La Justicia Europea declara ilegal el acuerdo entre la UE y Estados Unidos para transferir datos
La justicia europea ha tumbado el principal mecanismo legal que emplean miles de compañías para mandar datos desde la Unión Europea a Estados Unidos. En una sentencia dictada este jueves, el Tribunal de Justicia de la UE (TJUE) ha puesto en cuestión la seguridad de esa fórmula de transferencia de datos para los ciudadanos europeos, conocida como escudo de privacidad. La Corte de Luxemburgo advierte en especial de que la normativa no pone límites a algunos programas de vigilancia de la Administración norteamericana, de modo que “no existen garantías para las personas no nacionales” de los Estados Unidos que puedan ser objeto de control.
Miles de empresas usan este mecanismo para transferir datos desde la UE a Estados Unidos. No solo tecnológicas, sino también empresas de servicios, finanzas o consultoras. “La justicia acaba de practicar un corte brutal entre EE UU y la UE, un corte que afecta a toda la economía digital”, asegura Natalia Martos, fundadora y CEO del bufete Legal Army.
Cómo pretende Bruselas frenar la expansión de Facebook, Google o Amazon
Alemania golpea a Facebook por abusar de su dominio al recopilar datos
Francia sostiene la “tasa Google” a pesar de la sanción de Estados Unidos
Esto no significa que las empresas que requieran de estas transferencias tengan que dejar de operar de inmediato. El tribunal no ha puesto objeción sobre transferencias basadas en las llamadas cláusulas contractuales estándar derivadas del reglamento general de protección de datos europeo (standard contractual clauses o SCC). Estas cláusulas constituyen una salvaguarda que, en principio, siguen vigentes y serán a las que se aferren las empresas de mayor tamaño. Las que no las tengan firmadas tendrán que dejar de operar de inmediato.
La sentencia proviene de la batalla emprendida por el activista austriaco Maximillian Schrems contra Facebook. Desde el European Center for Digital Rights (ECDR)-Noyb, la institución que preside, se aclara que la victoria lograda por Schrems no significa que las firmas no puedan transferir sus datos al extranjero. “La transferencia de datos puede basarse en el consentimiento informado del usuario, que puede ser revocado en cualquier momento. El reglamento europeo también permite las transferencias de datos que son necesarias para cumplir un contrato. Esta es una base sólida para la mayoría de las transacciones legales con los Estados Unidos”, sostiene Anna Nichols, abogada de Noyb.
El propio Schrems afirmó que EE UU deberá hacer reformas para volver al estatus privilegiado que le confería ese escudo. “El tribunal destacó explícitamente que la invalidación del escudo de privacidad no creará un vacío legal, ya que los flujos de datos cruciales aún pueden llevarse a cabo. Estados Unidos ahora simplemente vuelve a la situación de un país normal sin acceso especial a datos de la UE”, sostuvo en un comunicado. El lobby de las tecnológicas en Bruselas, en cambio, lamentó la decisión al considerar que crea “incertidumbre legal para miles de compañías” que se basan en el escudo de privacidad. “Confiamos en que los legisladores desarrollarán una solución sostenible rápidamente, en línea con la ley de la UE, para asegurar la continuidad de los flujos de datos que apuntalan la economía transatlántica”, afirmó.
El alcance del fallo no es nítido. Martos pone en duda las cláusulas SCC porque, aunque el tribunal no se pronuncie sobre ellas, exigen un tratamiento de país seguro para el Estado receptor de los datos. “Dado que la Corte ya ha dicho que EE UU no lo es, será difícil que estas cláusulas sigan manteniéndose. Pero todas las empresas norteamericanas intentarán usarlas o la economía digital entre EE UU y la UE se caerá”.
“Los más afectados directamente son las miles de empresas tecnológicas de EE UU que han invertido mucho en sus programas de cumplimiento de privacidad de datos bajo el escudo de privacidad, tanto para demostrar que son los ‘mejores en su clase’ así como poder tener certeza sobre las posiciones legales propias de sus negocios”, asegura Raúl Rubio, socio de tecnología de Baker McKenzie.
Resolución
El Tribunal de la UE ha resuelto el caso emprendido por el austriaco Maximillian Schrems contra Facebook. El activista emprendió una guerra jurídica contra el gigante norteamericano al rechazar que sus datos personales puedan ser transferidos por la filial irlandesa de Facebook a sus servidores norteamericanos, donde son objeto de tratamiento, alegando que las prácticas de los Estados Unidos no ofrecen la protección suficiente para el ciudadano europeo.
La justicia europea le da razón e invalida el llamado escudo de privacidad. Se trata de un mecanismo fijado en 2016 para proteger los datos personales de los europeos que se mandaban al otro lado del Atlántico para uso comercial después de que la justicia rechazara la fórmula que le precedió, el llamado puerto seguro.
El escudo de privacidad permite que los datos personales se transfieran de una empresa de la UE a otra de los Estados Unidos, únicamente si dicha empresa procesa (es decir, usa, almacena y transfiere posteriormente) los datos personales con arreglo a una serie de normas de protección y salvaguardias bien definidas. La protección conferida a los datos personales se aplica con independencia de si se es o no ciudadano de la Unión Europea. El tribunal cree, sin embargo, que esas salvaguardas no son suficientes. La justicia europea señala que, como ocurría con el mecanismo anterior, existe el riesgo de “injerencias en los derechos fundamentales de las personas” cuyos datos se transfieren a causa de “la primacía de las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense”.
El tribunal, en cambio, sí valida las transferencias basadas en cláusulas estándar derivadas del reglamento general de protección de datos europeo.
Limitación
El tribunal también considera que las limitaciones a la protección de datos “no están reguladas conforme a las exigencias” que cabría esperar para que fueran equivalentes al derecho comunitario. Y finalmente se detiene en la cuestión de ciertos programas de vigilancia de los Estados Unidos de los que podrían ser “potencialmente objeto” ciudadanos de otro país. “Si bien la misma normativa establece exigencias que las autoridades estadounidenses deben respetar al aplicar los programas de vigilancia de que se trata, no confiere a los interesados derechos exigibles a las autoridades estadounidenses ante los tribunales”, añade la justicia de la UE. Por todas esas razones, el TJUE decide declarar “inválida” la decisión del escudo de privacidad.
