El Tribunal de Justicia de la Unión Europea anuló el Escudo de Privacidad, un acuerdo entre Estados Unidos y la Unión Europea sobre cómo las empresas estadounidenses manejan los datos personales de los usuarios europeos, porque las protecciones de la privacidad de los usuarios europeos bajo ese marco eran “inadecuadas”.
La decisión forma parte del fallo de Facebook v Schrems, el caso en el que el activista de la privacidad Max Schrems se quejó ante el Comisionado de Protección de Datos de Irlanda de que Facebook estaba transfiriendo sus datos (y los de otros usuarios europeos) a centros de datos en Estados Unidos. El problema era que, según la legislación estadounidense, la Ley de Aclaración del Uso Legal de Datos en el Extranjero de 2018 (Ley CLOUD), un tribunal estadounidense puede exigir a una empresa estadounidense que entregue los datos personales de un individuo, lo que significaba que la empresa no podría proporcionar a los usuarios los controles de privacidad exigidos por el Reglamento General de Protección de Datos de Europa.
“En cuanto al nivel de protección requerido con respecto a dicha transferencia, el Tribunal considera que los requisitos establecidos a tales efectos por el RGPD (Reglamento General de Protección de Datos) relativos a las garantías adecuadas, los derechos exigibles y los recursos jurídicos efectivos deben interpretarse en el sentido de que los interesados cuyos datos personales se transfieren a un tercer país en virtud de cláusulas tipo de protección de datos deben disfrutar de un nivel de protección esencialmente equivalente al garantizado en la UE por el RGPD”, declaró el Tribunal de Justicia de la Unión Europea en su sentencia.
La UE y EE. UU. negociaron el Acuerdo Marco sobre Protección de Datos (o Escudo de Privacidad) entre la UE y EE. UU. después de que el Tribunal de Justicia de la UE anulara la cláusula de Puerto Seguro en octubre de 2015 por ser insuficiente para proteger los derechos de privacidad de los ciudadanos de la UE. El Escudo de Privacidad permite a las empresas estadounidenses transferir datos de usuarios de la UE fuera de la UE sin tener que establecer centros de datos en Europa específicamente para gestionar dichos datos. Con esta sentencia, el Tribunal declaró que las empresas no pueden ofrecer a los usuarios derechos de privacidad inferiores al trasladar los datos de usuarios europeos a centros de datos fuera de Europa.
La combinación del artículo 702 de la Ley de Vigilancia de Inteligencia Extranjera de EE. UU. con las políticas estadounidenses demostró que el gobierno estadounidense tenía autoridad para recopilar datos de ciudadanos de la UE de empresas estadounidenses, sin limitarse a lo estrictamente necesario, según el tribunal. Las amplias facultades de vigilancia no cumplen los requisitos de protección de datos de la UE.
El Escudo de Privacidad «no otorga a los interesados derechos procesales contra las autoridades estadounidenses», declaró el Tribunal de Justicia en su sentencia. Este marco no prevé que los ciudadanos de la UE puedan impugnar a la empresa estadounidense por el manejo indebido de sus datos almacenados en servidores estadounidenses.
“Las implicaciones de esta decisión son potencialmente monumentales y han puesto en alerta a la comunidad de privacidad”, dijo Heather Federman, vicepresidenta de privacidad y políticas de BigID.
En el marco del Escudo de Privacidad, las empresas podrían definir la privacidad mediante Cláusulas Contractuales Tipo. Sin embargo, la nueva sentencia indica que las CCT deben, como mínimo, proteger los datos de los usuarios según lo exige el Reglamento General de Protección de Datos y otras leyes de privacidad. En resumen, la protección de la privacidad se basa en la información, no en la ubicación donde se almacena, procesa o transfiere. Las empresas deben cumplir con el RGPD incluso si los datos de los usuarios europeos se encuentran en servidores estadounidenses, o podrían enfrentarse a multas elevadas.
«Las cláusulas contractuales tipo siguen siendo una herramienta válida para la transferencia de datos personales a encargados del tratamiento establecidos en terceros países», declaró Vera Jourová, vicepresidenta de la Comisión Europea. Los encargados del tratamiento de datos de la UE se asegurarán de que las empresas que hayan firmado cláusulas contractuales tipo cumplan con el RGPD.