SCHREMS II, un final esperado y temido

SCHREMS II, un final esperado y temidoEl 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea invalidó el Escudo de Privacidad, un acuerdo clave que constituía la base legal para las transferencias de datos personales entre Europa y Estados Unidos.

Más de 5.300 empresas estadounidenses utilizaron el Escudo para el procesamiento de sus datos y ahora deben cambiar la base legal para sus transferencias.

La decisión fue motivada por una queja de Max Schrems, un ciudadano austriaco que ya había iniciado la cancelación del acuerdo que precedió al Escudo, los "Principios de Puerto Seguro".

El denunciante impugnó las condiciones en las que sus datos tratados por Facebook fueron transmitidos a Estados Unidos.

Sobre la base de esta controversia, el Tribunal de Justicia, en su sentencia a menudo denominada «Schrems II», acaba de analizar la validez de dos instrumentos jurídicos que permiten transferencias fuera de la Unión Europea:

• Cláusulas contractuales tipo, que en principio pueden utilizarse con cualquier tercer país, y
• Decisión 2016/1250 de la Comisión Europea relativa al Escudo de Privacidad, un acuerdo adaptado a las transferencias a Estados Unidos.

El Tribunal no invalidó las cláusulas contractuales tipo – un escenario que hizo sudar frío a muchas empresas y abogados.

Sin embargo, su uso queda sujeto a la evaluación concreta, por parte del exportador de datos, del modo en que las cláusulas se aplican efectivamente en el tercer país, teniendo en cuenta en particular las posibilidades de que autoridades públicas, como los servicios de inteligencia, tengan acceso a los datos.

En caso de acceso a datos incompatible con los principios de las cláusulas, será responsabilidad del exportador, y si no lo hace, de la autoridad de control (equivalente a la CNIL), suspender la transferencia.

En el caso del Escudo de Privacidad, el Tribunal sostuvo que, si bien los principios del acuerdo establecían en principio un nivel de protección esencialmente equivalente al de la Unión Europea, las exigencias concretas relativas a la seguridad nacional, el interés público y el cumplimiento de la legislación estadounidense hacían ineficaces dichos principios.

Se concluyó que el alcance de los poderes de vigilancia de las autoridades estadounidenses era excesivo en comparación con el derecho europeo y que no estaban garantizados los derechos de los ciudadanos no estadounidenses a apelar ante tribunales independientes.

Estas conclusiones le llevaron a considerar inválida la decisión.

¿Y ahora?

Las transferencias a los Estados Unidos ya no pueden basarse en el Escudo.

Aunque algunos recurren a cláusulas contractuales tipo, esta solución suscita dudas: estas cláusulas siguen siendo válidas en principio, pero se enfrentan al mismo problema que el Escudo cuando se utiliza para una transferencia a Estados Unidos: la magnitud de las medidas de vigilancia en suelo estadounidense y la insuficiencia de medios de reparación para las personas afectadas.

Algunos hablan de la posibilidad de encriptar los datos antes de transferirlos para evitar su uso por parte de las autoridades estadounidenses, pero esto no tiene en cuenta la posibilidad de que las autoridades exijan legalmente su descifrado.

El Comité Europeo de Protección de Datos (CEPD) publicó un comunicado de prensa el 17 de julio en el que resume sus conclusiones iniciales y anuncia directrices adicionales.

Se pueden señalar las siguientes observaciones:

– La decisión de la Corte afecta directamente a las transferencias a Estados Unidos, pero también se ven afectadas todas las transferencias internacionales;

– La utilización de cláusulas contractuales tipo para una transferencia a cualquier tercer país sigue siendo posible, pero debe estar sujeta, por parte del exportador, a verificaciones específicas relativas al contenido de las cláusulas, el contexto de la transferencia y el régimen jurídico aplicable en el tercer país (en particular en lo relativo a la seguridad nacional);

– Si la situación presenta riesgos particulares, se deberán adoptar medidas adicionales: el CEPD está trabajando actualmente para especificar estas medidas.

– Se recuerda que el importador tiene el deber de informar al exportador de cualquier cambio en la legislación que pueda incidir en la aplicación de las cláusulas y que pueda dar lugar a su suspensión.

La Comisión Europea ha anunciado que ha iniciado un diálogo con sus homólogos estadounidenses con vistas a alcanzar un acuerdo que prevea un mayor nivel de protección de datos.

Mientras tanto, la asociación de Max Schrems, NOYB ("None Of Your Business"), ha presentado 101 demandas contra empresas que operan en toda la Unión Europea, incluidas Google, Facebook y Microsoft, o que utilizan Google Analytics y Facebook Connect, sin tomar ninguna medida en respuesta a la decisión del Tribunal.

Existen posibilidades de transferencia de datos, además de las cláusulas contractuales estándar.

Los mismos fueron explicados en el editorial de marzo de este boletín.

La alternativa es gestionar los datos en suelo europeo en lugar de transferirlos.

Esperando que esta decisión fomente el desarrollo de este tipo de servicios locales.

Y también

Francia:

• La CNIL (Autoridad Nacional de Protección de Datos) ha abierto una investigación sobre TikTok: además del conflicto entre la empresa china y Estados Unidos, se están llevando a cabo investigaciones en Europa sobre el cumplimiento de la aplicación con el RGPD. La CNIL está coordinando su trabajo con otras autoridades de control en el marco del CEPD.

• Siempre en colaboración con sus homólogos europeos, la CNIL impuso el 5 de agosto una multa de 250.000 euros a la empresa de venta en línea Spartoo por no respetar los principios de minimización, conservación, información y seguridad de datos previstos por el RGPD.

Europa:

• La autoridad supervisora británica, la ICO, ha sido criticada por los parlamentarios por su acción insuficiente ante las violaciones del RGPD, particularmente en el contexto de la pandemia de COVID-19.

• También en el Reino Unido, un tribunal de apelaciones dictaminó el 11 de agosto que el uso de tecnología de reconocimiento facial por parte de la Policía de Gales del Sur viola derechos fundamentales, incluido el derecho a la protección de datos.

• La Comisión Europea está trabajando actualmente en un reglamento sobre servicios digitales para fortalecerlos en el mercado interior y clarificar el marco jurídico para las pequeñas empresas. El Parlamento Europeo está preparando una recomendación en este contexto, que se espera aborde diversas cuestiones relacionadas con la protección de datos, como el cifrado de la información, la auditabilidad de los algoritmos y la protección de los datos biométricos.

• La Comisión Europea anunció el 4 de agosto la apertura de una investigación sobre la propuesta de adquisición de Fitbit por parte de Google. Sus preocupaciones se centran principalmente en la concentración de datos en manos de una empresa dominante, en particular los datos de salud.

Internacional :

• Estados Unidos: En un análisis de impacto fechado el 30 de julio, el Departamento de Seguridad Nacional detalla prácticas observadas durante años en las fronteras externas del país, que permiten a los agentes copiar el contenido de los teléfonos y computadoras de las personas que ingresan a Estados Unidos y conservarlos por un período de 75 años.

• Twitter confirmó a principios de agosto que era objeto de una investigación por parte de la Comisión Federal de Comercio de Estados Unidos con respecto al uso de datos de clientes con fines publicitarios.

• Brasil: La ley de protección de datos personales entrará en vigor el 27 de agosto. Además, se acaba de crear una autoridad supervisora.

• También en América Latina, Chile está modernizando su ley de protección de datos y hay proyectos regulatorios en marcha en Paraguay y Ecuador.
• Egipto adoptó una ley sobre protección de datos personales el 17 de junio.