Las transferencias de datos personales entre la Unión Europea y EEUU, invalidadas al entender que las garantías allí son insuficientes, según el TJUE

Max Schrems, el activista por la privacidad austriaco que acaba de ganarle la batalla legal a EEUU.
Max Schrems, el activista por la privacidad austriaco que acaba de ganarle la batalla legal a EEUU.
REUTERS/Heinz-Peter Bader
  • El TJUE ha declarado inválido el acuerdo regulatorio entre la UE y EEUU para la transferencia de datos personales.
  • La sentencia entiende que la legislación estadounidense no es equiparable a la europea en cuanto a garantías en el tratamiento de los datos.
  • Es una victoria para Max Schrems, el activista de la privacidad austriaco que lidera la organización noyb.
  • En un comunicado, noyb asegura que Facebook no podrá seguir usando las SCC, unos instrumentos jurídicos para garantizar transferencias de datos seguras.
  • Descubre más historias en Business Insider España.

El acceso y uso de los datos personales en Estados Unidos "no está regulado" conforme a las "exigencias" de la Unión Europea. Por este motivo, una sentencia del Tribunal de Justicia de la UE (TJUE) acaba de suspender estas transferencias de estos datos al país norteamericano.

El fallo, que puedes consultar aquí, es una nueva victoria del activista austriaco Max Schrems, presidente de la asociación en defensa de la privacidad noyb. Schrems ya logró que una sentencia de la misma instancia invalidara en 2015 el marco normativo que permitía la transferencia de datos entre Europa y EEUU, el Safe Harbor (Puerto Seguro).

Con la sentencia de este jueves, el TJUE se pronuncia sobre el marco normativo que reemplazó al Safe Harbor. Su nombre es Privacy Shield (Escudo de la Privacidad). El Tribunal europeo no invalida todas las transferencias de datos con países no europeos, siempre y cuando sus normativas sean tan garantistas como las de la Unión. Lo que sí anula son las transferencias, en concreto, con EEUU.

El fallo mantiene que "el acceso y la utilización por las autoridades estadounidenses de los datos transferidos desde la UE (...) no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas en el Derecho de la Unión". En otras palabras: las garantías de protección de datos estadounidenses no son comparables a las europeas, por lo que las transferencias de datos de ciudadanos europeos hacia este país quedan suspendidas.

Leer más: El GDPR decepciona 2 años después de su implantación y la UE se prepara para reforzar sus controles a las grandes tecnológicas tras la crisis del coronavirus

Uno de los argumentos que el TJUE esgrime en la sentencia es que en EEUU no se respeta del mismo modo el "principio de proporcionalidad" sobre la gestión de los datos ciudadanos. "Los programas de vigilancia basados en la mencionada normativa [en Estados Unidos] no se limitan a lo estrictamente necesario".

El activista Schrems se ha felicitado en un comunicado de su organización, noyb, por el logro de esta sentencia. "Estoy muy feliz con el fallo. Parece que el Tribunal nos da la razón en todos los aspectos. Este es un golpe importante para la agencia de protección de datos irlandesa y para Facebook. Queda claro que EEUU tendrá que hacer importantes cambios en sus leyes de vigilancia si quieren que sus compañías sigan jugando un papel importante en el mercado europeo".

Facebook no podrá usar más las SCC para transferir datos, según noyb

El Privacy Shield era el acuerdo marco para la transferencia de datos entre la Unión Europea, EEUU y Suiza. Para garantizar que estas transferencias seguras se utilizan unas herramientas jurídicas conocidas como "cláusulas contractuales estándares", o SCC por sus siglas en inglés.

Las empresas podrán seguir usando estas SCC entre Europa y aquellos países cuyas leyes en materia de protección de datos sean equiparables a las de la Unión. Pero noyb, la plataforma de Schrems, recuerda en su comunicado lo siguiente: "Solo si no hay leyes en conflicto podrán usar las SCC".

Así, alude también a la responsabilidad de los organismos de control europeos en materia de protección de datos. En España, el órgano competente es la Agencia Española de Protección de Datos (AEPD). Schrems señala que tendrán que velar porque los datos de los ciudadanos permanezcan seguros frente a las leyes de vigilancia extranjeras. Si no, tendrán que aplicar el artículo 4 de la Decisión de la Comisión Europea que regula estas SCC, y que contempla la posibilidad de suspender las transferencias de datos.

