I. Introducción
El 16 de julio de 2020 el Tribunal de Justicia de la Unión Europea (en adelante, el “Tribunal de Justicia”) dictó una sentencia mediante la cual dejó sin efecto el “Privacy Shield” que permitía la transferencia de datos personales desde la Unión Europea a los Estados Unidos (en adelante, la “Sentencia del TJUE”)[1].
El “Privacy Shield” era el acuerdo o marco regulatorio, vigente desde el año 2016, que permitía el intercambio de datos personales entre Estados Unidos y la Unión Europea.
La Sentencia del TJUE, además, declara que la Decisión 2010/87 de la Comisión Europea, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, es válida.
A continuación me referiré brevemente al marco regulatorio de la transferencia internacional de datos personales en la Unión Europea y en Estados Unidos para luego analizar la Sentencia del TJUE.
II. Marco regulatorio de la transferencia internacional de datos personales en la Unión Europea
El sistema europeo de protección de datos personales es un sistema altamente regulado y que se plasma a través del Reglamento General de Protección de Datos Personales (en adelante, el “GDPR”)[2]. El GDPR englobó a todos los países de la Unión Europea y unificó, por tanto, los derechos y obligaciones en materia de protección de datos personales en toda la región[3].
El GDPR, tal como ocurría con anterioridad a su entrada en vigencia[4], establece que la Comisión Europea velará porque las transferencias internaciones de datos personales se realicen con la mayor seguridad jurídica posible, evitando que se transmitan datos personales de manera tal que se vulnere la privacidad de las personas[5].
En este contexto, el artículo 44 del GDPR dispone como principio general para la transferencia: “Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado”.
Asimismo, dispone que la transferencia internacional podrá realizarse[6]: (i) basada en decisiones de adecuación; o (ii) mediante el otorgamiento de garantías adecuadas.
Con relación al primer punto, es decir, basadas en decisiones de adecuación, el artículo 45 del GDPR establece que: “podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica[7] (…). 3. La Comisión, tras haber evaluado la adecuación del nivel de protección, podrá decidir, mediante un acto de ejecución, que un tercer país, un territorio o uno o varios sectores específicos de un tercer país, o una organización internacional garantizan un nivel de protección adecuado a tenor de lo dispuesto en el apartado 2 del presente artículo. El acto de ejecución establecerá un mecanismo de revisión periódica, al menos cada cuatro años, que tenga en cuenta todos los acontecimientos relevantes en el tercer país o en la organización internacional (…)”[8].
En relación con la transferencia internacional mediante el otorgamiento de garantías adecuadas, el artículo 46 del GDPR establece que: “a falta de decisión con arreglo al artículo 45, apartado 3, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas”.
Adicionalmente, la Decisión 2010/87[9] -que es anterior al GDPR pero lo complementa - establece un set de cláusulas contractuales tipo que estipulan las medidas de seguridad técnicas y organizativas necesarias que deben aplicar los encargados del tratamiento establecidos en un tercer país, fuera de la Unión Europea, que no ofrece una protección adecuada, con el fin de garantizar un nivel de seguridad apropiado -y similar al de la Unión Europea- para los riesgos que entraña el tratamiento de datos personales (en particular, su destrucción accidental o ilícita o su pérdida accidental, alteración, divulgación o acceso no autorizados o cualquier otra forma ilícita de tratamiento).
III. Protección de los datos personales en Estados Unidos
La situación de Estados Unidos es muy diferente a la de la Unión Europea. En efecto, hasta el momento, Estados Unidos no tiene una ley federal en materia de protección de datos personales, aunque existen regulaciones particulares que protegen la información en actividades o sectores específicos[10].
Algunos estados han avanzado en una regulación pero no en forma uniforme. En algunos casos se dictaron leyes muy avanzadas, como la reciente ley del estado de California, California Consumer Privacy Act (CCPA)[11] que entró en vigencia a principios de 2020 y que tuvo varios cruces con las grandes empresas de tecnología. Ello es así porque la CCPA es la primera legislación en Estados Unidos que da a los consumidores control sobre cómo se usa su información personal en línea, asimilando la situación al GDPR.
