El Tribunal de Justicia de la Unión Europea (TJUE) ha decidido la anulación del acuerdo Privacy Shield, el cual estaba vigente hasta ahora para la transmisión de datos de Europa a Estados Unidos. En este artículo vemos las razones que han llevado a la justicia europea a tomar tal decisión y las consecuencias que podría tener en el futuro.
¿Por qué se anula el Privacy Shield?
El Privacy Shield, también llamado Escudo de Privacidad UE-EE.UU o EU-US Privacy Shield es una acuerdo firmado en el año 2016 por Europa y Estados Unidos para crear un marco normativo a la transmisión de datos de Europa a Estados Unidos.
Esta normativa sustituyó al antiguo acuerdo de Puerto Seguro o Safe Harbor, que había estado vigente hasta 2015. La razón de este cambio de normativa estuvo motivado por la necesidad de adecuar las transferencias de datos entre Europa y Estados Unidos al nuevo Reglamento General de Protección de Datos de la Unión Europa.
El objetivo del Privacy Shield era garantizar que las transferencias de datos de empresas en Europa hacia Estados Unidos cumpliesen con las directrices marcadas por el RGPD. Sin embargo, la normativa estadounidense se guardaba algunas cláusulas que vulneraban ciertas normativas de protección de datos europeas, y el TJUE ha decretado la anulación del acuerdo Privacy Shield.
La decisión del Tribunal de Justicia de la Unión Europea (TJUE) viene motivada por la reclamación de Maximiliam Schrems, un ciudadano austríaco que denunció la transferencia de sus datos personales desde Facebook Ireland hacia Facebook Inc. Este usuario aseguraba que dichas transferencias se realizaban sin las suficientes garantías de protección de datos y privacidad, y el TJUE ha terminado por darle la razón.
En concreto, el TJUE ha dictaminado que Estados Unidos no garantiza un nivel de protección adecuado al recabar los datos de sus empresas con filiales en Europa. En la sentencia, el tribunal europeo lo explica de esta manera:
Las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización, por las autoridades estadounidenses, de los datos transferidos desde la Unión a ese país tercero, y que la Comisión evaluó en la Decisión Escudo de la privacidad, no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas, en el Derecho de la Unión, por el principio de proporcionalidad, en la medida en que los programas de vigilancia basados en la mencionada normativa no se limitan a lo estrictamente necesario
Jurisprudencia en la transferencia de datos de Europa a Estados Unidos
Como adelantábamos en el punto anterior, la normativa estadounidense cuenta con normas que chocan frontalmente con lo dispuesto en el reglamento europeo sobre protección de datos. Una de las leyes que han motivado la rotura del acuerdo es la Ley de Vigilancia Extranjera de los Estados Unidos, la cual autoriza a la Agencia de Seguridad Nacional (NSA) a recopilar cualquier tipo de información fuera del país, a través de los datos almacenados en medios electrónicos o proveedores de servicios de telecomunicaciones.
Es decir, Estados Unidos podía recabar información de los usuarios de Facebook, Google y plataformas similares, y hacerlo sin respetar lo dispuesto en el RGPD.
A partir de ahora, al menos hasta la firma de un nuevo acuerdo, para transferir datos desde Europa las empresas estadounidenses con filiales en Europa deben operar bajo las llamadas cláusulas contractuales estándar o SCC. Se trata de acuerdos privados de derecho que deben cumplir con la normativa europea y contar con la aprobación de las autoridades de control de la UE.
¿Quién se ve afectado y cuánto?
La anulación de Privacy Shield afecta, por un lado, a las empresas estadounidenses que se habían adscrito a este acuerdo, y por el otro, a la privacidad de los ciudadanos de la Unión Europea.
En concreto, el Escudo de Privacidad englobaba a 5.300 empresas estadounidenses que, a partir de ahora, no podrán transferir datos personales desde Europa hasta sus servidores estadounidenses. En caso de que estas empresas sigan operando de la misma manera, las autoridades europeas procederán a la anulación o paralización de dichas transferencias de datos.
Entre las empresas más afectadas están las que forman el llamado grupo GAFAM (Google, Amazon, Facebook, Apple y Microsoft). Estas 5 empresas estadounidenses forman un gigante global de las comunicaciones, y que han montado un modelo de negocio basado en la recopilación de datos de los usuarios, la geolocalización y la segmentación de audiencias.
¿Qué pasará a partir de ahora?
A raíz de la decisión del TJUE, se abre un nuevo escenario en las relaciones entre Europa y Estados Unidos en materia de privacidad. Sin embargo, la decisión no ha caído de la misma manera en la Unión Europea que en Estados Unidos.
El Comisario de Justicia de la UE, Didier Reynders, ha señalado que Europa está comprometida con la creación de un sistema de transferencia de datos fuerte y protegido. A la par ha tendido una mano a un posible acuerdo con EE.UU señalando que se tiene previsto contactar con el país norteamericano para trabajar de forma conjunta en el desarrollo de un nuevo y mejor marco normativo.
Sin embargo, la respuesta de Estados Unidos ha sido bastante hostil. No cabe duda de que la decisión ha sido un duro golpe para muchas de las empresas norteamericanas, algunas de las cuáles ofrecen datos de vital importancia al Gobierno. Así, el Secretario de Comercio de Estados Unidos, Wilbur Ross, ha afirmado que la decisión tomada por el tribunal europeo es decepcionante, y que desde EE.UU continuarán trabajando bajo las premisas del acuerdo Privacy Shield.
Veremos en qué queda todo esto, pero no hay duda de que va a suponer un gran cambio en las relaciones entre ambas regiones en materia de privacidad