Maio Legal

El Tribunal de Justicia de la Unión Europea ha declarado inválida, con una sentencia histórica de fecha 16 de julio de 2020 en relación con el caso Schrems II, la Decisión 2016/1250 de la Comisión Europea sobre la adecuación de la protección ofrecida por el plan de protección de la privacidad entre la Unión Europea y Estados Unidos, conocido como Escudo de Privacidad (Privacy Shield).

La sentencia se dicta tras una petición de decisión prejudicial -formulada por el Tribunal Superior de Irlanda en el procedimiento entre la Autoridad Irlandesa de Protección de Datos contra el Sr. Schrems y Facebook Irlanda- relativa tanto a la validez de esa decisión como a la validez de la Decisión 2010/87 (sobre a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países fuero de la UE).

Antes del fallo del Tribunal, existían dos mecanismos prácticos disponibles para que las empresas con sede en los Estados Unidos pudieran importar legalmente datos personales procedentes de la UE 1) la autocertificación en el marco del Escudo de Privacidad; o 2) la inclusión de las cláusulas contractuales tipo aprobadas por la Comisión Europea en los contratos en virtud de los cuales se efectuaban esas transferencias.

En dicha sentencia, el Tribunal considera que, tras el examen de la Decisión 2010/87 y a la luz de la Carta de Derechos Fundamentales de la Unión Europea, las cláusulas contractuales tipo siguen siendo válidas, dado que las mismas permiten, en la práctica, garantizar que se respete el nivel de protección exigido por la legislación de la Unión Europea (en concreto, el Reglamento General de Protección de Datos 2016/679, conocido como “RGPD”). Adicionalmente, la sentencia establece que deben suspenderse o prohibirse las transferencias de datos personales cuando se incumplan esas cláusulas o sea imposible cumplirlas.
Por otro lado, entre los motivos en los que se basa la declaración de invalidez de la Decisión 2016/1250, el Tribunal considera que la normativa estadounidense sobre el acceso y la utilización por parte de las autoridades estadounidenses de los datos procedentes de la UE tiene limitaciones que no cumplen las normas de adecuación exigidas por la legislación de la UE, a la luz del principio de proporcionalidad. El Tribunal concluye, además, que los programas de vigilancia basados en la legislación estadounidense no se limitan a lo estrictamente necesario.

Asimismo, el Tribunal considera que el mecanismo de mediación del Escudo de privacidad UE-EE.UU. no ofrece garantías suficientes y adecuadas. De hecho, el fallo establece que el mecanismo no proporciona a las partes interesadas un medio de recurso a un organismo que ofrezca garantías equivalentes a las previstas por la legislación de la Unión Europea desde el punto de vista de la independencia y la fuerza vinculante de las decisiones del mediador frente a los servicios de inteligencia de los Estados Unidos.

Por consiguiente, tras la decisión del Tribunal, ahora sólo hay un mecanismo práctico disponible para que las empresas con sede en los Estados Unidos puedan importar legalmente los datos personales procedentes de la UE: el uso adecuado de las cláusulas contractuales tipo. De este modo se exige a las empresas que han contratado encargados del tratamiento de datos ubicados en los Estados Unidos que reconsideren urgentemente las garantías utilizadas para transferir datos personales a este país, mediante la revisión de todos los contratos, procesos y procedimientos que impliquen la transferencia de datos personales de la Unión Europea a Estados Unidos, con el fin de asegurarse de que en tales contratos, procesos y procedimientos se incluya la protección adecuada, de conformidad con lo establecido en las referidas cláusulas contractuales tipo.