En este contexto, para transferir datos personales de ciudadanos de la Unión Europea a Estados Unidos y permitir el comercio internacional, se han celebrado diferentes acuerdos para equiparar los niveles de protección y que dichas transferencias sean posibles. Mediante la celebración de estos acuerdos la Unión Europea por un lado, defiende el cumplimiento de estrictas normas de protección de datos personales y, por otro, permite el intercambio de información con Estados Unidos.
A continuación me referiré al Privacy Shield.
IV. El Privacy Shield
El Privacy Shield o Escudo de Privacidad[12] era un acuerdo firmado en el año 2016 entre EE.UU. y la Unión Europea como marco para la protección de datos. Este acuerdo sustituía al antiguo acuerdo conocido como Safe Harbor[13] o Puerto Seguro, que había estado vigente hasta el año 2015 cuando fue declarado nulo por el Tribunal de Justicia de la Unión Europea[14] principalmente porque las empresas que operan en Estados Unidos no garantizaban una protección real y eficaz de los datos personales transferidos dado que, ni la normativa ni la práctica de las actividades de las NSA de Estados Unidos[15], garantizan dicha protección (en adelante, la “Sentencia Schrems I”) .
El Privacy Shield permitía que, ante la falta de una legislación general estadounidense en materia de protección de datos, las empresas de Estados Unidos que querían tratar datos de europeos se “autocertificaran” y asumieran una serie de obligaciones en lo relativo a la protección de datos personales.
Para ello, se establecía también una mayor cooperación con las autoridades de protección de datos europeas y un compromiso de parte de Estados Unidos Estados Unidos de realizar un seguimiento anual del funcionamiento del Privacy Shield y del acceso de los datos por parte de las agencias de seguridad.
Pero el acuerdo también permitía la vigilancia masiva en ciertos casos, como la lucha contra el terrorismo, la revelación de actividades de potencias extranjeras, la lucha contra la distribución de armas de destrucción masiva, la ciberseguridad, la protección de las fuerzas armadas estadounidenses y aliadas, y la lucha contra amenazas criminales trasnacionales.
Además, se había creado la figura del “mediador” o “Defensor del Pueblo”, que velaría por el cumplimiento de los estándares que garantizaban un nivel de protección adecuada y resolvería las quejas o solicitudes de los ciudadanos europeos en relación con los posibles accesos a sus datos por parte de los servicios nacionales de inteligencia. El Defensor del Pueblo funcionaba como un mecanismo de mediación dentro del Departamento de Estado de los Estados Unidos -órgano responsable de las relaciones internacionales- , pero independiente de las agencias de seguridad nacionales.
V. La Sentencia del TJUE
La Sentencia del TJUE, que deja sin efecto el Privacy Shield, tiene como antecedente el caso de Maximiliam Schrems y la Sentencia Schrems I. A raíz de dicha sentencia la autoridad de control irlandesa instó a al Sr. Schrems a que modificase su reclamo teniendo en cuenta la nulidad del Safe Harbor.
En su nuevo reclamo, el Sr. Schrems sostuvo nuevamente que los Estados Unidos no ofrecen una protección suficiente para el tratamiento de datos personales y solicitó la suspensión o prohibición de las transferencias que Facebook realiza de sus datos personales sobre la base de las cláusulas tipo de protección conforme la Decisión 2010/87[16].
En este contexto, el Tribunal de Justicia señala que, habiendo examinado la Decisión 2010/87a la luz de la Carta de los Derechos Fundamentales de la Unión Europea, no existe ningún elemento que pueda afectar a su validez. En cambio, entiende que el Privacy Shield es inválido.
Para tomar esta decisión, el Tribunal de Justicia considera que el Derecho de la Unión Europea en general, y el GDPR en particular, se aplican a las transferencias de datos personales realizadas con fines comerciales por un operador económico establecido en la Unión Europea a otro operador económico establecido en un país externo de la Unión Europea incluso si, en el transcurso de dicha transferencia o tras ella, esos datos son -o pueden ser- tratados con fines de seguridad nacional, defensa y seguridad del Estado por las autoridades de dicho país. Es decir, el GDPR se aplica también estos casos.
