El 16 de julio de 2020 el Tribunal de Justicia de la Unión Europea (TJUE, por sus siglas) dictó sentencia en el caso Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems (C-311/18), también conocido simplemente como Schrems II. El TJUE declaró la invalidez de la decisión de adecuación relativa al Privacy Shield (Escudo de Privacidad) mientras que legitimó las transferencias al amparo de las cláusulas contractuales tipo (Standard Contractual Clauses) aprobadas oportunamente por la Comisión Europea. Las consideraciones del fallo son relevantes en varios aspectos en tanto impactan en las transferencias de datos desde los Estados miembros de la Unión Europea a países fuera del bloque comunitario, incluyendo aquellos en América y, especialmente, a los que no han obtenido una decisión de adecuación.
- Antecedentes
El caso Schrems II constituye un eslabón en una sucesión de hechos que dieron lugar a una de las cuestiones más debatidas en el mundo de la privacidad en los últimos años. Como es sabido, la Unión Europea ha adoptado un sistema de regulación horizontal a través del cual se aprobaron normas generales comprehensivas en materia de protección de datos personales que alcanzan a todas las actividades e industrias. Tal fue el caso de la anterior Directiva 95/46 y su sucesor el Reglamento General de Protección de Datos, (RGPD, por sus siglas, o GDPR por sus siglas en inglés).
Estas normas presentan restricciones a las transferencias internacionales de datos a países que no cuenten con normativa considerada adecuada. Los Estados Unidos de América se ha caracterizado por adoptar un enfoque distinto; si bien carecen de una norma general en materia de protección de datos personales, existen distintas regulaciones sectoriales que tratan esta materia y, adicionalmente, diversos Estados han sancionado normas sobre privacidad, como es el caso de California.
La ausencia de una norma federal ha sido el disparador para que ambos bloques tuvieran que negociar arreglos que permitieran la transmisión de datos. El primero de ellos dio lugar a los principios reconocidos como Safe Harbor o Puerto Seguro, adoptados por el Departamento de Comercio de los Estados Unidos, el cual constituía un sistema de autorregulación al cual las empresas en ese país podían adherir, comprometiéndose a respetar ciertas reglas establecidos en su texto. La Comisión Europea declaró adecuado este sistema en el año 2000.
Maximilian Schrems inició una reclamación contra Facebook Irlanda por considerar que la plataforma social violaba los derechos de intimidad y protección de datos personales de los usuarios. Los datos eran transferidos desde Irlanda a servidores localizados en Estados Unidos, en donde eran procesados y utilizados por Facebook. En Estados Unidos, los datos podían estar sujetos a un control estatal por parte de las agencias de investigación gubernamentales, lo cual constituía una práctica que podía afectar los derechos de los titulares de datos europeos.
La cuestión fue sometida a decisión (en cuanto a la interpretación del derecho aplicable) del TJUE, el cual en el año 2015 declaró inválidas las transferencias internacionales a los Estados Unidos con base en el Safe Harbor. La anulación del Safe Harbor derivó en la necesidad de tener que acordar un nuevo mecanismo para legitimar las transferencias internacionales de datos. Las tratativas concluyeron en la aprobación del Privacy Shield consensuado por el Departamento de Comercio de los Estados Unidos y las autoridades europeas. Este nuevo mecanismo fortalecía ciertos principios generales incorporados en el Safe Harbor y dotaba a los ciudadanos europeos de mayores resortes para resguardar sus derechos. En el año 2016 la Comisión Europea declaró válidas las transmisiones de datos a aquellas empresas certificadas bajo el régimen del Privacy Shield. A la fecha alrededor de 5.400 empresas se encuentran adheridas a este sistema.
- El caso Schrems II
A raíz de la decisión adoptada por el Tribunal de Justicia de la Unión Europea y en el marco de la investigación iniciada por el regulador de Irlanda, Facebook Ireland explicó que una gran parte de los datos personales se transfería a Facebook Inc., basándose en cláusulas tipo de protección de datos. Consecuentemente, Schrems cuestionó, en particular, que el Derecho estadounidense obligue a Facebook Inc. a poner los datos personales que se le transfieren a disposición de las autoridades estadounidenses, como la National Security Agency (NSA) y la Federal Bureau of Investigation (FBI). Schrems también planteó que, al utilizarse esos datos en el marco de diferentes programas de vigilancia de una manera incompatible con las normas europeas, no se podía justificar la transferencia de esos datos a los Estados Unidos. En esas condiciones, el reclamante solicitó al regulador de Irlanda que prohibiese o suspendiese la transferencia de sus datos personales a Facebook Inc.
