Transferencia de datos internacionales. Nueva decisión del Tribunal Superior de Justicia Europeo: Schrems II

El flujo transfronterizo de datos o, mejor dicho, el internacional,[1] pone en tensión, por un lado, la necesaria protección de la privacidad de las personas y, por el otro, la necesidad de facilitar ese tráfico como presupuesto de las transacciones económicas internacionales y la evolución hacia mercados únicos digitales.

La cuestión de la privacidad, por cierto, no es novedosa en el derecho de las telecomunicaciones y fue advertida como un potencial eje de debates hace ya muchos años.[2] La masificación de las nuevas tecnologías y el surgimiento de las plataformas intermediarias[3] han actualizado el problema y las leyes de protección de datos personales han procurado encontrar un razonable equilibrio entre los intereses en pugna.

Así lo reconoce el Reglamento de Protección de Datos de la Unión Europea (RGPD) en su considerando cuarto, al señalar que “la protección de datos personales “no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad”. Intentar restringir sin más tal tráfico es una tarea que se presenta condenada al fracaso.

Maximilian Schrems,[4] ciudadano y residente austríaco, es usuario de Facebook desde 2008. Como ocurre con el resto de usuarios residentes en la Unión, sus datos personales son transferidos, total o parcialmente, por Facebook Ireland a servidores pertenecientes a Facebook Inc., situados en Estados Unidos, donde son objeto de tratamiento.

Oportunamente, Maximilian Schrems presentó una reclamación ante la autoridad irlandesa de control de datos en la que solicitaba que se prohibiesen dichas transferencias. Alegó que el derecho y las prácticas de Estados Unidos no ofrecían suficiente protección frente al acceso, por parte de las autoridades públicas, a los datos transferidos a ese país. Esa reclamación fue desestimada basándose en que, en particular, en su Decisión 2000/520 (“Safe Harbor”)[5] la Comisión había declarado que Estados Unidos ofrecía un nivel adecuado de protección. Mediante sentencia del 6 de octubre de 2015, el Tribunal de Justicia, en respuesta a una cuestión prejudicial planteada por el Tribunal Superior de Irlanda, declaró inválida la referida Decisión (“Sentencia Schrems I”).[6]

El procedimiento ante la autoridad de control irlandesa continuó, teniendo en cuenta la invalidez de la decisión sobre Safe Harbour, ante lo cual Facebook argumentó que su acuerdo de transferencia de datos personales se basa en las cláusulas contractuales tipo para la transferencia de datos personales a terceros países, establecidas por la Comisión Europea en su Decisión 2010/87.

Por su parte, Schrems reformuló su denuncia alegando que las cláusulas contractuales tipo debían ser inválidas puesto que no permitían invocar en Estados Unidos los derechos de los interesados. En el interín la UE dictó la Decisión de Ejecución 2016/1250 de la Comisión Europea, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo sobre la adecuación de la protección conferida por el Escudo de la Privacidad UE?EE.UU. conocido como Privacy Shield.

Al considerar que la tramitación de la reclamación del Sr. Schrems depende, en particular, de la validez de la Decisión 2010/87, alegada por Facebook Ireland, la autoridad de control de datos irlandesa inició un nuevo procedimiento ante el Tribunal Superior de ese país, para que esta plantease al Tribunal de Justicia una petición de decisión prejudicial, la que da origen a la segunda sentencia del caso Schrems (Schrems II).

La petición de decisión prejudicial tiene, en esencia, por objeto requerir del TJUE:

1. La interpretación del artículo 3, apartado 2, primer guion, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de estos datos, en relación con el artículo 4 TUE, apartado 2, y los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales de la UE.
2. La interpretación y la validez de la Decisión de la Comisión 2010/87/UE, del 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46, en su versión modificada por la Decisión de Ejecución (UE) 2016/2297 de la Comisión, de 16 de diciembre de 2016 (Decisión CPT).
3. La interpretación y la validez de la Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46 sobre la adecuación de la protección conferida por el Escudo de la Privacidad UE-EE. UU. (Decisión EP).

