El TJUE invalida el «Escudo de privacidad» o «Privacy Shield»

escudo de privacidad

Por
31/08/2020

La Unión Europea (UE) y los Estados Unidos (EEUU) mantienen fuertes lazos comerciales. Las  transferencias de datos personales constituyen una parte necesaria e importante de la relación transatlántica, en particular, en la economía digital global de hoy en día.

Son muchas las operaciones en las que se recaban y usan datos personales, como pueden ser; nombre, domicilio, número de teléfono, fecha de nacimiento, dirección  de  correo  electrónico, número de tarjeta de crédito, número de seguridad social, nombre de usuario, estado civil, sexo o cualquier otro tipo de información que permita identificarnos. Por ejemplo, existe la posibilidad de que recabe nuestros datos un socio comercial de una empresa estadounidense o una sucursal en la UE, que los usará posteriormente en los EEUU.

Eso es lo que sucede cuando compramos bienes o contratamos servicios a través de internet, cuando usamos servicios de almacenamiento en la nube o las redes sociales, o en el caso de los empleados de empresas con sede en la UE pero que utilizan otra empresa en los EEUU. para tratar los datos personales (por ejemplo, una sociedad matriz). La legislación de la UE exige que los datos personales sigan gozando de un alto nivel de protección para ser transferidos a EEUU (véase RGPD: transferencias internacionales de datos RGPD: transferencias internacionales de datos) .Y aquí es donde interviene el Escudo de Privacidad entre la UE y los EEUU.

¿Qué es el «Escudo de privacidad» o «Privacy Shield»?

El Escudo de Privacidad permite que los datos personales se transfieran de una empresa de la UE a otra de los EEUU, únicamente si dicha empresa procesa (es decir, usa, almacena y transfiere posteriormente) los datos personales con arreglo a una serie de normas de protección y salvaguardias bien definidas. La protección conferida a los datos personales se aplica con independencia de si se es o no ciudadano de la Unión Europea.

El Tribunal de Justicia de la Unión Europea declara inválido el Escudo de privacidad para la realización de transferencias internacionales de datos a EEU.

El TJUE, ha hecho pública una sentencia, a 16 de julio de 2020, en la que anula la Decisión 2016/1250 de la Comisión que declaraba el nivel adecuado de protección del esquema del Escudo de Privacidad (Privacy Shield) para las transferencias internacionales de datos a EEUU. La sentencia, marca un nuevo punto de inflexión sobre la forma en la que se realizan las transferencias internacionales de datos a EEUU.

A su vez, esta sentencia establece la validez de las cláusulas contractuales estándar adoptadas por la Comisión Europea para realizar transferencias internacionales de datos entre un responsable establecido en la Unión Europea y un encargado del tratamiento fuera de la UE.

A modo de resumen, el Tribunal de Justicia ha declarado inválida la Decisión Escudo de la privacidad por los siguientes motivos:

  1. Que una persona no dispone en el ámbito estadounidense de los mismos derechos relativos a la protección de datos de los que disfrutaría en el ámbito europeo.
  2. Las limitaciones de la protección de datos personales que se derivan de la normativa interna de los EEUU relativa al acceso y la utilización, por las autoridades estadounidenses, de los datos transferidos desde la Unión a ese país tercero no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas.
  3. Las limitaciones al derecho a la protección de datos que pueden imponer vía programas de vigilancia el gobierno de Estados Unidos a las empresas estadounidenses son desproporcionadas.
  4. Los mecanismos de tutela del derecho a la protección de datos que prevé la Decisión de Escudo de Privacidad o «Privacy Shield» no se consideran suficientes para garantizar un nivel de protección suficiente.

El comité europeo de protección de datos ha emitido un comunicado donde señala que la UE y los EEUU. Deben lograr un marco completo y efectivo que garantice que el nivel de protección otorgado a los datos personales en los EE UU es esencialmente equivalente al garantizado dentro de la UE. El comité tiene la intención de continuar desempeñando un papel constructivo en la obtención de transferencias transatlánticas de datos personales que beneficien a los ciudadanos y las organizaciones del EEE y está dispuesta a proporcionar a la Comisión Europea asistencia y orientación para ayudarla a construir, junto con los EE.UU, un nuevo marco que cumpla con la ley de protección de datos de la UE.

Por su parte, la Agencia Española de Protección de Datos tiene previsto seguir trabajando conjuntamente con el resto de Autoridades europeas en una respuesta armonizada a nivel europeo y adoptar un enfoque común, que garantice una aplicación consistente de la sentencia en todos los países de la UE.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

ARTÍCULOS RELACIONADOS