La Justicia Europea declara ilegal el acuerdo entre la UE y EE UU para transferir datos
La decisi¨®n que deja sin efecto el llamado 'escudo de privacidad' pone en aprietos a miles de empresas en Europa
La justicia europea ha tumbado el principal mecanismo legal que emplean miles de compa?¨ªas para mandar datos desde la Uni¨®n Europea a Estados Unidos. En una sentencia dictada este jueves, el Tribunal de Justicia de la UE (TJUE) ha puesto en cuesti¨®n la seguridad de esa f¨®rmula de transferencia de datos para los ciudadanos europeos, conocida como escudo de privacidad. La Corte de Luxemburgo advierte en especial de que la normativa no pone l¨ªmites a algunos programas de vigilancia de la Administraci¨®n norteamericana, de modo que ¡°no existen garant¨ªas para las personas no nacionales¡± de los Estados Unidos que puedan ser objeto de control.
Miles de empresas usan este mecanismo para transferir datos desde la UE a Estados Unidos. No solo tecnol¨®gicas, sino tambi¨¦n empresas de servicios, finanzas o consultoras. ¡°La justicia acaba de practicar un corte brutal entre EE UU y la UE, un corte que afecta a toda la econom¨ªa digital¡±, asegura Natalia Martos, fundadora y CEO del bufete Legal Army.
Esto no significa que las empresas que requieran de estas transferencias tengan que dejar de operar de inmediato. El tribunal no ha puesto objeci¨®n sobre transferencias basadas en las llamadas cl¨¢usulas contractuales est¨¢ndar derivadas del reglamento general de protecci¨®n de datos europeo (standard contractual clauses o SCC). Estas cl¨¢usulas constituyen una salvaguarda que, en principio, siguen vigentes y ser¨¢n a las que se aferren las empresas de mayor tama?o. Las que no las tengan firmadas tendr¨¢n que dejar de operar de inmediato.
La sentencia proviene de la batalla emprendida por el activista austriaco Maximillian Schrems contra Facebook. Desde el European Center for Digital Rights (ECDR)-Noyb, la instituci¨®n que preside, se aclara que la victoria lograda por Schrems no significa que las firmas no puedan transferir sus datos al extranjero. ¡°La transferencia de datos puede basarse en el consentimiento informado del usuario, que puede ser revocado en cualquier momento. El reglamento europeo tambi¨¦n permite las transferencias de datos que son necesarias para cumplir un contrato. Esta es una base s¨®lida para la mayor¨ªa de las transacciones legales con los Estados Unidos¡±, sostiene Anna Nichols, abogada de Noyb.
El propio Schrems afirm¨® que EE UU deber¨¢ hacer reformas para volver al estatus privilegiado que le confer¨ªa ese escudo. ¡°El tribunal destac¨® expl¨ªcitamente que la invalidaci¨®n del escudo de privacidad no crear¨¢ un vac¨ªo legal, ya que los flujos de datos cruciales a¨²n pueden llevarse a cabo. Estados Unidos ahora simplemente vuelve a la situaci¨®n de un pa¨ªs normal sin acceso especial a datos de la UE¡±, sostuvo en un comunicado. El lobby de las tecnol¨®gicas en Bruselas, en cambio, lament¨® la decisi¨®n al considerar que crea ¡°incertidumbre legal para miles de compa?¨ªas¡± que se basan en el escudo de privacidad. ¡°Confiamos en que los legisladores desarrollar¨¢n una soluci¨®n sostenible r¨¢pidamente, en l¨ªnea con la ley de la UE, para asegurar la continuidad de los flujos de datos que apuntalan la econom¨ªa transatl¨¢ntica¡±, afirm¨®.
El alcance del fallo no es n¨ªtido. Martos pone en duda las cl¨¢usulas SCC porque, aunque el tribunal no se pronuncie sobre ellas, exigen un tratamiento de pa¨ªs seguro para el Estado receptor de los datos. ¡°Dado que la Corte ya ha dicho que EE UU no lo es, ser¨¢ dif¨ªcil que estas cl¨¢usulas sigan manteni¨¦ndose. Pero todas las empresas norteamericanas intentar¨¢n usarlas o la econom¨ªa digital entre EE UU y la UE se caer¨¢¡±.
