El TJUE declara inválido el acuerdo para la realización de transferencias internacionales de datos a EEUU

El Tribunal de Justicia de la Unión Europea (TJUE) ha invalidado uno de los acuerdos marco clave que permitía la transferencia de datos personales entre la Unión Europea y los EE.UU. De esta forma, la STSUE de 16 de julio de 2020 (C-311/18), ha anulado el denominado “Privacy Shield”, considerando que EE.UU no garantiza un nivel de protección de datos personales adecuado a las exigencias de la normativa del RGPD.

Como ya había adelantado la Agencia Española de Protección de datos (AEPD), se ha anulando la Decisión 2016/1250 de la Comisión que declaraba el nivel adecuado de protección del esquema del Escudo de Privacidad (Privacy Shield) para las transferencias internacionales de datos a EEUU. Esta Decisión sustituía a su vez otra declarada declarada igualmente inválida por el TJUE en octubre de 2015.

La sentencia, cuyas implicaciones marcan un nuevo punto de inflexión sobre la forma en la que se realizan las transferencias internacionales de datos a EEUU, establece, a su vez, la validez de las cláusulas contractuales estándar adoptadas por la Comisión Europea para realizar transferencias internacionales de datos entre un responsable establecido en la Unión Europea y un encargado del tratamiento fuera de la UE.

Privacy Shield

El conocido como "Privacy Shield" suponía un acuerdo entre la UE y EEUU cuya finalidad era permitir la transferencia internacional de datos declarando a EEUU, a aquellas empresas que “cumpliendo” los requisitos estipulados en el mismo pudieran declarar contar con un nivel adecuado de protección de datos de los interesados.

Nuevo RGPD

El TJUE considera que Privacy Shield no ofrece las garantías suficientes para que las empresas adheridas cumplan plenamente con el RGPD. Em concreto, el fallo especifica que "las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización, por las autoridades estadounidenses, de los datos transferidos desde la Unión a ese país tercero, y que la Comisión evaluó en el Escudo de la privacidad, no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas, en el Derecho de la Unión, por el principio de proporcionalidad, en la medida en que los programas de vigilancia basados en la mencionada normativa no se limitan a lo estrictamente necesario".

Del mismo modo, siguiendo el ;RGPD, todo interesado debe tener derecho a presentar una reclamación ante una autoridad de control única, en particular en el Estado miembro de su residencia habitual, y derecho a la tutela judicial efectiva de conformidad con el artículo 47 de la Carta si considera que se vulneran sus derechos con arreglo al presente Reglamento o en caso de que la autoridad de control no responda a una reclamación, rechace o desestime total o parcialmente una reclamación o no actúe cuando sea necesario para proteger los derechos del interesado.

Así pues, mientras la referida Decisión no haya sido declarada inválida por el Tribunal de Justicia, la autoridad de control competente no puede suspender o prohibir una transferencia de datos personales a una entidad que se haya adherido a ese Escudo basándose en que considera, contrariamente a la apreciación efectuada por la Comisión en la mencionada Decisión, que la legislación de los Estados Unidos que regula el acceso a los datos personales transferidos en el marco del antedicho Escudo y el uso de esos datos por las autoridades públicas de ese país tercero a efectos de seguridad nacional, aplicación de la ley o de interés público no garantiza un nivel de protección adecuado.

Exigencia de tutela judicial

En lo que se refiere a la exigencia de tutela judicial, el TJUE declara que el examen de la cuestión de si el mecanismo del Defensor del Pueblo contemplado en la Decisión EP puede efectivamente subsanar las limitaciones del derecho a la tutela judicial constatadas por la Comisión debe, con arreglo a las exigencias que se derivan del artículo 47 de la Carta y de la jurisprudencia recordada en el apartado 187 de la presente sentencia, partir del principio de que los justiciables han de tener la posibilidad de ejercer acciones en Derecho ante un tribunal independiente e imparcial para acceder a los datos personales que les conciernen o para obtener su rectificación o supresión.

Para la Gran Sala "el mecanismo del Defensor del Pueblo contemplado en la Decisión EP no proporciona ninguna vía de recurso ante un órgano que ofrezca a las personas cuyos datos se transfieren a los Estados Unidos garantías sustancialmente equivalentes a las exigidas en el artículo 47 de la Carta."