Schrems II: Sentencia del Tribunal de Justicia de la Unión Europea

El jueves 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea (TJUE) dictó una sentencia en el caso conocido como Schrems II (C-3111/18), en el que se impugnaban los mecanismos de transferencia de datos personales entre la UE y los Estados Unidos basándose en el argumento de que la legislación estadounidense no garantiza adecuadamente la protección de los datos personales de la UE. En la sentencia Schrems II, el TJUE anuló el Escudo de Privacidad UE-EE. UU. y cuestionó la adecuación de las cláusulas contractuales tipo (SCC) en el contexto de las transferencias de datos a EE. UU.

El Reglamento General de Protección de Datos (RGPD) establece que la transferencia de datos personales de la UE a un país no perteneciente a la UE solo puede realizarse cuando se garantiza un nivel adecuado de protección de datos. Algunos países han recibido una “decisión de adecuación” que indica que sus leyes nacionales garantizan un nivel de protección sustancialmente similar al del RGPD. En 2015, la sentencia Schrems I invalidó el anterior acuerdo de adecuación entre la UE y los Estados Unidos, el denominado “puerto seguro”. El puerto seguro fue finalmente sustituido por el Escudo de Privacidad UE-EE. UU., que la Comisión Europea declaró adecuado en 2016. Desde entonces, el único mecanismo específico de EE. UU. aceptable para la transferencia de datos personales de la UE a EE. UU. ha sido el Escudo de Privacidad UE-EE. UU.

El TJUE explicó en Schrems II que rechazaba la determinación de adecuación de la Comisión por dos motivos. En primer lugar, las agencias de inteligencia estadounidenses tienen acceso a datos personales de una forma que el Tribunal considera que viola los derechos fundamentales de los interesados de la UE. En segundo lugar, los interesados de la UE no disponen de un recurso efectivo para reparar las violaciones de sus derechos. La sentencia Schrems II deja sin efecto el Escudo de Privacidad UE-EE. UU.

Existen otras formas establecidas para facilitar la transferencia de datos personales de la UE a EE. UU. que no son específicas de este país. Algunas empresas incorporan cláusulas contractuales tipo (SCC) aprobadas por la UE en sus acuerdos, lo que obliga contractualmente a las partes a cumplir con estrictas normas de protección de datos que satisfacen los requisitos del RGPD. Algunas familias o grupos de empresas establecen normas corporativas vinculantes (BCR) que garantizan un cierto nivel de protección de datos para las transferencias de datos dentro del grupo y utilizan las SCC para las transferencias a terceros fuera del grupo.

El TJUE ha rechazado claramente el Escudo de Privacidad UE-EE. UU., pero lo que no está tan claro es cómo afectará su fallo a la validez de los otros dos mecanismos, las CCT y las NBC. En su fallo, el TJUE validó el uso de las CCT para las transferencias, afirmando que este mecanismo permite garantizar en la práctica el cumplimiento del nivel de protección exigido por la legislación de la UE. Sin embargo, la opinión del TJUE de que la legislación estadounidense no ofrece una protección adecuada de los datos personales una vez que llegan a los Estados Unidos sigue siendo un problema. La decisión del TJUE exige a los responsables del tratamiento de datos que evalúen el nivel de protección de datos en el país del destinatario de los datos y que suspendan la transferencia si lo consideran inadecuado. Además, el tribunal subrayó la obligación de cada autoridad de protección de datos (“APD”) de todos los Estados miembros de la UE de suspender la transferencia de datos personales si consideran que la transferencia no es segura según los requisitos de protección de datos de la UE.Dado que el TJUE ya ha proclamado que la capacidad de las agencias de inteligencia estadounidenses para acceder a los datos personales almacenados en servidores estadounidenses constituye una violación de los derechos humanos fundamentales, la implicación es que se puede exigir a las empresas que suspendan las transferencias a los Estados Unidos debido a la insuficiencia de la protección de datos que ofrece la legislación estadounidense. El TJUE señaló en su decisión que las organizaciones pueden aplicar salvaguardias adicionales, más allá de las contenidas en las CCT, para garantizar un “nivel adecuado de protección” de los datos personales transferidos. En este momento no está claro qué forma adoptarían esas salvaguardias adicionales ni si es siquiera factible que las empresas privadas ofrezcan un nivel de protección contra la vigilancia del gobierno estadounidense que se considere adecuado.

Dada esta incertidumbre, no está claro cómo deben proceder las empresas que se han autocertificado en el Escudo de Privacidad UE-EE. UU. y que dependen de él como mecanismo para las transferencias de datos entre la UE y EE. UU. Dado que el Escudo de Privacidad UE-EE. UU. ya no es un mecanismo de transferencia válido para los datos personales de la UE, estas empresas tendrán que decidir sobre una base jurídica alternativa que permita las transferencias en virtud del RGPD. Las CCT con o sin BCR son algunas de las opciones que se deben considerar. Sin embargo, teniendo en cuenta que el TJUE ha cuestionado si alguna de ellas sería suficiente, no se trata de opciones perfectas.

Las empresas estadounidenses que se enfrentan a este problema también podrían revisar el artículo 49 del RGPD para encontrar una excepción que les permita legitimar la transferencia. Esta puede ser la solución para algunas, pero dejará a otras en un dilema. Las “excepciones”, que el Comité Europeo de Protección de Datos aclaró en 2018 que podrían utilizarse para determinadas transferencias de datos que, de otro modo, no cumplirían con la normativa, no deben utilizarse para transferencias repetitivas o regulares. Las directrices publicadas en 2018 señalan que los datos personales solo pueden transferirse en virtud de estas excepciones si la transferencia es ocasional y no repetitiva. En otras palabras, la transferencia “puede producirse más de una vez, pero no de forma regular”, y puede ocurrir “en circunstancias aleatorias y desconocidas y en intervalos de tiempo arbitrarios”.”

En las circunstancias actuales, la mejor opción, aunque ciertamente imperfecta, puede ser utilizar las CCT y/o las BCR e intentar implementar medidas internas para garantizar un nivel adecuado de protección de los datos personales transferidos desde la UE. En este momento, no está claro qué medidas se considerarán adecuadas, pero sí está claro que el Escudo de Privacidad UE-EE. UU. no lo es. Si anteriormente ha recurrido a la autocertificación del Escudo de Privacidad UE-EE. UU. para legalizar las transferencias de datos de la UE a los EE. UU., háganos saber si necesita ayuda u orientación en relación con otros mecanismos disponibles tras la sentencia Schrems II.