Adios al Privacy Shield


Ayer el TJUE invalidó la Decisión 2016/1250 de la Comisión sobre la adecuación de la protección conferida por el Escudo de la privacidad entre Unión Europea y Estados Unidos. O lo que es lo mismo: Adiós al Privacy Shield, al igual que se hizo con el Acuerdo de Puerto Seguro.

A falta de la publicación de la Sentencia, en la Nota de Prensa que el propio Tribunal publicó ayer se destaca lo siguiente:

  • La normativa europea de protección de datos es aplicable a las transferencias de datos personales con fines comerciales a un país tercero incluso si, además, existen finalidades relacionadas con la seguridad nacional, defensa y seguridad del Estado por las autoridades del pais destinatario (en este caso Estados Unidos).
  • Las garantías que esas transferencias deben tener en cuenta, deben basarse en cláusulas tipo de protección de datos con un nivel de protección equivalente a la normativa europea de protección de datos.
  • Para evaluar si el pais destinatario cuenta con un nivel de protección similar al europeo, deben tenerse en cuenta las estipulaciones contractuales acordadas entre el exportador de datos establecido en Europa y el destinatario de la transferencia establecido en el país tercero. Igualmente debe considerarse si las autoridades del pais que recibe la transferencia tiene la posibilidad de acceder (por seguridad nacional por ejemplo) a esos datos.
  • Las autoridades europeas están obligadas a prohibir una transferencia cuando consideren que las cláusulas tipo de protección de datos no se respetan o no pueden respetarse en el país receptor y que la protección de los datos transferidos no pueda ser respetada.
  • La Decición de la Comisión que aprobó el Privacy Shield, reconoce la primacía de las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense y posibilita injerencias en los derechos fundamentales de las personas cuyos datos personales se transfieren a Estados Unidos. Esta injerencias suponen limitaciones para los derechos de las personas interesadas, puesto que la normativa interna de los Estados Unidos permite al acceso y la utilización, por las autoridades estadounidenses, de los datos transferidos desde la Unión y no hay exigencias equivalentes proporcionales en la normativa europea.
  • Igualmente el TJUE considera que si bien las autoridades estadounidenses se compromenten a respetar la normativa de protección de datos, en cambio no existe para las personas interesadas unos mecanismos para exigir sus derechos ante ellas. Es decir, que no se proporciona a las personas interesadas ninguna vía de recurso ante un órgano que ofrezca garantías similares a las exigidas por la normativa europea de protección de datos.

Depués de esta importante decisión veremos cuál podrá ser el próximo movimiento de la Comisión para poder avalar las trasnferencias internacionales a Estados Unidos, pero, por lo que se vé en esta Sentencia del TJUE, deberá tenerse en cuenta que las medidas que se adopten incluyan mecanismos similares a los de la normativa europea y que, en ningún caso sea vean limitados por la normativa estadounidense. Desde luego, a priori, parece una tarea complicada.

Gontzal Gallo
Especialista en Derecho de las TIC
Colegiado en el Colegio de la Abogacía de Bizkaia
http://www.gontzalgallo.com
Twitter: @gongaru
Linkedin: Gonzalo Gallo

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .