El TJUE tumba el mecanismo de transferencia de datos personales entre la UE y EE UU

El Tribunal de Justicia de la Unión Europea (TUE) ha invalidado este jueves el acuerdo de protección de datos personales entre la UE y EE UU negociado por la Comisión Europea con Washington, y conocido como Escudo de Privacidad, por temor a injerencias en los derechos fundamentales de las personas cuyos datos se transfieren a ese país.

El fallo, que llega tras una denuncia a Facebook, afecta al principal mecanismo utilizado por miles de empresas para enviar datos de ciudadanos europeos a EE UU con fines comerciales. 

La ley europea de protección de datos señala que los datos pueden transferirse fuera de la UE, tanto a EE UU como a cualquier otro país, solo si existen salvaguardas apropiadas. Pero, la Justicia europea ha concluido que no ve en el acuerdo "limitaciones" al uso de los datos "en el marco de determinados programas de vigilancia o la exitencia de garantías para proteger a los ciudadanos no estadounidenses" para evitar que sean objeto de tales programas.

"Las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense tienen primacía, por lo que toleran las injerencias en los derechos fundamentales de las personas cuyos datos se transfieren", ha precisado el Tribunal. Este se refiere a que en EE UU empresas como la citada Facebook pueden verse obligadas a entregar sus datos a las agencias de seguridad, algo que no ocurre en Europa, donde la Carta de Derechos Fundamentales de la UE y el Reglamento de Protección de Datos (GDPR, por sus siglas en inglés) protege al ciudadano.

Con su sentencia, el TUE da la razón al activista y abogado austriaco Max Schrems en su demanda contra Facebook por transferir a EE UU los datos de usuarios cedidos a la red social en Europa, aunque el fallo afecta a muchas más compañías, y no solo tecnológicas. Según el Instituto Europeo de UCL, el sistema del Escudo de Privacidad sustenta el comercio digital transatlántico para más de 5.000 empresas, de las que el 65% son pymes o nuevas empresas.

Lo que establece ese escudo de protección es un mecanismo, según el cual, los datos provenientes de la UE y tratados en EE UU tiene que estar sometidos a un alto nivel de protección, es decir, que la empresa en cuestión los procese con un robusto sistema de normas y salvaguardias en materia de protección de datos, recuerda Efe.

El llamado Escudo de privacidad fue negociado entre Bruselas y Washington en 2016 y reemplazó otro acuerdo previo, conocido como Puerto Seguro, y que también tumbó en 2015 el Tribunal europeo en otro caso denunciado por la misma persona ante las autoridades de Irlanda, país en donde Facebook tiene su sede europea.

El Tribunal europeo sí ha avalado en esta ocasión las llamadas cláusulas contractuales estándares (SCC) para la transferencia e datos entre la UE y un tercer país siempre que este garantice un suficiente nivel de protección de la información, pero el TUE considera que el caso norteamericano no cumple estas garantías.

La sentencia critica que el acuerdo con EE UU no ofrece a los usuarios europeos afectados por la transferencia de sus datos "ninguna vía de recurso" ante órganos que ofrezcan garantías equivalentes a las que exige la normativa comunitaria y advierte de que la figura del Defensor del Pueblo que contempla el Escudo de privacidad no garantiza su independencia para tomar decisiones vinculantes con respecto a los servicios de inteligencia estadounidenses.

"Está claro que EE UU tendrá que cambiar seriamente sus leyes de vigilancia, si las empresas estadounidenses quieren continuar desempeñando un papel en el mercado de la UE", ha señalado Schrems.

El codirector de tecnología de la firma de abogados Clifford Chance, Jonathan Kewley, ha señalado a la BBC que este es "un movimiento audaz por parte de Europa. Lo que estamos viendo aquí se parece sospechosamente a una guerra comercial de privacidad, que podría significar más localización de datos en Europa, que los datos de los clientes permanezcan aquí".

En Europa se introdujo el GDPR en 2018 como vía para aumentar el control sobre la privacidad de los datos. Las empresas que no lo cumplen pueden ser castigadas con multas de hasta el 4% del volumen de su negocio anual global.

Incertidumbre legal

Raúl Rubio, socio de Tecnología de Baker Mckenzie, explica que las empresas más afectadas por el fallo son "las miles de empresas tecnológicas de EE UU que han invertido mucho en sus programas de cumplimiento de privacidad de datos bajo el escudo de privacidad UE-EEUU. Estas compañías ahora vuelven al punto de partida inicial y deberán volver a recurrir a otros instrumentos legales para garantizar que pueden continuar sus negocios internacionales de manera conforme a la legislación".

Esto supone, según este experto, que la mayoría de las empresas que confiaron en el Esculo de privacidad ahora deberán cerrar acuerdos de transferencia de datos utilizando las SCC.

Rubio añade, no obstante, que el segundo grupo de operadores afectados es mucho más grande, y habla de millones de compañías que ya intercambian datos utilizando las llamadas Cláusulas Contractuales Estándar, y que siempre han recurrido a dichos contratos.

En su opinión, la decisión del Tribunal allana el camino para el escrutinio individual de estos acuerdos de transferencia de datos por parte de las Autoridades de supervisión en cada uno de los 27 Estados miembros de la UE. Es decir, los SCC siguen siendo válidos como tales, pero las autoridades de supervisión pueden (y a veces deben) evaluar caso por caso si el intercambio de datos con los EE  UU y otros terceros países está respaldado por garantías suficientes.

"Esto impone una carga importante al exportador de datos para evaluar la legitimidad de la transferencia, además de demandar la cooperación del importador de datos. En resumen, esto significa más incertidumbre legal para las empresas internacionales y más trabajo para sus equipos de cumplimiento normativo y asesores jurídicos", dice Rubio.