TJUE anula Privacy Shield

PRIVACY SHIELD: EL TJUE TOMBA LES TRANSFERÈNCIES ALS EEUU.

El Tribunal de Justícia de la Unió Europea (TJUE) va invalidar el passat 16 de juliol de 2020 la Decisió 2016/1250 (Privacy Shield) que emparava les transferències internacionals de dades personals als EEUU.

Però, per què el TJUE invalida ara el Privacy Shield?

Tot deriva de la demanda interposada per Max Schrems, activista i advocat, contra Facebook Irlanda per transferir les seves dades, és a dir, dades d’usuaris europeus, a servidors pertanyents a Facebook Inc., al·legant que els EEUU no ofereix protecció suficient en matèria de dades personals.

El TJUE entén que:

Les exigències relatives a la seguretat nacional, l’interès públic i el compliment de la llei estatunidenca tenen primacia, per la qual cosa toleren les ingerències en els drets fonamentals de les persones les dades de les quals es transfereixen”.

Això significa que les empreses dels EEUU poden veure’s obligades a lliurar les dades personals dels usuaris a les agències governamentals, de seguretat i intel·ligència estatunidenques, vulnerant així la Carta de Drets Fonamentals de la UE i el Reglament General de Protecció de Dades (RGPD).

La sentència suposa un enorme ensopec per a moltíssimes empreses que emparen les seves transferències internacionals als EEUU en el Privacy Shield (tal com ja va succeir, en el seu moment, amb la derogació del Safe Harbor a l’octubre de 2015). I aquesta anul·lació, no afecta només les grans empreses tecnològiques, sinó a qualsevol empresa que utilitzi serveis cloud, apps o SaaS com Microsoft 365, Whatsapp, Apple, Trello, Slack, Dropbox, Mailchimp i una infinitat d’aplicacions similars les dades de les quals s’allotgen en servidors dels EEUU.

No hi ha dubte que, després d’aquesta sentència, els EEUU haurà de dur a terme una sèrie de reformes en la seva legislació interna amb especial atenció quant a les garanties en matèria de protecció de dades, perquè els legisladors europeus desenvolupin una solució sostenible a llarg termini en línia amb el RGPD, amb la finalitat d’assegurar la continuïtat dels fluxos de dades entre la UE i els EEUU.

En canvi, el TJUE avala com a garantia les clàusules contractuals tipus (Standard Contract Clauses) per a la transferència de dades entre la UE i tercers països, però únicament quan aquest tercer país garanteixi un nivell de protecció adequat i substancialment equivalent al garantit dins de la UE. En aquest context, el TJUE precisa es realitzarà una l’avaluació del nivell de protecció del tercer país, tenint en compte:

  1. les estipulacions contractuals acordades entre l’exportador de la UE i el destinatari de les dades, en el tercer país;
  2. el que es refereixi a un possible accés de les autoritats públiques d’aquest tercer país a les dades personals transferides;
  3. els elements pertinents del sistema jurídic d’aquest país.

De la mateixa manera, la sentència declara que, tret que existeixi una decisió d’adequació vàlidament adoptada per la Comissió, les Autoritats de Control en matèria de protecció de dades estan obligades a suspendre o a prohibir una transferència de dades personals a un país tercer quan considerin, a la llum de les circumstàncies específiques de la referida transferència, que les clàusules tipus de protecció de dades no es respecten o no poden respectar-se en aquest país i que les protecció de les dades transferides, exigida pel Dret de la Unió, no pot garantir-se mitjançant altres mitjans, si el propi exportador establert en la Unió no ha suspès aquesta transferència o no li ha posat fi.

Referent a això, podem considerar que, a tenor de l’anteriorment exposat, en el cas dels EUA, tampoc es complirien aquestes garanties, no podent-se emparar les transferències internacionals de dades als EEUU en les clàusules contractuals tipus. Encara que, de moment, aquesta serà la via que s’intenti vehicular per les grans tecnològiques dels EEUU per a mantenir les transferències internacionals des de la UE.

En les pròximes setmanes anirem veient com van responent les diferents parts afectades per aquesta sentència. Accedeixi al Comunicat de Premsa del TJUE en aquest enllaç.

Si la seva empresa realitza transferències de dades a empreses amb servidors als EEUU o altres països fora de la UE, no dubti a contactar-nos per a abordar la manera d’adequar-se a aquesta sentència del TJUE.

Àrea Dret Digital

Lladó Grup Consultor