En el presente número de Breves de Regulación Digital, analizamos la resolución del TJUE dictada el 16 de julio, que tiene por objeto una petición de decisión prejudicial planteada por el Tribunal Superior de Irlanda en mayo de 2018.
El procedimiento tiene su origen en la reclamación planteada ante la Autoridad de Protección de Datos Irlandesa por Maximillian Schrems contra Facebook Ireland Ltd, relativa a la transferencia de sus datos personales por parte de Facebook Ireland a Facebook Inc en los Estados Unidos. Fruto de dicha reclamación, el TJUE, mediante sentencia de 6 de octubre de 2015, invalidó la Decisión 2000/520 que declaraba que los Estados Unidos ofrecían un nivel de protección adecuado.
Asimismo, dado que Facebook había alegado que gran parte de los datos que transfería a EEUU estaban soportados por cláusulas contractuales tipo, la Agencia Irlandesa solicitó a Schrems que modificase su reclamación, y es esta cuestión de la que trae causa la resolución hoy analizada.
Antecedentes
A la hora de analizar la presente resolución, hemos de remontarnos a las consecuencias de la Sentencia dictada en octubre de 2015, cuando se declaró inválido el acuerdo de Puerto Seguro (Decisión 2000/520) que permitía garantizar que, las transferencias de datos personales realizadas a empresas ubicadas en EEUU adheridas a dicho acuerdo ofrecían un nivel de protección adecuado.
Como destacamos más arriba, la anulación del acuerdo de Puerto Seguro deriva de la reclamación planteada por Maximilian Schrems contra Facebook Ireland, Inc.
En ese procedimiento, Schrems reclamaba que se prohibiese a Facebook Irlanda que transfiriese sus datos personales a los EEUU, alegando que el Derecho y las prácticas en vigor en ese país no garantizaban una protección suficiente.
Desestimada su reclamación en primera instancia, Schrems formuló recurso ante la High Court, Tribunal este que, en el curso de dicha apelación, planteó ante el TJUE una cuestión prejudicial respecto de la interpretación y la validez de la Decisión 2000/520 que declaraba que los Estados Unidos ofrecían un nivel adecuado de protección.
Mediante Sentencia de 6 de octubre de 2015 el TJUE, resolviendo la cuestión prejudicial, se pronunció declarando inválida la referida Decisión 2000/520, dejando en consecuencia sin efecto el marco Safe Harbour.
A raíz de dicha resolución, la autoridad de control irlandesa (el Comisionado) instó al Sr. Schrems a reformular su denuncia, alegando este entonces que el Derecho estadounidense obliga a Facebook a poner a disposición de las autoridades estadounidenses, como la National Security Agency (NSA) y el FBI los datos personales que se le transfieren, de manera que, decaído el marco Safe Harbour las cláusulas tipo no eran tampoco suficientes.
Al utilizarse esos datos en el marco de diferentes programas de vigilancia de una manera incompatible con los art. 7, 8 y 47 de la Carta, la Decisión CPT (Cláusulas Tipo), no puede justificar la transferencia de esos datos a EEUU, de modo que solicitaba Schrems, debía acordarse la suspensión de la transferencia de sus datos personales a Facebook, Inc.
Al plantearse entonces la validez de la Decisión relativa a las Cláusulas Tipo, en mayo de 2016, el Comisionado inició un procedimiento ante la Hight Court, con el fin de que, de nuevo, ésta elevase distintas cuestiones prejudiciales ante el TJUE.
Las principales cuestiones prejudiciales planteadas ante el TJUE son:
- La interpretación y la validez de la Decisión de la comisión relativa a las Cláusulas contractuales Tipo para la transferencia de datos personales a los encargados del tratamiento establecido en terceros países (Decisión CPT);
- La interpretación y la validez de la Decisión de ejecución de la Comisión sobre la adecuación de la protección conferida por el Privacy Shield (Decisión EP).
Resolución del TJUE Asunto C-311/18
En fecha 16 de julio, el TJUE ha emitido Sentencia resolviendo las precitadas cuestiones prejudiciales, acordando, entre otros aspectos, la invalidez de la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EEUU, lo que significa que las transferencias internacionales de datos personales a EEUU ya no podrán realizarse con base en el Privacy Shield.
