Schrems II

Ante el terremoto causado por la Sentencia del Tribunal de Justicia de la Unión Europea de 16 de julio de 2020 en el asunto C-311/18 (Sentencia Schrems II), que declara contraria a Derecho la Decisión 2016/1250 de la Comisión europea (Escudo de Privacidad) y considerar válida, en términos generales, la Decisión 2010/87 de la Comisión europea (CCT o Cláusulas Contractuales Tipo), estamos empezando a ver las primeras reacciones de autoridades europeas de protección de datos al respecto. A continuación resumimos algunas de las primeras declaraciones publicadas.

Comité Europeo de Protección de Datos (CEPD)

El CEPD emitió el mismo día de la publicación de la Sentencia Schrems II una nota de prensa con las siguientes conclusiones:

  • En lo relativo al Escudo de Privacidad, comenta que ya indicó en su segundo y tercer informe anual sobre el Escudo de Privacidad las dudas relativas a la viabilidad jurídica del acuerdo.
  • En lo relativo a las CCT, entiende que es responsabilidad de las partes firmantes analizar si el país de destino de los datos personales permite su entero cumplimiento por las partes y no impone normas de policía que impidan llegar a un nivel adecuado de protección. Para realizar este análisis, deberán tener en cuenta el contenido de las CCT, así como las circunstancias de la transferencia de datos personales y el régimen jurídico aplicable en el tercer país de destino de los datos. Para determinar si el nivel de protección es adecuado se podrá tener en cuenta los elementos (no exhaustivos) establecidos en el artículo 45.2 RGPD (decisión de adecuación).
  • EL CEPD también toma nota de la obligación de las autoridades de control de suspender o prohibir las transferencias a terceros países que utilicen CCT, cuando entiendan que no son suficientes para garantizar un nivel adecuado de protección.
  • Asimismo, el CEPD recuerda la existencia de su guía sobre el artículo 49 RGPD y advierte que este mecanismo para realizar transferencias de datos personales fuera del Espacio Económico Europeo es una excepción a la regla general y que el análisis sobre su aplicabilidad deberá realizarse caso por caso.

Por último, el CEPD subraya que está elaborando unas orientaciones más desarrolladas para ayudar a las empresas afectadas a tomar los pasos adecuados durante los siguientes meses.

El CEPD se compone de representantes de las diferentes autoridades europeas de protección de datos y del Supervisor Europeo de Protección de Datos. Para poder hacernos una idea de la dirección en la que pueden dirigirse estas orientaciones, puede ser de utilidad analizar las declaraciones de algunos de los miembros del CEPD.

Supervisor Europeo de Protección de Datos (SEPD)

EL SEPD enfatiza en su nota de prensa que una de las razones por las que el TJUE consideró el Escudo de Privacidad contrario a Derecho es la imposibilidad de los interesados europeos para defenderse ante los tribunales de Estados Unidos en caso de que accedan a sus datos personales. En este sentido, el derecho a la tutela judicial efectiva en el contexto de la protección de datos ha dejado de ser en los últimos años un derecho fundamental europeo, para convertirse en un derecho reconocido en la mayoría de los países del mundo. Por ello, el SEPD confía en que se pueda llegar a un acuerdo sobre este extremo a la hora de crear un nuevo mecanismo que permita la realización de transferencias de datos personales a los Estados Unidos.

Asimismo, como supervisor de las instituciones europeas, el SEPD toma nota de que, aunque las CCT sigan siendo válidas como norma general, requieren de un análisis caso por caso para su utilización, dependiendo del país de destino de los datos. Teniendo esto en cuenta, analizará las consecuencias que tiene para las instituciones europeas.

Agencia Irlandesa de Protección de Datos (DPC)

El DPC concluye que, según el TJUE, lo importante es que con independencia del mecanismo que se utilice, el nivel de protección de los datos personales de un ciudadano europeo tiene que ser equivalente en los terceros países a los que se transfieran sus datos al nivel de protección existente en la Unión Europea.

En este sentido, en cuanto al uso de las CCT, interpreta que aunque sean un mecanismo válido, a priori, para garantizar un nivel adecuado de protección, es necesario analizar caso por caso que realmente sea así.

Agencia Federal Alemana de Protección de Datos y Libertad de Información (BfDI)

Por otro lado, el Comisario federal de la BfDI emitió el mismo día en el que se publicó la Sentencia Schrems II un comunicado al respecto. El BfDI enfatiza que la Sentencia Schrems II sigue permitiendo las transferencias de datos personales a terceros países, no obstante, es necesario que el tratamiento cuente con las garantías necesarias para asegurar un nivel adecuado de protección en todos los países a los que se transfiera los datos personales.

Además de la BfDI, varias autoridades de protección de datos regionales de Alemania se han pronunciado al respecto. En este sentido, la Autoridad de Protección de Datos de Berlín considera que la Sentencia Schrems II establece claramente que no genera un vacío legal para la transferencia internacional de datos personales, por lo que no es posible aplicar un periodo de gracia a la aplicación de las consecuencias de la Sentencia Schrems II.

La Autoridad de Protección de Datos de Renania Palatinado comparte esta conclusión. Además, en cuanto a la utilización de CCT para la transferencia de datos personales a los Estados Unidos, será necesario analizar si la empresa a la que se transfieran los datos está sujeta a vigilancia, según la Foreign Intelligence Surveillance Act (FISA), entre otras normas. De ser así es probable que sea posible que las CCT no puedan ser utilizadas en ese caso, al no ser posible garantizar su aplicación.

Adicionalmente se han pronunciado también las siguientes autoridades de control (podréis acceder las diferentes notas de prensa haciendo clic en el nombre de la autoridad de control):

Autores : Alejandro Negro y Pedro Méndez de Vigo

Autores:

Consejero

45 artículos

Alejandro Negro

alejandro.negro@cuatrecasas.com

Asociado

27 artículos



pedro.mendezdevigo@cuatrecasas.com