El 25 de mayo de 2018 comenzó a regir el Reglamento General de Protección de Datos de la UE, es decir, con posterioridad a la cuestión prejudicial planteada por el Tribunal Superior Irlandés.[7]

De acuerdo al RGPD una transferencia internacional de datos personales puede tener lugar válidamente si: (i) se basa en una decisión de adecuación (art. 45); (ii) se basa en la existencia de garantías adecuadas, entre las que se encuentran las normas corporativas vinculantes (arts. 46 y 48) y las excepciones previstas en el artículo 49.

Bajo el RGPD Estados Unidos no es un país que ofrezca una protección adecuada a los datos personales, por sus normas de vigilancia en función de la seguridad nacional y la carencia de una normativa federal en materia de privacidad. Ello no significa que no se puedan transferir datos personales desde la UE a dicho país, sino que ellas se realizan acudiendo a otras de las alternativas que prevé el RGPD mencionadas más arriba. En particular (i) que el destinatario de los datos personales localizado en Estados Unidos esté certificado bajo el Privacy Shield (sucesor del Safe Harbor), o (ii) implementar un contrato de transferencia internacional de datos personales utilizando cláusulas contractuales modelo.

A la primera cuestión prejudicial planteada más arriba,[8] el TJUE, siguiendo la opinión del Abogado General, sostuvo que se aplica el derecho europeo a la transferencia de datos personales a terceros países cuando la transferencia forme parte de una actividad comercial, sin importar que las autoridades del país de destino realicen también un tratamiento de esos datos por motivos de seguridad nacional.

Para dar respuesta a la segunda cuestión, el TJUE distingue el escrutinio que debe hacer la Comisión Europea de Protección de Datos frente a una decisión de adecuación en los términos del artículo 45, apartado 3 del RGPD y el supuesto de adopción de cláusulas tipo de protección de datos personales, tales como la Decisión CPT.

Ello por cuanto en algunos casos las cláusulas tipo pueden ser autosuficientes –en función del derecho y la práctica en el país de destino– para brindar el nivel de protección requerido por la UE y en otros no. Esto último es lo que sucede cuando el derecho en el país de destino de los datos permite a las autoridades interferir en los derechos de los interesados relativos a esos datos, por lo que corresponde en ese caso revisar la validez de una decisión de la Comisión sobre cláusulas tipo que no contienen garantías exigibles de las autoridades públicas de los países a los que se transfieren los datos.[9]

Al respecto, señala el Tribunal que “una decisión de adecuación adoptada en virtud del artículo 45, apartado 3, del RGPD… tiene por objeto declarar con efecto vinculante, tras un examen de la normativa del tercer país de que se trate que tenga en cuenta, en particular, la legislación pertinente en materia de seguridad nacional y de acceso de las autoridades públicas a los datos personales, que un tercer país, un territorio o uno o varios sectores específicos de un tercer país garantizan un nivel de protección adecuados y que, por tanto, el acceso de las autoridades públicas de ese tercer país a esos datos no impide su transferencia a ese mismo tercer país.

“Por consiguiente, tal decisión de adecuación solo puede ser adoptada por la Comisión si ha constatado que la legislación pertinente del país tercero en la materia recoge efectivamente todas las garantías exigibles para poder considerar que asegura un nivel de protección adecuado.”[10]

Sostiene, en cambio, que “cuando se trata de una decisión de la Comisión que adopta cláusulas tipo de protección de datos, como la Decisión CPT, en la medida en que tal decisión no tiene por objeto un tercer país, un territorio o uno o varios sectores específicos de un tercer país, no puede inferirse del artículo 46, apartados 1 y 2, letra c) del RGPD que la Comisión esté obligada a llevar a cabo, antes de la adopción de dicha decisión, una evaluación de la adecuación del nivel de protección garantizado por los países terceros a los que podrían transferirse datos personales sobre la base de las referidas cláusulas”.[11]