En concreto, sobre la adecuación de la protección conferida por el Escudo de Privacidad, estima que dicha validez puede verse afectada por las «exigencias de seguridad nacional, interés público y cumplimiento de la Ley”, primando dichas exigencias sobre los principios y compromisos asumidos por los EEUU en el marco del Escudo de Privacidad al objeto de garantizar un nivel adecuado de protección de los datos personales transferidos desde la UE. En particular, dichas injerencias pueden producirse como consecuencia del acceso a los datos y su uso por las autoridades estadounidenses en el marco de programas de vigilancia.
A tenor de los anteriores reparos, y de otras consideraciones acreditadas por la propia High Court remitente de las cuestiones prejudiciales, el TJUE estima que el Derecho de los Estados Unidos no garantiza el nivel de protección adecuado, destacando que su marco normativo no prevé las limitaciones y garantías necesarias con respecto a las mencionadas injerencias, ni asegura una tutela judicial efectiva frente a las mismas.
Por otra parte, en lo que se refiere a las cuestiones prejudiciales relativas al nivel de protección basado en Cláusulas Tipo de protección de datos, el TJUE resuelve que el nivel de protección garantizado en el contexto de una transferencia de esas características debe tomar en consideración, tanto las estipulaciones contractuales acordadas entre el responsable y el encargado del tratamiento establecidos en la Unión y del destinatario de la transferencia establecido en un tercer país como, por lo que atañe a un eventual acceso de las autoridades públicas de ese país tercero a los datos personales transferidos, los elementos pertinentes del sistema jurídico de dicho país, y en particular los mencionados en el art. 45 apartado 3 del RGPD (derechos exigibles y garantías efectivas).
Por tanto, la interpretación del TJUE ha sido el de validar su utilización, de forma que las cláusulas contractuales estándar sobreviven.
No así, como hemos indicado, las transferencias realizadas bajo el marco de Privacy Shield.
Consecuencias de dicha resolución
Las consecuencias de esta resolución suponen que todas aquellas transferencias de datos amparados en el Escudo de Privacidad o Privacy Shield no ofrecen garantías y por lo tanto deben dejar de realizarse o, en su caso, buscar mecanismos que si permitan ofrecen esos niveles de garantía adecuados.
Con el fin de facilitar dichos flujos, a la vez que se limita el mencionado riesgo, el legislador de la Unión ha establecido tres mecanismos en virtud de los cuales pueden transferirse datos personales desde la Unión a un tercer Estado:
1. La transferencia puede efectuarse sobre la base de una decisión mediante la cual la Comisión Europea declare que el tercer Estado en cuestión garantiza un «nivel de protección adecuado» de los datos que se transfieren a este.
2. En segundo lugar, en defecto de tal decisión, se puede autorizar la transferencia si se acompaña de «garantías adecuadas». Dichas garantías pueden presentar la forma de un contrato entre el exportador y el importador de los datos que incluya cláusulas tipo de protección adoptadas por la Comisión.
3. En tercer lugar, el RGPD prevé determinadas excepciones, basadas en particular en el consentimiento del interesado, que permiten la transferencia a un tercer país incluso en ausencia de una decisión de adecuación o de garantías adecuadas.
En consecuencia de lo anterior, las compañías deberán:
- Analizar los flujos actuales de datos personales con destino a EEUU.
- Revisar la base que sustentaba las comunicaciones de datos personales, discriminando aquellas que se amparaban en el Privacy Shield.
- Contactar con proveedores y otros destinatarios de los datos personales para analizar las consecuencias derivadas de la invalidación del Privacy Shield.
- Valorar cuál de las restantes alternativas se adecúan mejor a la concreta situación de que se trate, al objeto de regularizar las transferencias con el mecanismo que mayores garantías ofrezca, y sea de más fácil implantación.
- Atender los plazos y eventuales recomendaciones que pueda dictar la Agencia Española de Protección de Datos u otros organismos, como sucedió en su día frente a la anulación de Safe Harbour.