El Tribunal de Justicia de la Unión Europea (TUE) ha fallado een contra del acuerdo para la transferencia de datos de ciudadanos europeos a Estados Unidos negociado por la Comisión Europea con Washington, conocido como ‘Escudo de privacidad’, porque no garantiza el nivel de protección de la información personal que exigen las reglas de la Unión Europea.

En su sentencia, argumenta que no halla en el acuerdo que permite el envío de datos de usuarios europeos a Estados Unidos para fines comerciales «limitaciones» al uso de los mismos en el marco de determinados programas de vigilancia, ni tampoco encuentra garantías suficientes para proteger a los ciudadanos no estadounidenses y evitar que sean objeto de éstos.

El acuerdo negociado por Bruselas reconoce la «primacía de las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense, posibilitando de este modo injerencias en los derechos fundamentales de las personas cuyos datos personales se transfieren a ese país tercero».

El Tribunal de nuevo la razón al activista Max Schrems en una demanda contra Facebook por transferir a Estados Unidos los datos de usuario cedidos a la red social en Europa, aunque el fallo podrá afectar a muchas más compañías puesto que «invalida» el sistema por el que se transfieren los datos.

El pacto para un ‘Escudo de privacidad’ fue negociado entre Bruselas y Washington en 2016 precisamente para reemplazar un acuerdo previo, conocido como ‘Puerto Seguro’ y que también tumbó el Tribunal europeo un año antes en otro caso denunciado por Schrems ante las autoridades de Irlanda, país en donde Facebook tiene su sede europea.

El Tribunal europeo sí avala la aplicación del Reglamento general de protección de datos (RGPD) a las transferencias de datos personales en cuanto a las cláusulas de protección y al control por parte de las autoridades de manera general, pero considera que el caso norteamericano no cumple estas garantías. Critica que el acuerdo con Estados Unidos no ofrece a los usuarios europeos afectados por la transferencia de sus datos «ninguna vía de recurso» ante órganos que ofrezcan garantías equivalentes a las que exige la normativa comunitaria, al tiempo que avisa de que la figura del Defensor del Pueblo que contempla el ‘Escudo de privacidad’ no garantiza su independencia para tomar decisiones vinculantes con respecto a los servicios de inteligencia estadounidenses.

Aunque el acuerdo evoca exigencias que las autoridades estadounidenses deben respetar al aplicar los programas de vigilancia luego no ofrece a los usuarios garantías de que podrán exigir sus derechos a las autoridades estadounidenses ante los tribunales.

La Comisión Europea asegura que los flujos de datos continuarán

Pese al varapalo al acuerdo de seguridad con EEUU, la vicepresidenta de Justicia de la Comisión Europea, Vera Jourova,  asegura que los «flujos transatlánticos de datos» pueden continuar porque existen herramientas que aseguran las salvaguardas necesarias para proteger estos datos. El RGPD sí ha recibido el visto bueno del TUE por las cláusulas contractuales estándar que impone a las compañías internacionales de países terceros que quieren intercambiar datos con la Unión Europea.

Y asegura que la Comisión Europea trabaja desde hace tiempo de manera «intensa» para adecuar el marco del reglamento de protección de datos al contexto transfronterizo, incluido con la «modernización» de las cláusulas contractuales. «Seguiremos trabajando para asegurar la continuidad del flujo de datos», remarca.

Análisis de Baker McKenzie

Para Raúl Rubio, socio de tecnología de Baker McKenzie, «los más afectados directamente son las miles de empresas tecnológicas de EE.UU. que han invertido mucho en sus programas de cumplimiento de privacidad de datos bajo el Escudo de Privacidad UE – EE.UU. con el afán de demostrar que son los mejores en su clase así como poder tener certeza sobre las posiciones legales propias de sus negocios». «Estas compañías ahora vuelven al punto de partida inicial y deberán volver a recurrir a otros instrumentos legales para garantizar que puedan continuar sus negocios internacionales de manera conforme a la legislación. Esto significa que la mayoría de las empresas que confiaron en el Escudo UE / EE. UU. ahora deberán cerrar acuerdos de transferencia de datos utilizando Cláusulas contractuales estándar (SCC)«, explica.

Raúl Rubio añade que «el segundo grupo de operadores afectados es mucho más grande: los millones de compañías que ya intercambian datos utilizando las llamadas Cláusulas Contractuales Estándar, y que siempre han recurrido a dichos contratos». «La decisión del Tribunal allana el camino para el escrutinio individual de estos acuerdos de transferencia de datos por parte de las Autoridades de supervisión en cada uno de los 27 Estados miembros de la UE. Es decir, los SCC siguen siendo válidos como tales, pero las autoridades de supervisión pueden (y a veces deben) evaluar caso por caso si el intercambio de datos con los EE. UU. y otros terceros países -en virtud de dichos acuerdos- está respaldado por garantías suficientes. Esto impone una carga importante al exportador de datos para evaluar la legitimidad de la transferencia, además de demandar la cooperación del importador de datos. En resumen, esto significa más incertidumbre legal para las empresas internacionales y más trabajo para sus equipos de cumplimiento normativo y asesores jurídicos», concluye.