¡°Los m¨¢s afectados directamente son las miles de empresas tecnol¨®gicas de EE UU que han invertido mucho en sus programas de cumplimiento de privacidad de datos bajo el escudo de privacidad, tanto para demostrar que son los ¡®mejores en su clase¡¯ as¨ª como poder tener certeza sobre las posiciones legales propias de sus negocios¡±, asegura Ra¨²l Rubio, socio de tecnolog¨ªa de Baker McKenzie.
Resoluci¨®n
El Tribunal de la UE ha resuelto el caso emprendido por el austriaco Maximillian Schrems contra Facebook. El activista emprendi¨® una guerra jur¨ªdica contra el gigante norteamericano al rechazar que sus datos personales puedan ser transferidos por la filial irlandesa de Facebook a sus servidores norteamericanos, donde son objeto de tratamiento, alegando que las pr¨¢cticas de los Estados Unidos no ofrecen la protecci¨®n suficiente para el ciudadano europeo.
#ECJ: images from the delivery of the judgment in the #Schrems/#Facebook Ireland #PrivacyShield case @maxschrems (C-311/18) PART 2/3 pic.twitter.com/cpIUMgHuvT
— EU Court of Justice (@EUCourtPress) July 16, 2020
La justicia europea le da raz¨®n e invalida el llamado escudo de privacidad. Se trata de un mecanismo fijado en 2016 para proteger los datos personales de los europeos que se mandaban al otro lado del Atl¨¢ntico para uso comercial despu¨¦s de que la justicia rechazara la f¨®rmula que le precedi¨®, el llamado puerto seguro.
El escudo de privacidad permite que los datos personales se transfieran de una empresa de la UE a otra de los Estados Unidos, ¨²nicamente si dicha empresa procesa (es decir, usa, almacena y transfiere posteriormente) los datos personales con arreglo a una serie de normas de protecci¨®n y salvaguardias bien definidas. La protecci¨®n conferida a los datos personales se aplica con independencia de si se es o no ciudadano de la Uni¨®n Europea. El tribunal cree, sin embargo, que esas salvaguardas no son suficientes. La justicia europea se?ala que, como ocurr¨ªa con el mecanismo anterior, existe el riesgo de ¡°injerencias en los derechos fundamentales de las personas¡± cuyos datos se transfieren a causa de ¡°la primac¨ªa de las exigencias relativas a la seguridad nacional, el inter¨¦s p¨²blico y el cumplimiento de la ley estadounidense¡±.
El tribunal, en cambio, s¨ª valida las transferencias basadas en cl¨¢usulas est¨¢ndar derivadas del reglamento general de protecci¨®n de datos europeo.
Limitaci¨®n
El tribunal tambi¨¦n considera que las limitaciones a la protecci¨®n de datos ¡°no est¨¢n reguladas conforme a las exigencias¡± que cabr¨ªa esperar para que fueran equivalentes al derecho comunitario. Y finalmente se detiene en la cuesti¨®n de ciertos programas de vigilancia de los Estados Unidos de los que podr¨ªan ser ¡°potencialmente objeto¡± ciudadanos de otro pa¨ªs. ¡°Si bien la misma normativa establece exigencias que las autoridades estadounidenses deben respetar al aplicar los programas de vigilancia de que se trata, no confiere a los interesados derechos exigibles a las autoridades estadounidenses ante los tribunales¡±, a?ade la justicia de la UE. Por todas esas razones, el TJUE decide declarar ¡°inv¨¢lida¡± la decisi¨®n del escudo de privacidad.
Puedes seguir a EL PA?S TECNOLOG?A RETINA en Facebook, Twitter, Instagram o suscribirte aqu¨ª a nuestra Newsletter.
Tu suscripci¨®n se est¨¢ usando en otro dispositivo
?Quieres a?adir otro usuario a tu suscripci¨®n?
Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.
FlechaTu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.
?Tienes una suscripci¨®n de empresa? Accede aqu¨ª para contratar m¨¢s cuentas.
En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.