En este contexto, el Tribunal de Justicia precisa que cuando la transferencia se realiza en base de cláusulas tipo debe garantizarse un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión Europea. Pero para evaluar ese nivel de protección deben tenerse en cuenta tanto las estipulaciones contractuales acordadas como el sistema jurídico de del país destinatario en lo que se refiere a la posibilidad de acceso de las autoridades públicas de dicho país.
Por otro lado, el Tribunal de Justicia señaló que el Privacy Shield reconocía la primacía de las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense, posibilitando de este modo injerencias en los derechos fundamentales de las personas cuyos datos personales se transfieren a ese país. Además, las limitaciones de la protección de datos personales que se derivan de la normativa interna de Estados Unidos relativa al acceso y la utilización, no cumplen con el principio de proporcionalidad, en la medida en que los programas de vigilancia no se limitan a lo estrictamente necesario[17].
Finalmente, y en relación a la exigencia de tutela judicial considerada en el Privacy Shield, el Tribunal de Justicia consideró que el mecanismo del Defensor del Pueblo no proporciona ninguna vía de recurso ante un órgano que ofrezca garantías sustancialmente equivalentes a las otorgadas por la Unión Europea.
El Privacy Shield englobaba más de 5.000 empresas que, a partir de la declaración de invalidez, no podrían transferir datos personales europeos a Estados Unidos.
Ahora solo queda esperar a que Estados Unidos adapte sus leyes o a que, una vez más, llegue a un acuerdo con la Unión Europea.
Citas
[1] Para más información ver: https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091es.pdf.
[2] El GDPR entró en vigor el 25 de mayo de 2016, pero fue de cumplimiento obligatorio a partir del 25 de mayo de 2018, es decir, dos años después. Durante esos dos años las empresas, organizaciones, organismos e instituciones se fueron adaptando para su cumplimiento.
[3] El sistema europeo es el modelo que sigue nuestro país en materia de datos personales. Tal es así que la Ley N° 25.326 fue tomada del modelo de ley española vigente al momento de la sanción.
[4] La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos establece que los Estados miembros deben disponer que la transferencia a un tercer país de datos personales únicamente puede efectuarse cuando dicho país garantice un nivel de protección adecuado. Dicha Directiva también establece que los Estados miembros podrán autorizar, con sujeción a determinadas garantías, una transferencia o una serie de transferencias de datos personales a terceros países que no garanticen un nivel de protección adecuado. Las garantías podrán derivarse, en particular, de cláusulas contractuales apropiadas.
[5] En este punto es importante aclarar que el GDPR se aplica a los ciudadanos de la Unión Europea pero tiene una aplicación extraterritorial. Ello es así, porque en su artículo 3 establece que se aplica al tratamiento de datos personales cuando esté relacionado con: (i) la oferta de bienes o servicios de ciudadanos de la Unión Europea, residentes de la Unión Europea, independientemente de si a estos se les requiere su pago, o (ii) el control del comportamiento de ciudadanos de la Unión Europea, residentes en la Unión Europea, en la medida en que este tenga lugar en la Unión Europea (aún cuando el responsable del tratamiento no resida en la Unión Europea).
[6] Las transferencias internacionales también podrán realizarse entre empresas de un miso grupo económico que cuenten con normas corporativas vinculantes debidamente aprobadas y que se apliquen y exija su cumplimiento a todos los miembros de dicho grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, incluidos sus empleados. Conforme artículo 47 del GDPR. Si bien excede el ámbito del presente trabajo, en la República Argentina mediante Resolución 159/2018 de la Agencia de Acceso a la Información Pública, siguiendo el mismo criterio que el GDPR, se aprobaron los “lineamientos y contenidos básicos” para la redacción de las normas corporativas vinculantes. Para más información ver: https://abogados.com.ar/normas-corporativas-vinculantes-para-la-transferencia-internacional-de-datos-personales-resolucion-1592018-de-la-aaip-primer-paso-en-el-camino-de-la-autorregulacion/22869.