En concreto, el TJUE constata que la Decisión 2010/87 obliga al exportador de los datos y al destinatario de la transferencia a comprobar, previamente, que el nivel de protección exigido por el RGPD se respeta en el país tercero de que se trate y que obliga al antedicho destinatario a informar al exportador de los datos de su eventual incapacidad para cumplir con las cláusulas tipo de protección, incumbiendo entonces a este último suspender la transferencia de datos o rescindir el contrato celebrado con el primero.[12]

Finalmente, con carácter preliminar a la consideración de la validez del Privacy Shield, el TJUE señala que, si bien el recurso en el litigio principal interpuesto pone en consideración solo la validez de la Decisión CPT, dicho recurso fue presentado ante el órgano jurisdiccional remitente con anterioridad a la adopción de la Decisión EP. En la medida en que ese órgano jurisdiccional pregunta al Tribunal de Justicia, de manera general, acerca de la protección que debe garantizarse, en virtud de los artículos 7, 8 y 47 de la Carta en el contexto de la referida transferencia, el examen del Tribunal de Justicia debe tomar en consideración las consecuencias resultantes de la adopción de la Decisión EP, que tuvo lugar entretanto. Esto es tanto más cierto cuanto que el antedicho órgano jurisdiccional pregunta explícitamente si la protección exigida por el artículo 47 de la Carta queda garantizada por medio del Defensor del Pueblo mencionado en esa última Decisión.[13]

La Comisión constató, en el artículo 1, apartado 1, de la Decisión EP, que los Estados Unidos garantizan un nivel adecuado de protección de los datos personales transferidos desde la Unión a entidades establecidas en Estados Unidos en el marco del Escudo de la Privacidad UE?EE. UU.[14]

No obstante, la Decisión EP precisa también, en el punto I.5 de su anexo II, titulado “Principios del marco del Escudo de la privacidad UE?EE.UU.”, que la adhesión a estos principios puede verse limitada, en particular, por “exigencias de seguridad nacional, interés público y cumplimiento de la Ley”. Así pues, dicha Decisión reconoce, al igual que sucede con la Decisión 2000/520, la primacía de las referidas exigencias sobre los antedichos principios, primacía en virtud de la cual las entidades estadounidenses autocertificadas que reciban datos personales desde la Unión Europea están obligadas sin limitación a dejar de aplicar esos principios cuando entren en conflicto con esas exigencias y se manifiesten por tanto incompatibles con ellas.[15]

La Comisión evaluó estas potenciales interferencias a la luz del derecho de EE.UU. y consideró que se limitarán a lo estrictamente necesario para alcanzar el objetivo legítimo perseguido.[16]

Contrariamente a lo sostenido por la Comisión en la referida decisión EP, el TJUE encontró que el derecho de EE.UU. no satisfacía las exigencias mínimas establecidas por el Derecho de la Unión con respecto al principio de proporcionalidad, de modo que no puede considerarse que los programas de vigilancia basados en esas disposiciones se limiten a lo estrictamente necesario para dicho fin.[17]

Adicionalmente, también consideró que el Defensor del Pueblo en el ámbito del Escudo de Privacidad UE-EE.UU. no brindaba una garantía equivalente a la existente bajo el RGPD de acceder a una tutela judicial efectiva por la falta de garantía de independencia e imparcialidad que tiene este funcionario.[18]

Por ello, concluye el TJUE que la decisión EP es inválida. Las consecuencias de la decisión todavía son inciertas pero tiene la potencialidad de afectar las transferencias que hoy realizan miles de empresas de la UE a Estados Unidos al amparo del Privacy Shield. En lo inmediato, ellas deberán acudir a otros mecanismos para realizar dichas transferencias.