Leer más: Clearview AI, la compañía de reconocimiento facial que ha robado millones de rostros de internet, acaba de ser denunciada por protección de datos en Europa

Schrems abunda, en concreto, hablando sobre la agencia irlandesa, la DPC. "La DPC ha rechazado esta idea desde 2016 con la falsa afirmación de que no tenían competencias para hacer frente a la vigilancia masiva de potencias extranjeras. En resumen, esto significa que Facebook ya no podrá usar las SCC para las transferencias de datos entre Europa y EEUU y, si la red social sigue violando la ley, la DPC tendrá que tomar medidas".

El trasfondo de esta batalla legal

Trabajadores de noyb en Viena.Trabajadores de noyb en Viena.
Trabajadores de noyb en Viena.
REUTERS/Lisi Niesner

El activista presentó una reclamación contra la DPC irlandesa al entender que sus datos los recababa la filial de la compañía de Zuckerberg en dicho país, y estos se remitían a su matriz en Estados Unidos, donde se ejercía el tratamiento de datos. La DPC desestimó la reclamación de Schrems al entender que Safe Harbor, el marco regulatorio anterior, consideraba que la legislación estadounidense era garantista con la protección de datos de los ciudadanos europeos.

No obstante, el TJUE ya se pronunció en 2015 sobre esta Safe Harbor, que acabó invalidándose. El Tribunal de la UE se pronunció a instancias del Tribunal Superior irlandés. La DPC, entonces, animó a Schrems a que modificara su reclamación, ya que Safe Harbor ya había sido invalidado.

Schrems aludía a que las compañías estadounidenses como Facebook no debían tener acceso al uso de las SCC al considerar que sus garantías en EEUU no eran equiparables. Mientras el procedimiento seguía abierto, la Comisión Europea anunció Privacy Shield, el acuerdo regulatorio que venía a sustituir Safe Harbor.

Leer más: La Agencia de Protección de Datos belga sanciona a Google con 600.000 euros por no respetar el derecho al olvido de un personaje público

Ahora el procedimiento termina con el TJUE declarando que las SCC cumplen con la normativa de la Carta de Derechos Fundamentales de la UE, pero zanjando que este acuerdo, el Privacy Shield, es inválido por los motivos que el propio activista austriaco exponía.

Reacción de la Comisión Europea

En una comparecencia de prensa posterior, la vicepresidenta de la Comisión Europea para los Valores y la Transparencia, Věra Jourová, y el comisario europeo de Justicia, Didier Reynders, han hecho la primera valoración de la sentencia del TJUE.

Jourová ha asegurado que la Comisión Europea seguirá trabajando en garantizar que el flujo de datos de los ciudadanos europeos con terceros países "siga siendo seguro", y ha adelantado que la propia Comisión ya estaba trabajando en mecanismos regulatorios para "modernizar" las SCC. 

La vicepresidenta de la CE también ha abundado en que ve esta resolución judicial como una "oportunidad" para negociar con la contraparte estadounidense y encontrar "soluciones que reflejen los valores que compartimos, como sociedades democráticas".

Reynders, por su parte, ha dado la bienvenida a la "confirmación" de la "validez de los SCC" que ha hecho el TJUE en su sentencia de este jueves, y ha confirmado a su colega, al asegurar también que ya están trabajando en modernizar estas cláusulas. "Las SCC son las herramientas más útiles para la transferencia internacional de datos personales, y queremos asegurarnos de que puedan ser utilizadas por empresas ateniéndose siempre a la ley europea".

LEER TAMBIÉN: Así fue el secuestro masivo de cuentas de Twitter con el que unos ciberdelincuentes han logrado estafar más de 100.000 euros en criptomonedas

LEER TAMBIÉN: Todo lo que se sabe hasta ahora del hackeo y el espionaje a los teléfonos de políticos independentistas de Cataluña que se hizo con tecnología de la israelí NSO Group

LEER TAMBIÉN: Microsoft tapa un agujero que existía desde hace 20 años y permitía tomar el control de redes empresariales enteras a través del servidor DNS de Windows

VER AHORA: Los 3 escenarios que maneja el grupo hotelero Palladium en 2021 tras la debacle turística por la pandemia

    Más:

  1. Privacidad
  2. Ciberseguridad
  3. Trending
  4. Top
  5. Eurozona
  6. Unión Europea
  7. Estados Unidos