IEE
Informáticos Europeos Expertos

Estamos en: 

  1. Noticias >
  2. El Tribunal de Justicia de la Unión Europea invalida el Escudo de Privacidad

El Tribunal de Justicia de la Unión Europea invalida el Escudo de Privacidad

El TJUE ha invalidado la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE.UU., pero no la Decisión 2010/87 de la Comisión, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países.

El Escudo de Privacidad permite que los datos personales se transfieran de una empresa de la Unión Europea a otra de los Estados Unidos, únicamente si dicha empresa procesa (es decir, usa, almacena y transfiere posteriormente) los datos personales con arreglo a una serie de normas de protección y salvaguardias bien definidas. Este mecanismo sustituía al anterior marco legal denominado Puerto Seguro (Safe Harbour), que fue igualmente invalidado por el Tribunal de Justicia en 2015.

Si se utiliza el Escudo de Privacidad, las empresas estadounidenses deben primero adscribirse a este marco en el registro a tal efecto del Departamento de Comercio de los EE. UU. y cumplir con las obligaciones establecidas en los Principios de Privacidad, cuyo cumplimiento debe ser garantizado por dicho Departamento.

Los motivos por los que nuevamente se pone en cuestión el mecanismo adoptado son, por una parte, que los programas de vigilancia basados en la normativa interna de los Estados Unidos relativa al acceso y utilización por las autoridades estadounidenses de los datos transferidos desde la Unión no se limitan a lo estrictamente necesario, y que si bien la misma normativa establece exigencias que las autoridades estadounidenses deben respetar al aplicar los programas de vigilancia, no confiere a los interesados derechos exigibles a las autoridades estadounidenses ante los tribunales.

Añade, además, que el mecanismo del Defensor del Pueblo contemplado en dicha Decisión, no proporciona a esas personas ninguna vía de recurso ante un órgano que ofrezca garantías sustancialmente equivalentes a las exigidas en el Derecho de la Unión, que puedan asegurar tanto la independencia del Defensor del Pueblo como la existencia de normas que le faculten para adoptar decisiones vinculantes con respecto a los servicios de inteligencia estadounidenses.

La reclamación de un usuario de Facebook austriaco que no quería que sus datos fuesen transferidos por la compañía desde Irlanda a servidores ubicados en Estados Unidos ha dado un vuelco a multitud de operaciones que se venían realizando amparadas por dicho mecanismo. Actualmente, hay 5.378 organizaciones adscritas cuyos datos se pueden consultar en la Privacy Shield List.

Aquellas transferencias que puedan redirigirse a la formalización de cláusulas contractuales tipo podrán seguir realizándose, pero especialmente preocupante es el uso de aplicaciones gratuitas o de bajo coste por parte de multitud de pequeñas empresas que deberán replantearse su uso, lo que en todo caso puede redundar en beneficio de aquellas compañías que hayan apostado por ofrecer sus servicios desde servidores ubicados en la Unión Europea. Mientras tanto, la Unión Europea se ha comprometido en trabajar junto con Estados Unidos para desarrollar un mecanismo más fuerte y duradero, pero esta situación vuelve a sumir a muchas empresas en las oscuras aguas de la inseguridad jurídica.