Probablemente sea una de las noticias más esperadas de este convulso 2020 en el mundo de la privacidad. Tras más de un año desde que se produjera la vista en el TJUE, ya tenemos clara la posición a nivel europeo acerca de la validez de la:
- Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE.UU. (Privacy Shield); y
- Decisión 2010/87 de la Comisión, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países ("CCT").
Antecedentes
El Caso Schrems II, como su propio nombre indica, tiene como principal precursor al activista austriaco Max Schrems que en este nuevo capítulo cuestionaba ante la Autoridad Irlandesa de Protección de Datos la validez de las CCT y el Privacy Shield teniendo en cuenta las normas de conservación de la información en EE.UU. y el acceso a la misma por parte de determinadas autoridades y órganos gubernamentales. Como en la anterior ocasión, la Autoridad Irlandesa de Protección de Datos enviaba la reclamación de Max Schrems al Tribunal Supremo de Irlanda (Irish High Court), el cual remitía una serie de cuestiones al TJUE para su consideración y pronunciamiento.
Tras la remisión de dichas cuestiones, y como comentábamos hace un año aproximadamente, el 9 de julio de 2019 se producía la vista ante el TJUE en la que los distintos actores involucrados – entre otros, Max Schrems, Facebook, la Autoridad Irlandesa de Protección de Datos, la Comisión Europea, el Comité Europeo de Protección de Datos, representantes del gobierno de EE.UU., etc. – exponían sus argumentos.
El 19 de diciembre de 2019 se producía el pronunciamiento del Abogado General en el que a grandes rasgos (puede acceder al documento completo aquí) ("Pronunciamiento del AG") se "apostaba" por considerar a las CCT formalmente válidas SIEMPRE QUE se pueda garantizar su pleno cumplimiento – de no ser así, no podrían considerarse una garantía adecuada para la transferencia internacional de datos ("TIDs").
Tras el Pronunciamiento del AG que, aun no teniendo carácter vinculante, suele seguirse por parte el TJUE, solo quedaba esperar a la tan ansiada Sentencia en el Asunto C-311/18 - Data Protection Commissioner / Maximillian Schrems y Facebook Ireland ("Sentencia"), cuyo contenido desgranamos a continuación.
La Sentencia
1. Aplicación del RGPD a TIDs en las que autoridades de un país tercero pueden acceder a los datos personales afectados por dichas TIDs con fines de seguridad nacional, defensa y seguridad del Estado
Como punto de partida, la Sentencia comienza dejando claro que el RGPD aplica a cualquier TID con fines comerciales entre dos operadores económicos, sin perjuicio de que los datos personales puedan ser tratados por las autoridades del país del importador para finalidades de seguridad y defensa nacional. Es decir, el tratamiento de datos por parte de dichas autoridades no queda desprotegido y sigue amparado por el RGPD.
En este mismo sentido, el TJUE hace también referencia al artículo 45.2 a) del RGPD que exige que el tratamiento de datos objeto de TID por las autoridades del país del importador no puede quedar fuera del ámbito de aplicación del RGPD.
2. Rol de las autoridades de protección de datos
A los efectos de garantizar el estricto cumplimiento del RGPD en materia de TIDs, la Sentencia recuerda el papel que tienen las autoridades de protección de datos. En concreto, destaca que, a falta de una decisión de adecuación por parte de la Comisión Europea, las autoridades de protección de datos están obligadas a suspender o prohibir una TID sujeta a CCT, en aquellos casos en los que atendiendo a las circunstancias específicas del caso, dichas CCT no se cumplan o no se puedan cumplir en el país del importador y el exportador no haya suspendido o puesto fin a dichas TIDs.
3. Validez de las CCT
El TJUE es claro al manifestar que las CCT siguen siendo un instrumento válido para realizar TIDs, aunque dicha validez queda condicionada al cumplimiento por parte del exportador de datos de determinadas obligaciones.
Como el TJUE explica que, a diferencia de una decisión de adecuación, una decisión de la Comisión Europea que adopta CCT no tiene por objeto un tercer país y, por tanto, no puede esperarse ningún examen previo de las normativas de los terceros países; tampoco las CCT son instrumentos contractuales que vinculen a terceros que no las han suscrito (p. ej. autoridades nacionales de terceros países).
En consecuencia, el TJUE declara que recae en el exportador de datos comprobar si el derecho del tercer país al que se transfieren los datos personales garantiza una protección adecuada de los mismos y, en su caso, proporcionar las garantías adicionales que sean necesarias. Si el exportador no pudiera implementar dichas garantías, éste y, en su defecto, la autoridad de protección de datos relevante (en línea con lo ya comentado en el apartado anterior), deberá suspender o poner fin a la TID.
4. Validez del Privacy Shield
En la Sentencia, el TJUE destaca que, sin perjuicio de que la Comisión Europea constatara que el Privacy Shield cumplía con un nivel adecuado de protección de datos, éste también preveía que primaran sobre los principios generales de protección de datos determinadas exigencias de seguridad nacional, interés público, etc. de los EE.UU. Esta cuestión ha posibilitado que se produjeran injerencias por parte de las autoridades de los EE.UU. en los derechos fundamentales de los sujetos cuyos datos personales eran objeto de TIDs.
El TJUE considera que, para que dichas injerencias tuvieran algún tipo de cabida dentro el marco establecido por el RGPD, se debería haber regulado el alcance y aplicación de las mismas de forma que los sujetos afectados (no nacionales de los EE.UU.) contaran con garantías equivalentes a las que les ofrece el Derecho de la UE. En este punto, la Sentencia declara que ni los programas de vigilancia de los EE.UU. ni el mecanismo del defensor del pueblo contemplado por el Privacy Shield ofrecen garantías mínimas exigidas por el RGPD (p.ej. garantizando a los sujetos afectados el ejercicio de sus derechos).
A la luz de todo lo anterior, el TJUE concluye declarando inválido el Privacy Shield como salvaguarda para efectuar TIDs a los EE.UU.
¿Y ahora qué?
Todas aquellas entidades que pudieran verse afectadas deberán tomar medidas apropiadas y decisivas para confirmar que las TIDs que llevan a cabo cumplen con el RGPD y la Sentencia. En particular, deberán:
- Amparar sus TIDs en salvaguardas alternativas (p.ej. normas corporativas vinculantes-BCRs, CCT, CCT ad hoc) en aquellos casos en los que las TIDs a los EE.UU. estuvieran amparadas en el Privacy Shield.
- Evaluar la efectividad de las salvaguardas aplicables a las TIDs, realizando para ello un análisis la normativa local del país del importador de datos personales.
Por su parte, los prestadores de servicios que lleven a cabo tratamientos de datos fuera de la UE, deberán asistir y cooperar con sus clientes europeos a fin de facilitar la verificación o evaluación de la adecuación del nivel de protección de los datos personales objeto de TIDs.
Escrito por Víctor Mella y Patricia Suárez
