El pasado 16 de julio, el Tribunal de Justicia de la Unión Europea volvió a pronunciarse en referencia a las transferencias internacionales de datos personales a los Estados Unidos (EEUU). Tras la invalidación del acuerdo marco “Safe Harbour”, le ha llegado el turno al “Privacy Shield”, que nació precisamente para sustituir al primero.
Las transferencias internacionales de datos son un tratamiento de datos que supone una transmisión de estos fuera del territorio del Espacio Económico Europeo, bien porque constituya una cesión o comunicación de datos o bien porque tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del tratamiento establecido en un territorio de la Unión Europea, y solo pueden producirse entre otros supuestos, cuando el país de destino garantice un nivel de protección de datos personales adecuado, ostentado en este caso una decisión de adecuación emitida por la Comisión Europea.
El caso nace de la denuncia del señor Maximilian que presentó una reclamación ante la autoridad irlandesa de control, en la que solicitaba que se prohibiesen esas transferencias internacionales a Estados Unidos, alegando para ello que las autoridades públicas del país no ofrecían protección suficiente de los datos personales transferidos al mismo. Dicha reclamación se basa en lo establecido en el “Privacy Shield” (Escudo de la Privacidad), que fue un acuerdo entre la Unión Europea (UE) y EEUU por el que se regulaban las transferencias internacionales de datos de un Estado miembro de la UE a EEUU, garantizando un nivel adecuado de protección de datos y siendo de aplicación las medidas garantizadas por la UE en el tratamiento de dichos datos.
A raíz de la reclamación realizada por el Sr. Schrems, en la cual sostiene su posición, el Tribunal de Justicia procede a examinar la validez del Escudo de la Privacidad conforme a las exigencias del RGPD declarando que las limitaciones de la protección de datos personales que se derivan de la normativa interna de EEUU relativa al acceso y la utilización de los datos transferidos desde la UE a dicho país tercero, no están reguladas conforme a las exigencias referidas en el Derecho de la Unión y con ello, no atienden al principio de proporcionalidad de los datos, en la medida en que los programas de vigilancia basados en la citada normativa no se limitan a un tratamiento de datos personales estrictamente necesario.
Tras lo expuesto con anterioridad, el Tribunal de Justicia declara inválida la decisión Escudo de la privacidad basándose además en que los requisitos del Derecho Estadounidense, y en particular la puesta en marcha de algunos programas, que permiten a las autoridades públicas de los Estados Unidos acceder a los datos personales transferidos desde la UE a los EEUU, no respetarían los requisitos acordados en el Privacy Shield, al no estar proporcionando garantías sustancialmente equivalentes a las establecidas en la Unión Europea, que prevean una vía de recurso judicial contra las autoridades de los Estados Unidos, a los titulares de los datos.
En este sentido, por el momento, no podrían realizarse transferencias internacionales de datos a los Estados Unidos amparadas en este acuerdo, debiendo buscar mecanismos alternativos como la firma de clausulas contractuales tipo o la adopción de normas corporativas vinculantes.