Se veía venir. El acuerdo entre la Unión Europea y Estados Unidos conocido como “Privacy Shield” (“Escudo de Privacidad”), alcanzado en el año 2.016, para regular las transferencias internacionales de datos personales ha generado, desde su inicio, muchas dudas.

No olvidemos, además, que ya el propio Tribunal de Justicia de la Unión Europea (TJUE) declaró nulo en 2.015 el conocido como “Safe Harbor” (“Acuerdo de Puerto Seguro”),  antecesor del “Privacy Shield”.

Ante la anulación del “Safe Harbor”, la UE y EEUU debieron alcanzar otro acuerdo alternativo que permitiera seguir garantizando las transferencias de datos entre ambos territorios, de manera a que no afectara a la operatividad de las empresas que operan a nivel global.

La función principal del “Privacy Shield” era garantizar que las empresas norteamericanas que recaban y tratan datos personales de usuarios europeos cumplían con los estándares mínimos de la normativa europea de protección de datos.

Así, de cara a garantizar el cumplimiento de dichos estándares, se acordaba la creación en EEUU  de la figura de un Defensor del Pueblo que funcionara como un mecanismo de mediación dentro del Departamento de Estado, pero independiente de las agencias de seguridad nacionales, al que los ciudadanos europeos podrían dirigirse en el caso de denuncias o consultar en materia de protección de datos. Este Defensor del Pueblo se ocuparía de las peticiones de particulares,

Las empresas de EE.UU. podrían adherirse al acuerdo “Privacy Shield”, y con ello se comprometían a cumplir con esos mínimos que establece la normativa de protección de datos  nivel europeo, en concreto el Reglamento General de Protección de Datos (RGPD), permitiendo el intercambio de datos personales con fines comerciales entre ambos territorios.

Así, Privacy Shield’ englobaba a más de 5.300 empresas norteamericanas.  Amazon, Google, Dropbox o Mailchimp quedaban de este modo autorizadas para recopilar, trata y almacenar datos de sus usurarios europeos, al no considerarse en sentido estricto una transferencia internacional de datos, siempre estando obligados, en virtud de su adhesión a dicho acuerdo, a cumplir con esos referidos estándares mínimos de protección de datos en Europa.

Ahora, como decimos, el TJUE, como ya hiciera con el “Safe Harbor”, ha declarado nulo también el “Privacy Shield”, al entender que no ofrece garantías suficientes para proteger la privacidad de los datos, pues su normativa, a pesar de los esfuerzos y buenas intenciones, no es suficientemente estricta, a juicio del Tribunal, para entender que cumple con los mínimos establecidos en el RGPD.

El origen de la que ahora ha resuelto el TJUE tiene lugar en dos reclamaciones presentadas por el Sr. Schrems, un ciudadano austríaco y usuario de Facebook desde 2008. Este usuario de la red social presentó una reclamación ante la autoridad irlandesa de control en la que solicitaba, esencialmente, que se prohibiesen las transferencias de sus datos personales desde Facebook Ireland a servidores pertenecientes a Facebook Inc., situados en el territorio de Estados Unidos, donde son objeto de tratamiento. 

En su reclamación alegaba que el Derecho y las prácticas de los Estados Unidos no ofrecían suficiente protección frente al acceso, por parte de las autoridades públicas, a los datos transferidos a ese país. Esta reclamación fue el origen de la antedicha sentencia que declaraba nulo el “Safe Harbor” en 2.015 (sentencia del TJUE 6 de octubre de 2.015)

En una segunda reclamación este ciudadano austríaco argumenta que Estados Unidos no ofrece una protección suficiente de los datos que se transfieren a ese país y solicita la suspensión o prohibición, de cara al futuro, de las transferencias de sus datos personales desde la Unión a los Estados Unidos por parte de Facebook Ireland.

Tras varias decisiones judiciales en diferentes fases, finalmente el TJUE sentencia que el ‘Escudo de la Privacidad’ es inválido, pues las transferencias de datos personales realizada con fines comerciales «no pueden quedar fuera del ámbito de aplicación del RGPD». El país destinatario debe ofrecer un «nivel de protección sustancialmente equivalente al garantizado dentro de la Unión», y entiende que EEUU no lo ofrece al considerar que “la primacía de las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense” posibilitan injerencias en los derechos fundamentales de las personas cuyos datos personales se transfieren a ese país. Asimismo, entiende que las Autoridades estadounidenses no proporcionan a las personas ninguna vía de recurso ante un órgano que ofrezca garantías sustancialmente equivalentes a las exigidas en el Derecho de la Unión Europea.

CONSECUENCIAS DE LA INVALIDEZ DEL “PRIVACY SHIELD”

Podemos decir que, con la decisión del TJUE volvemos cinco años atrás, a la situación inmediatamente posterior a la declaración de nulidad, también por sentencia del Tribunal Europeo, del acuerdo de “Safe Harbor”.

La consecuencia inmediata es que la gran mayoría de las transferencias internacionales que se producen en empresas entre  Europa y EEUU pierden, de entrada, su legitimidad.

Por ello, tanto la empresa que envía los datos fuera de la UE, como la que los recibe, deben adoptar otro tipo de garantías para poder efectuar dichas transferencias internacionales. Entre ellas, solicitar consentimiento expreso a los interesados, modificando sus Políticas de Privacidad, pedir autorización a la Autoridad de Control (en España la Agencia Española de Protección de Datos), o llevar a cabo un análisis de riesgos más exhaustivos que contemplen esta circunstancia.

Hay, no obstante, algo que es importante resaltar. En el proceso que finaliza con la declaración de nulidad del “Privacy Shield” también se solicitaba la nulidad de la  Decisión 2010/87 de la Comisión Europea, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países. Pues bien, si bien en la primera cuestión el TJUE da la razón al ya famoso ciudadano austríaco, Sr. Schrems, en lo que respecta a esta segunda petición declara, sin embargo, que dichas cláusulas contractuales “tipo” son válidas.

Así, si bien las transferencias internacionales de datos que hasta ahora se amparasen en el Escudo de Privacidad no tendrían ya legitimación jurídica, la solución, por ahora, pasaría por establecer unas cláusulas contractuales tipo que permitan suplir esa carencia del país destinatario (EEUU) en materia de protección de datos.

Esta será sin duda la forma de proceder, por el momento, en especial de las grandes empresas que estaban adheridas al “Privacy Shield”, pero que cuentan con sus propias cláusulas contractuales que se pueden aplicar para ofrecer garantías en cuanto al tratamiento de datos. Las empresas pequeñas, igualmente, deberán adaptar sus políticas y estudiar la forma de cumplir con los requisitos exigidos.

Como decimos, la solución, mientras no exista un nuevo acuerdo que sí cumpla con los estándares de seguridad del RGPD, es que las empresas se adhieran a cláusulas tipo validadas por la Comisión Europea” o bien que internamente, como decimos, establezcan unas cláusulas o “normas corporativas vinculantes” (BCR) cuando se traten de transferencias internacionales dentro de un Grupo Empresarial.