[7] Es importante destacar que la República Argentina ha sido considerada un país que provee niveles adecuados de protección (conf. Decisión 2003/490/EC del 30 de junio de 2003) lo que permite un libre flujo de datos personales con la Unión Europea.
[8] Es importante destacar que en Argentina el criterio para la transferencia internacional es similar. La Ley N° 23.326 establece en el artículo 12 que “es prohibida la transferencia de datos personales de cualquier tipo con países u organismos internacionales o supranacionales, que no proporcionen niveles de protección adecuados”. Siendo la autoridad de control quien debe determinar cuáles son los países que proporcionan niveles de protección adecuados. En el año 2016, a través de la Disposición de la Dirección Nacional de Datos Personales E 60/2016se determinó que eran considerados países adecuados: los Estados miembros de la Unión Europea y miembros del espacio económico europeo (EEE), el Reino Unido de Gran Bretaña e Irlanda del Norte, la Confederación Suiza, Guernsey, Jersey Isla Man, Isla Feroe, Canadá sólo respecto de su sector privado, el Principado de Andorra, Nueva Zelanda, la República Oriental del Uruguay y el Estado de Israel sólo respecto de los datos que reciban un tratamiento automatizado. En dicha Disposición también se aprobaron los contratos modelos para la transferencia de datos personales a países con niveles de protección inadecuados que contienen un set de cláusulas que subsanan contractualmente la esa falta de normativa. El análisis en profundidad de este tema excede el presente trabajo.
[9] Decisión de la Comisión Europea del 5 de febrero de 2010.
[10] Por ejemplo, la “Driver´s Privacy Protection Act of 1994”, la “Children´s Online Privacy Protection Act of 1998”, la “Fair and Accurate Credit Transactions Act” of 2003, o la “Health Insurance Portability and Accountability Act of 1996”.
[11] La California Consumer Privacy Act se promulgó en el año 2018 pero entró en vigencia el 1/01/2020.
[12] Decisión 2016/1250
[13] Decisión de la Comisión 2000/520/CE
[14] Esta sentencia tuvo como fundamento el reclamo planteado por el ciudadano austríaco Maximillian Schrems ante la Agencia de Protección de Datos de Irlanda. El Sr. Schrems era usuario de Facebook desde 2008 y, como ocurre con los demás usuarios que residen en la Unión Europea, los datos proporcionados por el Sr. Schrems a Facebook se transfieren total o parcialmente de la filial irlandesa de dicha red social a servidores situados en territorio de los Estados Unidos, donde son objeto de tratamiento. En su reclamo, el Sr. Schrems indicó que, a la luz de las revelaciones realizadas en 2013 por Edward Snowden en relación con las actividades de los servicios de información de Estados Unidos (en particular, la National Security Agency o NSA), la normativa y la práctica de Estados Unidos no garantizaban una protección suficiente de los datos transferidos a ese país frente a las actividades de vigilancia de las autoridades públicas. Ese reclamo fue desestimado por la autoridad irlandesa que se basó en que los Estados Unidos ofrecían un nivel adecuado de protección por estar certificado por el Safe Harbor. Posteriormente, el Tribunal de Justicia, declaró inválido el Safe Harbor y, como consecuencia de esta sentencia, solicitó a la autoridad irlandesa de control que examine el reclamo del Sr. Schrems con toda la diligencia exigible. Para más información, ver: https://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117es.pdf.
[15] Me estoy refiriendo a la National Security Agency (Agencia de Seguridad Nacional) de los Estados Unidos.
[16] Es importante destacar que el reclamo del Sr. Schrems se inició con anterioridad a la sanción del Privacy Shield.
[17] El principio de proporcionalidad o minimización de datos establece que los datos recabados deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (conf. Artículo 5 del GDPR)
Entrevistas
POSADAS
opinión
ver todosKabas & Martorell
Alchouron, Berisso, Balconi, Fernández Pelayo & Werner
Noetinger & Armando
Brons & Salas