisis del Índice de Percepción de la Corrupción de 2023
- Autoridades independientes de protección al informante en España a enero de 2024
- Cumplimiento Normativo en España 2024: Pilares Fundamentales para el Éxito Empresarial