Escudo de Privacidad

This post is also available in: English

El Tribunal de Justicia de la Unión Europea (“TJUE”) ha publicado hoy la esperada sentencia de la Gran Sala del TJUE del asunto C-311/18 Data Protection Commissioner /Maximillian Schrems y Facebook Ireland (“STJUE Schrems II”) en la que analiza la conformidad con el Reglamento General de Protección de Datos (“RGPD”) de las Cláusulas Contractuales Tipo recogidas en la Decisión 2010/87 (“Cláusulas Contractuales Tipo” o “CCT” e invalida el Escudo de Privacidad UE-EEUU adoptado por la Comisión europea en su Decisión 2016/1250 (“Escudo de Privacidad”).

La STJUE Schrems II analiza específicamente la validez de las CCT, concluyendo que establecen garantías para la transferencia de datos personales a encargados del tratamiento establecidos en terceros países. Así, el TJUE considera que las CCT son un instrumento válido como norma general, para realizar transferencias de datos personales a terceros países u organizaciones internacionales.

No obstante, para determinar si en el caso concreto son garantía suficiente para considerar que existe un nivel adecuado de protección para el tratamiento de datos personales en terceros países, el TJUE establece que es necesario analizar las normas de policía existentes en el país en cuestión además de implementar las CCT. En caso de no ser posible implementar todas las garantías establecidas en las CCT debido a la existencia de normas de policía contrarias en el país en cuestión, el responsable del tratamiento, y en su defecto, la autoridad de protección de datos personales competente, deberá suspender la transferencia de los datos personales al país en cuestión.

Por lo que respecta al Escudo de Privacidad, recordemos que nació en 2016, precisamente después de que el TJUE declarara en su sentencia de 6 de octubre de 2015 la nulidad de la Decisión 2000/520 ( “Safe Harbor” o Acuerdo de Puerto Seguro). Mediante el Escudo de Privacidad, se establecían una serie de garantías para las trasferencias de datos personales a las empresas establecidas en los Estados Unidos de América que se hubieran adherido a este mecanismo.

Pues ahora la STJUE Schrems II sentencia que las limitaciones a la protección de datos personales que se derivan de la normativa interna de los Estados Unidos, particularmente respecto al posible acceso y utilización por parte de las autoridades estadounidenses a los datos personales transferidos desde la Unión Europea, impiden considerar que a Estados Unidos como una jurisdicción con un nivel de protección equivalente al de la Unión Europea. En consecuencia, concluye el TJUE que debe declararse inválida el Escudo de Privacidad.

Esta transcendental decisión implica que las transferencias de datos a Estados Unidos amparadas en el Escudo de Privacidad dejan de tener cobertura legal bajo el RGPD y, en consecuencia, deberá buscarse su adecuación a las garantías establecidas en el artículo 46 de RGPD. En todo caso, permaneceremos atentos a las reacciones tanto de las autoridades europeas como a la propia Agencia Española de Protección de Datos a fin de valorar las diferentes alternativas que permitan la realización de este tipo de transferencias de datos en cumplimiento del RGPD.

Autores: Pedro Méndez de Vigo y Jorge Monclús

This post is also available in: English

Autores:

Asociado

53 artículos

Jorge Monclús

jorge.monclus@cuatrecasas.com

Asociado

27 artículos



pedro.mendezdevigo@cuatrecasas.com