Zona Clientes
User
Password
Campus e-Learning
User
Password
  • Zona Clientes
  • Campus E-Learning
Noticias  /  El TJUE anula el Escudo de Protección ("Privacy Shield")

El TJUE anula el Escudo de Protección ("Privacy Shield")

Tras su antecesor, el Acuerdo de Puerto Seguro o “Safe Harbor”, ahora es el turno del Escudo de Protección o “Privacy Shield”, invalidado por el TJUE en su sentencia conocida como Schrems II.

07/10/2020

Para ponernos en contexto, empezaremos hablando del Acuerdo de Puerto Seguro establecido en la Decisión 2000/520 de la Comisión, un acuerdo donde se señalaba que los Estados Unidos ofrecían un nivel adecuado de protección en materia de protección de datos por el que las empresas podrían adscribirse voluntariamente, ya no teniendo que buscar otras salvaguardas para poder importar datos a EEUU de ciudadanos de la UE.

Maximilian Schrems, ciudadano austriaco y usuario de Facebook, interpuso una reclamación que llego al TJUE a través de una cuestión de prejudicialidad en la cual se estimo la cuestión. El TJUE señalo en su Sentencia C-311/18 con fecha 6 de octubre de 2015, que los datos que Facebook Ireland Ltd. transfería a EEUU no estaban seguros, ya que las autoridades americanas, a través de su normativa legal, podían acceder o solicitar dichos datos sin ninguna garantía para los ciudadanos mediante los mecanismos legales vigentes relativos a la protección de la seguridad nacional, defensa y seguridad del estado.

Con la utilización de las nuevas tecnologías en auge y la multitud de empresas que operan junto con empresas estadounidenses, esto genero un poco de caos y desorientación a la hora de gestionar los datos personales. La alternativa era utilizar las denominadas Cláusulas Contractuales Tipo de la Comisión Europea, documento que debían firmar ambas partes antes de cualquier transmisión de datos, tanto importación como exportación. Pero este proceso era más lento y complejo.

A raíz de todo esto, se estudia una nueva fórmula más ágil y operativa para la transmisión de datos personales entre la UE y EEUU. Así llegamos a la Decisión 2016/1250, de la Comisión, que declaraba válidas las transferencias de datos personales entre la UE y EEUU, siempre que la empresa receptora estuviera adherida al sistema de control denominado “Privacy Shield” o Acuerdo de Privacidad, el cual imponía unas condiciones más estrictas para las empresas estadounidenses, como la obligatoriedad de revisarlo cada año certificando su cumplimiento o la obligación de contestar en un plazo de 45 días a las quejas en esta materia que pusieran los titulares, las cuales si no eran resultas, pasaban a un mecanismo de arbitraje  para asegurar una solución.

El señor Maximilian Schrems volvió a reclamar ante el Tribunal Superior de Irlanda, señalando que ni las Cláusulas Contractuales Tipo, ni el Escudo de Privacidad respetaban los derechos fundamentales en materia de protección de datos establecidos en el RGPD y en la CDFUE. Dicho tribunal, volvió a plantear una cuestión prejudicial. Así el TJUE, en la Sentencia C-311/18 de 16 de julio de 2020, volvió a anular el esquema de transferencias internacionales aprobado por la Comisión Europea, es decir, el Escudo de Privacidad, aunque, mantiene la validez de las Cláusulas Contractuales Tipo siempre y cuando, la otra parte firmante, pueda garantizar el cumplimiento de las mismas incluyendo las normas locales o estatales que le puedan afectar.

El TJUE entiende que al unirse las empresas al Escudo de Protección, si bien la intención es buena, no se puede cumplir al 100 % cuando dichas empresas operan en un país, en este caso EEUU, cuya administración puede requerir información confidencial cuando así lo crean conveniente a través de los mecanismos establecidos en materia de Seguridad Nacional, Defensa y Seguridad del Estado.

En caso de que no se puedan garantizar todas las medidas y obligaciones respecto a los datos que se traten, el responsable de tratamiento y en su defecto, la autoridad de protección de datos competente, deben suspender la transferencia de los datos personales a la empresa que opera en dicho país.

Por tanto, tal y como señala la Gran Sala del TJUE, no se puede señalar a EEUU como una jurisdicción con un nivel de protección adecuado o equivalente al de la UE.

Actualmente, las transferencias que se estén realizando a empresas de dicho país no están reguladas por el RGPD y por tanto, serían ilegales, salvo que se puedan asegurar las garantías establecidas en el artículo 46 del mismo cuerpo legal.

Fadua Embark. Directora de proyectos y Consultora técnica en materia de protección de datos.

Reconocimientos y participación

Top 100.000 EmpresasEmpresa Responsable con el VIH  y el Sida en EspañaWorld Compliance AssociationSTAREGISTERMicrosoftHiscoxEmpresa colaboradora Un Reto Social EmpresarialRecomendados por AEPSALEstrategia de emprendimiento y empleo jovenMiembros firmantes del Pacto de LuxemburgoMiembros de AENOAIntedya
 

Esta web utiliza cookies para obtener datos estadísticos de la navegación de sus usuarios. Si continúas navegando consideramos que aceptas su uso. Más información Aceptar   Rechazar