El Tribunal de Justicia de la Unión Europea (TJUE) ha anulado el denominado privacy shield (en español, escudo de privacidad), un acuerdo que permitía desde el año 2016 la transferencia de datos personales entre EEUU y Europa. En una sentencia dictada a comienzos de este mes de julio de 2020, se invalida el sistema vigente por considerar que no otorga las suficientes garantías para el cumplimiento del Reglamento General de Protección de Datos de la Unión Europea. Las empresas precisarán de expertos para amoldarse a las nuevas circunstancias.
En el texto, la justicia europea reconoce la existencia de un riesgo de control sobre los no nacionales de Estados Unidos. Considera que, en la actualidad, no se pone límite a determinados programadas de vigilancia de los que dispone la administración de Norteamérica.
Estos reúnen, al parecer, información referida a quienes se encuentran fuera de sus fronteras y no cuentan con la nacionalidad estadounidense. Lo hacen a través de datos almacenados por diferentes proveedores y empresas.
Ahora se pone fin a la disposición que permitía a los grandes gigantes de Internet, entre los que destacan Facebook, Apple o Google, transferir desde sus filiales europeas información de carácter personal referida a sus usuarios a los servidores estadounidenses. En esta información se incluían las identidades, preferencias de los internaturas, geolocalizaciones, etc.
La transferencia de datos con el privacy shield queda invalidada
La decisión del TJUE marca un antes y un después en la economía digital internacional. Tras tumbar la transferencia de datos con el privacy shield, las 5300 empresas que operaban al abrigo de este acuerdo deberán cesar el envío de información referida a ciudadanos europeos a sus bases de Estados Unidos. Serán las autoridades las que podrán determinar la mencionada paralización. Además, habrán de revisar su compliance ante el riesgo de posibles auditorías y denuncias.
El futuro en este ámbito se presenta, hoy por hoy, un tanto incierto. Las dos potencias en juego deberán desarrollar un nuevo reglamento provisto de garantías más férreas o esperar a que Estados Unidos disponga de una legislación más estricta. Sin embargo, las primeras reacciones que se han producido a ambos lados del océano Atlántico son bien dispares.
Mientras en el seno de la UE se muestra el deseo de trabajar de forma conjunta en la búsqueda de una solución adaptada a la nueva situación legal creada, en Estados Unidos no ocultan su decepción por la sentencia recientemente conocida.
Habrá que esperar a ver si las autoridades acceden a desarrollar leyes menos permisivas que las que actualmente se encuentran en vigor. Los especialistas en este ámbito no se muestran demasiados optimistas al respecto.
Una denuncia contra Facebook, en el origen de la sentencia
La sentencia dictada por el Tribunal de Justicia de la Unión Europea pone punto y final a siete años de litigio. En su origen se halla la denuncia realizado por el abogado Max Schrems, cuando aún era un estudiante universitario.
Este joven de origen austriaco, que hoy cuenta con 30 años de edad, se negaba a que la filial en Irlanda de Facebook transfiriese sus datos personales a Estados Unidos, donde estos no gozan de la suficiente protección por pertenecer a un ciudadano europeo.
En su primera reclamación, Schrems logró que se invalidara el primer acuerdo EEUU-UE denominado Safe Harbor o Puerto Seguro. 5 años después y en su segunda reclamación, Schrems alegó que el nuevo acuerdo Privacy Shield o Escudo de Privacidad no respetaba sus derechos fundamentales en el momento en que sus datos eran transferidos a Estados Unidos. Ha sido entonces cuando el TJUE ha invalidado, por segunda vez, el esquema de transferencias entre EEUU y UE, que fue aprobado por la Comisión Europea en 2016.
Situación actual y alternativas
Safe Harbor dio paso a Privacy Shield, y éste, tras la reciente sentencia del TJUE, tendrá que dar paso a un nuevo marco regulador más sólido y respetuoso con los derechos de las personas entre EEUU y UE.
Mientras tanto, las transferencias internacionales de datos basadas en el Escudo de Privacidad quedan invalidadas y, por tanto, son contrarias al RGPD. La alternativa más garantista en estos momentos deben ser las Cláusulas Contractuales Tipo que deben firmarse entre Importador y Exportador de datos, y que muchas grandes compañías tecnológicas ya han adoptado (Google, Microsoft).
Postura de la AEPD en España
Actualmente la Agencia Española de Protección de Datos no se ha pronunciado hasta el momento, pero como Autoridad de Control influyente en las políticas de protección de datos de la Unión Europea, esperamos que se manifieste en los próximos días, y oriente a ciudadanos, profesionales y empresas acerca de cómo proceder correctamente ante esta nueva situación, a la espera de un nuevo tratado EEUU-UE que sí ofrezca todas las garantías, derechos y respeto por la privacidad que se ha puesto en duda con la anulación de Privacy Shield por parte del TJUE.