La utilización de las cláusulas contractuales tipo también podría ser cuestionada toda vez que las autoridades de control o las partes en el contrato de transferencia concluyan que el derecho del país de destino no ofrece garantías equivalentes a las vigentes bajo el RGPD o que las garantías existentes en esas cláusulas no se pueden cumplir debiendo entonces cesar la transferencia

Por su parte, señala el TJUE que el artículo 49 del RGPD establece, de manera precisa, las condiciones en las cuales pueden tener lugar transferencias de datos personales a países terceros en ausencia de una decisión de adecuación en virtud del artículo 45, apartado 3, del referido Reglamento o de garantías adecuadas con arreglo al artículo 46 del mismo Reglamento, insinuando quizás un camino alternativo para aquellas transferencias.

Será interesante ver la repercusión que pueda tener “Schrems II” en América Latina, particularmente en aquellos países cuyas reglamentaciones actuales en materia de protección de datos personales y su transferencia internacional se inspiran en la legislación europea.

---

[1] En la Unión Europea, donde se decidió el caso Schrems, la denominación transfronteriza se limita a la circulación de información dentro del espacio común europeo.

[2] Arthur Miller. The Assault on Privacy; Computers, Data Banks and Dossiers (1971).

[3] Las plataformas son intermediarios que cumplen un rol de facilitadores, esto es, ayudan a conectar distintos “lados”, ya sea para realizar transacciones, proveer contenidos, redes sociales y muchas variantes más.

[4] Maximilian Schrems es un activista de la privacidad que lidera la organización “None Of Your Business” (NOYB que podríamos traducir como “No es Asunto Tuyo” o, más específicamente como se señala en su sitio web, “Mi Privacidad No Es Asunto Tuyo”), cuyo objetivo declarado es realizar acciones, incluido el litigio específico y estratégico para hacer efectivas al máximo posible las leyes sobre privacidad (https://noyb.eu/es/nuestro-concepto-detallado).

[5] Decisión de la Comisión Europea, del 26 de julio de 2000, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes publicadas por el Departamento de Comercio de Estados Unidos.

[6] Sentencia del Tribunal de Justicia de 6 de octubre de 2015, Schrems, C?362/14.

[7] El RGPD amplió las disposiciones en materia de transferencia internacional de datos respecto de la Directiva 94/95, pasando de dos a seis artículos dedicados a la cuestión que en esencia comprenden las disposiciones anteriores, pero abordan nuevas cuestiones en la materia.

[8] Formalmente la High Court realiza una petición sobre once cuestiones prejudiciales, pero que se agrupan en las tres referidas en el cuerpo principal de este análisis.

[9] Considerandos 125 a 128. En efecto, las cláusulas contractuales entre partes privadas no vinculan a los gobiernos.

[10] Considerando 129.

[11] Considerando 130.

[12] Según el Tribunal de Justicia la validez de dicha decisión no queda puesta en entredicho por el mero hecho de que las cláusulas tipo de protección de datos recogidas en ella no vinculen, debido a su carácter contractual, a las autoridades del país tercero al que podrían transferirse los datos. Según el Tribunal de Justicia, la validez de dicha decisión no queda puesta en entredicho por el mero hecho de que las cláusulas tipo de protección de datos recogidas en ella no vinculen, debido a su carácter contractual, a las autoridades del país tercero al que podrían transferirse los datos.

[13] Considerando 151.

[14] El cual se compone, en particular, en virtud del artículo 1, apartado 2, de dicha Decisión, de los principios establecidos por el Departamento de Comercio de Estados Unidos el 7 de julio de 2016, tal como se exponen en el anexo II de la referida decisión, y de los compromisos y declaraciones oficiales recogidos en los documentos enumerados en los anexos I y III a VII de la misma Decisión.

[15] Considerandos 163 y 164.

[16] Considerandos 136 y 140 de la Decisión EP.

[17] Considerandos 168 y siguientes.

[18] Considerandos 193 a 197.

Publicado por digitalpolicylaw.com