Como nos hicimos eco en nuestro artículo “Privacy Shield Sustituye al Acuerdo Puerto seguro”, 12 de julio de 2016, la Comisión Europea adoptó un acuerdo con Estados Unidos, denominado “Privacy Shield” (escudo de la privacidad), por el cual se da un nuevo marco para la protección de los datos personales de ciudadanos de la Unión Europea cuyos datos personales son transferidos a los Estados Unidos.
Índice de Contenidos
Este acuerdo sustituía al anterior denominado “Safe Harbor” (puerto seguro), que como indicamos en nuestro artículo “Invalidado el Acuerdo de Puerto Seguro. ¿Y ahora qué?”, había sido desautorizado por el Tribunal de Justicia de la Unión Europea, en una sentencia de 6 de octubre de 2015, causando una gran incertidumbre y problemas a las empresas Europeas que transferían datos a Estados Unidos amparándose en este acuerdo.
Ahora volvemos a la misma situación del año 2015 dado que el Tribunal de Justicia de la Unión Europea, el 16 de julio de 2020, Sentencia en el asunto C-311/18 Data Protection Commissioner/Maximillian Schrems y Facebook Ireland ha acordado que es invalida la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.
El origen de la reclamación que ha dado lugar a esta sentencia es el mismo que el que dio lugar a la primera sentencia que anulaba el acuerdo de puerto seguro, la reclamación del Sr. Maximilian Schrems, nacional austriaco residente en Austria, usuario de Facebook, que se opone a que sus datos personales sean transferidos, por Facebook Ireland a servidores pertenecientes a Facebook Inc., situados en el territorio de Estados Unidos, donde son objeto de tratamiento, porque cree que los Estados Unidos no ofrecen una protección suficiente de los datos que se transfieren a ese país.
En comunicado de prensa n.º 91/20, el Tribunal de Justicia ha dicho que éste, en la mentada sentencia, ha examinado la validez de la Decisión Escudo de la privacidad conforme a las exigencias derivadas del RGPD, interpretado a la luz de las disposiciones de la Carta que garantizan el respeto de la vida privada y familiar, la protección de datos de carácter personal y el derecho a la tutela judicial efectiva.
A este respecto, el Tribunal de Justicia señala que la referida Decisión reconoce, al igual que sucede con la Decisión de puerto seguro, la primacía de las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense, posibilitando de este modo injerencias en los derechos fundamentales de las personas cuyos datos personales se transfieren a ese país tercero.
Según el Tribunal de Justicia, las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización, por las autoridades estadounidenses, de los datos transferidos desde la Unión a ese país tercero, y que la Comisión evaluó en la Decisión Escudo de la privacidad, no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas, en el Derecho de la Unión, por el principio de proporcionalidad, en la medida en que los programas de vigilancia basados en la mencionada normativa no se limitan a lo estrictamente necesario.
Fundándose en las constataciones contenidas en la antedicha Decisión, el Tribunal de Justicia señala que, con respecto a algunos programas de vigilancia, de la referida normativa no se desprende en modo alguno que existan limitaciones a la habilitación que otorga para la ejecución de esos programas, ni tampoco que existan garantías para las personas no nacionales de los Estados Unidos que sean potencialmente objeto de esos programas. El Tribunal de Justicia añade que, si bien la misma normativa establece exigencias que las autoridades estadounidenses deben respetar al aplicar los programas de vigilancia de que se trata, no confiere a los interesados derechos exigibles a las autoridades estadounidenses ante los tribunales.
Por lo que atañe a la exigencia de tutela judicial, el Tribunal de Justicia declara que, contrariamente a lo que la Comisión consideró en la Decisión Escudo de la privacidad, el mecanismo del Defensor del Pueblo contemplado en dicha Decisión, no proporciona a esas personas ninguna vía de recurso ante un órgano que ofrezca garantías sustancialmente equivalentes a las exigidas en el Derecho de la Unión, que puedan asegurar tanto la independencia del Defensor del Pueblo previsto en el antedicho mecanismo como la existencia de normas que faculten al referido Defensor del Pueblo para adoptar decisiones vinculantes con respecto a los servicios de inteligencia estadounidenses. Por todas esas razones, el Tribunal de Justicia declara inválida la Decisión Escudo de la privacidad.
La pregunta vuelve a ser la misma que en nuestro artículo del año 2015 ¿y ahora qué?