BLOG

El TJUE invalida el Escudo de Privacidad UE‑EE.UU

sábado, 25 de julio de 2020 11:43

El TJUE invalida el Escudo de Privacidad UE‑EE.UU

por Franco Conforti

Tal y como había comentado en el último artículo, en estas semanas dos sentencia del Tribunal de Justicia de la Unión Europea han removido los cimientos de más de un gigante de la tecnología.

Habiendo ya tratado el tema del concepto de «direcciones» (asunto C‑264/19), en esta oportunidad me voy a detener en la Sentencia de la Gran Sala Quinta del Tribunal de Justicia de fecha 16 de julio de 2020 (asunto C-311/18).

El asunto trataba sobre la adecuación de la protección garantizada por el Escudo de Privacidad de la Unión Europea-Estados Unidos, debido a una reclamación del demandante (Sr. Maximillian Schrems) en relación a la transferencia de sus datos personales por parte de Facebook Ireland a Facebook Inc. en los Estados Unidos. 

La petición de decisión prejudicial la había realizado el Comisario para la Protección de Datos, Irlanda. El procedimiento prejudicial debía pronunciarse sobre las siguientes cuestiones prejudiciales:

  • La interpretación del artículo 3, apartado 2, primer guion, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31), en relación con el artículo 4 TUE, apartado 2, y los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»).

  •  La interpretación y la validez de la Decisión de la Comisión 2010/87/UE, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46 (DO 2010, L 39, p. 5), en su versión modificada por la Decisión de Ejecución (UE) 2016/2297 de la Comisión, de 16 de diciembre de 2016 (DO 2016, L 344, p. 100) (en lo sucesivo, «Decisión CPT»), así como

  • La interpretación y la validez de la Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46 sobre la adecuación de la protección conferida por el Escudo de la Privacidad UE-EE. UU. (DO 2016, L 207, p. 1; en lo sucesivo, «Decisión EP»).

Luego de un extenso análisis del marco legal, que por cierto es muy abundante, resuelve:

1) Está comprendida dentro del ámbito de aplicación del Reglamento General de Protección de Datos una transferencia de datos personales realizada con fines comerciales por un operador económico establecido en un Estado miembro a otro operador económico establecido en un país tercero, a pesar de que, en el transcurso de esa transferencia o tras ella, esos datos puedan ser tratados por las autoridades del país tercero en cuestión con fines de seguridad nacional, defensa y seguridad del Estado.

2) Las garantías adecuadas, los derechos exigibles y las acciones legales efectivas requeridas por dichas disposiciones deben garantizar que los derechos de las personas cuyos datos personales se transfieren a un país tercero sobre la base de cláusulas tipo de protección de datos gozan de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión Europea por el referido Reglamento, interpretado a la luz de la Carta de los Derechos Fundamentales de la Unión Europea.
A tal efecto, la evaluación del nivel de protección garantizado en el contexto de una transferencia de esas características debe, en particular, tomar en consideración tanto las estipulaciones contractuales acordadas entre el responsable o el encargado del tratamiento establecidos en la Unión Europea y el destinatario de la transferencia establecido en el país tercero de que se trate como, por lo que atañe a un eventual acceso de las autoridades públicas de ese país tercero a los datos personales de ese modo transferidos, los elementos pertinentes del sistema jurídico de dicho país y, en particular, los mencionados en el artículo 45, apartado 2, del referido Reglamento.

3) A no ser que exista una decisión de adecuación válidamente adoptada por la Comisión Europea, la autoridad de control competente está obligada a suspender o prohibir una transferencia de datos a un país tercero basada en cláusulas tipo de protección de datos adoptadas por la Comisión, cuando esa autoridad de control considera, a la luz de todas las circunstancias específicas de la referida transferencia, que dichas cláusulas no se respetan o no pueden respetarse en ese país tercero y que la protección de los datos transferidos exigida por el Derecho de la Unión, en particular, por los artículos 45 y 46 del mencionado Reglamento y por la Carta de los Derechos Fundamentales, no puede garantizarse mediante otros medios, si el responsable o el encargado del tratamiento establecidos en la Unión no han suspendido la transferencia o puesto fin a esta por sí mismos.

Concluye inválidando la Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la Privacidad UE‑EE. UU.