El TJUE emite su sentencia sobre la adecuación de la protección conferida por el Escudo de privacidad UE-EE. UU.

El TJUE ha publicado sentencia del 16 de julio de 2020 en el asunto C-311/18 que tiene como partes al Comisario de Protección de Datos y a Maximiliam Schrems contra Facebook Ireland declarando la invalidez de la Decisión Escudo de Privacidad conforme al Derecho de la Unión, pues conculca la Carta Europea de Derechos Humanos.

El litigio tiene como origen la presentación de una reclamación del Sr. Schrems ante la autoridad irlandesa de protección de datos, solicitando que se prohibiesen las transferencias de datos que Facebook Ireland realizaba a servidores en Estados Unidos pertenecientes a Facebook Inc. Esta reclamación fue desestimada por la jurisdicción nacional, con base en la Decisión 2000/520 (“Decisión de puerto seguro”) en la que la Comisión declaraba que EEUU ofrecía un nivel adecuado de protección, Decisión que posteriormente fue declarada inválida por el TJUE en su sentencia de 6 de octubre de 2015 (sentencia Schrems I). A raíz de esta decisión, el demandante modificó su reclamación solicitando la suspensión o prohibición a futuro de las transferencias de sus datos desde la UE a EEUU, por lo que la autoridad irlandesa inició un procedimiento ante el Tribunal Supremo irlandés para que plantease una petición de decisión prejudicial ante el TJUE sobre la aplicabilidad del RGDP a las transferencias de datos personales basadas en las cláusulas tipo de protección de la Decisión 2010/87, sobre el nivel de protección exigido por el RGPD para las transferencias controvertidas y sobre las obligaciones de las autoridades de control para estos casos, además de la validez de la propia Decisión 2010/87 y de la Decisión Escudo de Privacidad.

En lo que tiene que ver con las obligaciones de las autoridades, el TJUE ha declarado que el RGPD se aplica a una transferencia de datos comerciales a un país tercero incluso si esos datos pueden ser tratados con fines de seguridad nacional, defensa y seguridad del Estado por las autoridades del país tercero. Las garantías y exigencias de las disposiciones del RGPD deben ser respetadas por las cláusulas de protección de datos de tales transferencias, ofreciendo un nivel de protección sustancialmente equivalente al garantizado por el Derecho de la Unión, teniendo en cuenta las estipulaciones contractuales entre las partes y un posible acceso a los datos personales por las autoridades públicas del país destinatario de los datos transferidos. Salvo que la Comisión haya adoptado una decisión de adecuación válida, las autoridades están obligadas a suspender o a prohibir una transferencia de datos personales a un país tercero cuando consideren que las cláusulas tipo de protección de datos no se respetan o no pueden respetarse en el país destinatario, no pudiendo garantizarse la protección exigida por el derecho de la Unión de los datos transferidos por otros medios.

En relación con la validez de la Decisión 2010/87 y la Decisión Escudo de Privacidad, sobre la primera el TJUE ha declarado que las cláusulas tipo de protección de datos incluidas no vinculan a las autoridades de los estados terceros, por lo que confirma su validez, señalando que tal validez se debe a que la Decisión incluye mecanismos efectivos que permiten garantizar el nivel de protección exigido por el derecho de la Unión y de que las cláusulas no se incumplan o sea imposible cumplirlas. Sobre la Decisión Escudo de Privacidad, el TJUE ha declarado que, dado que la misma dispone la primacía de la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense, lo que hace posible las injerencias en os derechos fundamentales de las personas cuyos datos personales sean transferidos. Sobre todo teniendo en cuenta que las limitaciones de la protección de datos personales de la normativa interna de EEUU, en lo que tiene que ver con acceso y utilización de las autoridades, no son sustancialmente equivalentes al derecho de la Unión, pues los programas de vigilancia estadounidense no se limitan a lo estrictamente necesario, quebrando así el principio de proporcionalidad. Finalmente, en relación con la exigencia de tutela judicial y la Decisión Escudo de Privacidad, el TJUE ha declarado que el mecanismo del Defensor del Pueblo no es suficiente para otorgar una vía de recurso ante un órgano que ofrezca garantías sustancialmente equivalentes a las exigidas en el Derecho de la Unión. Por tanto, se declara inválida la Decisión Escudo de Privacidad.

Enlace: curia.europa.eu

Comparte: