Logo de Facebook

 

En lo que se convierte en una segunda victoria para Max Schrems, que en 2011 inició un movimiento a favor de la privacidad en Facebook, el Tribunal de Justicia de la Unión Europea (TJUE) ha puesto en duda el llamado Escudo de Privacidad, creado para la transferencia de datos personales de los ciudadanos europeos a Estados Unidos (EEUU)

Maximillian Schrems inició su campaña por la privacidad al haber descubierto en 2010, durante una conferencia del abogado especialista en privacidad de Facebook, Ed Palmieri, que éste tenía un conocimiento limitado sobre las leyes europeas de protección de datos y que tampoco se preocupaban mucho en cumplirlas. Max decidió hacer su tesis sobre Facebook y el derecho a la privacidad.

Schrems, haciendo uso del derecho de acceso que otorgan las leyes irlandesas de protección de datos personales obtuvo la información que sobre él conserva Facebook, más de 1200 páginas divididas en 57 categorías, existentes al momento de la solicitud, como son la dirección, listas de correos electrónicos, tendencias religiosas, mensajes incluyendo chats, computadoras que usa, datos de tarjeta de crédito, última localización del usuario georeferenciada, etcétera.

Esos datos personales son transferidos por Facebook Ireland Limited, total o parcialmente, a servidores pertenecientes a Facebook Inc., situados en el territorio de Estados Unidos, donde son objeto de tratamiento.

Desde entonces emprendió una batalla legal para que se diera cumplimiento a las disposiciones sobre protección de datos personales europeas.

Schrems solicitó a la autoridad irlandesa de control de datos personales que se prohibiesen esas transferencias, alegando que los EEUU no ofrecían suficiente protección frente al acceso, por parte de las autoridades, a los datos transferidos a ese país

Su reclamo fue desechado con base en la Decisión 2000/520 sobre puerto seguro, en la que la Comisión Europea concluía que los EEUU ofrecía un nivel adecuado de protección, pero el caso llegó hasta el TJUE y en octubre de 2015 el tribunal declaró inválida la Decisión.

Nuevamente ante los tribunales irlandeses Schrems sostuvo que los Estados Unidos no ofrecen una protección suficiente de los datos que se transfieren a ese país, solicitando la suspensión o prohibición, en el futuro, de las transferencias de sus datos personales desde la Unión a los EEUU.

En el inter, el 27 de abril de 2016, el Parlamento Europeo y el Consejo emitieron el Reglamento 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).

Asimismo, se adoptó la Decisión (UE) 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EEUU (Escudo de la Privacidad), para sustituir la Decisión sobre puerto seguro.

El caso llegó nuevamente ante el TJUE para que este interpretara la Decisión 2010/87, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, con base a la cual se transmiten los datos a EEUU, y sobre la aplicación al caso del RGPD y las disposiciones del Escudo de la Privacidad.

En su decisión del día de ayer, el Tribunal de Justicia señala que la Decisión Escudo de la privacidad es inválida.

La sentencia advierte en especial que la normativa no pone límites a algunos programas de vigilancia del gobierno de EEUU, de modo que “no existen garantías para las personas no nacionales” de los Estados Unidos que puedan ser objeto de control.

El TJUE considera que el Derecho de la Unión Europea y, en particular, el RGPD, se aplica a la transferencia de datos personales realizada con fines comerciales por un operador establecido en un Estado miembro a otro operador establecido en un país tercero, aunque esos datos pueden ser tratados con fines de seguridad nacional, defensa y seguridad por las autoridades del país tercero en cuestión.

Respecto al nivel de protección exigido en el marco de esa transferencia, el TJUE señala que las personas cuyos datos personales se transfieren sobre la base de cláusulas tipo de protección de datos deben gozar de un nivel de protección equivalente al RGPD.

El TJUE destaca que las autoridades responsables del control de datos personales, a no ser que exista una decisión de adecuación válidamente adoptada por la Comisión, están obligadas a suspender o a prohibir una transferencia de datos personales a un país tercero cuando consideren que no se respetan o no pueden respetarse las disposiciones de la UE y no se garantiza la protección de los datos transferidos exigida por el Derecho de la Unión.

El máximo tribunal europeo señala que la Decisión Escudo de la privacidad, con el argumento de la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense, permite la injerencia en los derechos fundamentales de las personas, no ofrece ningún medio de defensa ni protección sustancialmente equivalentes a las exigidas por la legislación de la UE. Por todas esas razones, el Tribunal de Justicia declara inválida la Decisión Escudo de la privacidad.

El European Center for Digital Rights (ECDR)-Noyb fundado por Schrems, destaca que la sentencia no significa que no puedan transferirse datos al extranjero, sino que esta se puede dar con base en el consentimiento informado del usuario, que puede ser revocado en cualquier momento, conforme a lo establecido por el RGPD. Asimismo destacan que el reglamento europeo también permite las transferencias de datos que son necesarias para cumplir un contrato.

Más información curia.europa.eu e hipertextual.com

miabogadoenlinea.net

Se permite la reproducción parcial o total, concediendo crédito a miabogadoenlinea.net