Ayer el TJUE invalidó la Decisión 2016/1250 de la Comisión sobre la adecuación de la protección conferida por el Escudo de la privacidad entre Unión Europea y Estados Unidos. O lo que es lo mismo: Adiós al Privacy Shield, al igual que se hizo con el Acuerdo de Puerto Seguro.

Después de esta importante decisión veremos cuál podrá ser el próximo movimiento de la Comisión para poder avalar las transferencias internacionales a Estados Unidos

Privacy Shield

A falta de la publicación de la Sentencia, en la Nota de Prensa que el propio Tribunal publicó ayer se destaca lo siguiente:

  • La normativa europea de protección de datos es aplicable a las transferencias de datos personales con fines comerciales a un país tercero incluso si, además, existen finalidades relacionadas con la seguridad nacional, defensa y seguridad del Estado por las autoridades del país destinatario (en este caso Estados Unidos).
  • Las garantías que esas transferencias deben tener en cuenta, deben basarse en cláusulas tipo de protección de datos con un nivel de protección equivalente a la normativa europea de protección de datos.
  • Para evaluar si el país destinatario cuenta con un nivel de protección similar al europeo, deben tenerse en cuenta las estipulaciones contractuales acordadas entre el exportador de datos establecido en Europa y el destinatario de la transferencia establecido en el país tercero. Igualmente debe considerarse si las autoridades del país que recibe la transferencia tiene la posibilidad de acceder (por seguridad nacional por ejemplo) a esos datos.
  • Las autoridades europeas están obligadas a prohibir una transferencia cuando consideren que las cláusulas tipo de protección de datos no se respetan o no pueden respetarse en el país receptor y que la protección de los datos transferidos no pueda ser respetada.
  • La decisión de la Comisión que aprobó el Privacy Shield, reconoce la primacía de las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense y posibilita injerencias en los derechos fundamentales de las personas cuyos datos personales se transfieren a Estados Unidos. Esta injerencias suponen limitaciones para los derechos de las personas interesadas, puesto que la normativa interna de los Estados Unidos permite al acceso y la utilización, por las autoridades estadounidenses, de los datos transferidos desde la Unión y no hay exigencias equivalentes proporcionales en la normativa europea.
  • Igualmente el TJUE considera que si bien las autoridades estadounidenses se comprometen a respetar la normativa de protección de datos, en cambio no existe para las personas interesadas unos mecanismos para exigir sus derechos ante ellas. Es decir, que no se proporciona a las personas interesadas ninguna vía de recurso ante un órgano que ofrezca garantías similares a las exigidas por la normativa europea de protección de datos.

Después de esta importante decisión veremos cuál podrá ser el próximo movimiento de la Comisión para poder avalar las transferencias internacionales a Estados Unidos, pero, por lo que se ve en esta Sentencia del TJUE, deberá tenerse en cuenta que las medidas que se adopten incluyan mecanismos similares a los de la normativa europea y que, en ningún caso sea vean limitados por la normativa estadounidense. Desde luego, a priori, parece una tarea complicada.