Las transferencias de datos a Estados Unidos de nuevo bajo sospecha

El pasado 16 de julio, el Tribunal de Justicia de la Unión Europea (TJUE) dictó sentencia en el caso C 311/18, conocido como caso Schrems II, declarando nula la Decisión 2016/1250, relativa al Escudo de Privacidad o EU-U.S. Privacy Shield (Decisión EP).

Según estima el TJUE, en contra del criterio manifestado por la Comisión Europea:

“Dado su carácter general, la excepción prevista en el punto I.5 del anexo II de la Decisión EP hace posibles así injerencias, fundadas en exigencias concernientes a la seguridad nacional, el interés público y el cumplimiento de la ley de Estados Unidos, en los derechos fundamentales de las personas cuyos datos personales se transfieren o pudieran transferirse desde la Unión a Estados Unidos (véase por analogía, por lo que respecta a la Decisión 2000/520, la sentencia de 6 de octubre de 2015, Schrems, C 362/14, EU:C:2015:650, apartado 87). Más concretamente, y tal como se ha constatado en la Decisión EP, las referidas injerencias pueden producirse como consecuencia del acceso a los datos personales transferidos desde la Unión a los Estados Unidos y de la utilización de esos datos por las autoridades públicas estadounidenses, en el marco de los programas de vigilancia PRISM y Upstream basados en el artículo 702 de la FISA y en la E.O. 12333”.

La sentencia afecta a unas 5.300 entidades localizadas en Estados Unidos que actúan como proveedoras de servicios de compañías europeas. Para hacernos una idea del volumen de entidades afectadas, podemos consultar el listado de empresas adheridas al Privacy Shield en este enlace. A partir de ahora, para la mayor parte de estas compañías, las transferencias de datos realizadas en el desarrollo normal de su actividad carecen de soporte legal. No obstante, debemos resaltar que algunas de ellas, especialmente grandes entidades, han establecido, en paralelo al Privacy Shield, mecanismos adicionales como la inclusión de las cláusulas contractuales tipo en sus contratos.

Las cláusulas contractuales tipo mantienen su validez, pero el TJUE resalta que “aunque esas cláusulas son obligatorias para el responsable del tratamiento establecido en la Unión y el destinatario de la transferencia de datos personales establecido en un país tercero, (…) ha quedado acreditado que dichas cláusulas no vinculan a las autoridades de ese país tercero, dado que estas últimas no son partes del contrato”. El TJUE también recuerda las facultades de control de las autoridades nacionales de protección de datos, que, a falta de una decisión de adecuación válidamente adoptada por la Comisión, están obligadas a “suspender o prohibir una transferencia de datos a un país tercero basada en cláusulas tipo de protección de datos adoptadas por la Comisión cuando esa autoridad de control considera, a la luz de todas las circunstancias específicas de la referida transferencia, que dichas cláusulas no se respetan o no pueden respetarse en ese país tercero y que la protección de los datos transferidos exigida por el Derecho de la Unión”. Es decir, las transferencias basadas en cláusulas contractuales tipo no quedan libres de ser examinadas, atendiendo a sus concretas circunstancias, por una autoridad de control nacional.

En definitiva, volvemos a la situación de 2015, cuando la sentencia del caso Schrems I anuló los Acuerdos de Safe Harbor, generando incertidumbre en las empresas europeas que trabajan con proveedores ubicados en Estados Unidos. Hace cinco años, la Agencia Española de Protección de Datos no abrió ningún procedimiento de oficio y solo actuó en caso de denuncia de los afectados. Las dos sanciones más relevantes, de 90.000 euros cada una, fueron impuestas a Assemblea Nacional Catalana (ANC) y Òmnium Cultural en un mismo procedimiento sancionador, abierto tras una denuncia de dos interesados.

La Autoridad Irlandesa de Protección de Datos se ha apresurado a publicar una nota de prensa en la que manifiesta su satisfacción por el resultado de la sentencia de 16 de julio, que coincide con el criterio de dicha autoridad. También afirma que, desde la anterior sentencia de 2015, por razones asociadas a la estructura del sistema legal en funcionamiento en Estados Unidos, cualquier transferencia realizada a este país debe considerarse “inherentemente problemática”, con independencia del mecanismo legal que las habilite.

Mientras tanto, continúa la revisión y mejora del resto de los mecanismos legales que permiten realizar transferencias internacionales de datos. En la comunicación de 24 de junio de la Comisión Europea al Parlamento Europeo y al Consejo de la Unión Europea, en la que hace su primera evaluación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, dichos mecanismos ocupan un lugar relevante. La Comisión no solo anunciaba la publicación de la sentencia de 16 de julio, sino que también resaltaba los trabajos que actualmente se están llevando a cabo para una completa renovación de las cláusulas contractuales tipo, para racionalizar los procesos de aprobación de normas corporativas vinculantes y para la finalización de las directrices sobre sobre códigos de conducta y certificación como instrumentos para las transferencias.

María Luisa González, área de Nuevas Tecnologías de Ramón y Cajal Abogados.