Ante ello, la autoridad de protección de datos inició un procedimiento ante el Tribunal Superior de Irlanda a efectos de que este último consulte al Tribunal de Justicia Europeo sobre la correcta interpretación de las disposiciones que validan las transferencias internacionales al amparo de los mecanismos implementados en el caso, particularmente, las cláusulas contractuales tipo y el Privacy Shield.
Luego de oído al Abogado General, el tribunal europeo dictó sentencia a través de la cual validó las transferencias internacionales al amparo de las cláusulas contractuales tipo, pero, al mismo tiempo, declaró inválido al Privacy Shield. El TJUE considera a las cláusulas contractuales tipo como una alternativa válida para legitimar la transferencia a países que no posean legislación adecuada. Sin embargo, pone en cabeza de las partes un control activo de la normativa del país de destino de los datos para garantizar que los compromisos asumidos en el contrato no se vean frustrados por regulaciones locales, imposibilitando su cumplimiento.
Por su parte, el TJUE decide que el Privacy Shield no proporciona una adecuada protección y, por lo tanto, no puede ser entendido como un instrumento que avale la transferencia internacional desde la Unión Europea a los Estados Unidos. Ello por dos cuestiones principales; la primera es que las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización por las autoridades estadounidense de los datos transferidos (principalmente en el marco de investigaciones por fuerzas de seguridad estatales) no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas en el Derecho de la Unión Europea. Por su parte, y en lo que se refiere a la tutela judicial, los ciudadanos europeos no tienen acceso a los mismos recursos de los que disponen los nacionales estadounidenses contra el tratamiento de datos personales por parte de las autoridades de aquel país. Es por ello que el TJUE resuelve declarar la invalidez del Privacy Shield como recurso para las transferencias internacionales.
- Consecuencias del fallo para las transferencias al continente americano
La resolución adoptada por el TJUE, que en una apretada síntesis se ha descripto precedentemente, trae consigo importantes consecuencias para el tratamiento y transferencia de datos en América. La situación varía en cada país pero es posible clasificar su impacto dependiendo de la existencia de una decisión de adecuación o la ausencia de ella.
Países declarados adecuados
Al día de la fecha, en el continente americano existen tres países que obtuvieron la declaración de adecuación de las autoridades europeas para la transferencia internacional: Canadá (para el sector comercial) en el año 2001, Argentina, en el año 2003 y Uruguay en el año 2012.
La decisión del Tribunal no ha afectado las resoluciones de adecuación, las cuales se mantienen vigentes y con plenos efectos. Por ende, por el momento las transferencias de datos desde los Estados miembro de la Unión Europea a estas tres jurisdicciones se encuentran legitimadas al amparo de las decisiones adoptadas por las autoridades europeas oportunamente.
En efecto, en el fallo se destaca que mientras la decisión de adecuación no haya sido declarada inválida por el TJUE, los Estados miembros y sus órganos, entre ellos, las autoridades de control independientes, no pueden adoptar medidas contrarias a esa decisión. No obstante, un titular de datos en Europa puede presentar una reclamación ante la autoridad nacional de control competente si considera que la transferencia realizada al amparo de una decisión de adecuación afecta sus derechos y libertades. Ante tal situación, la autoridad nacional deberá apreciar con toda independencia si la transferencia de esos datos cumple las exigencias establecidas por el RGPD y, en su caso, interponer un recurso ante los tribunales nacionales, para que estos, si concuerdan en las dudas de esa autoridad sobre la validez de la decisión de adecuación, planteen al TJUE una cuestión prejudicial sobre esta validez.
Debe recordarse que, conforme con el RGPD, la Comisión Europea debe supervisar de manera continuada los acontecimientos en países terceros y organizaciones internacionales que puedan afectar a la efectiva aplicación de las decisiones de adecuación. Cuando el resultado del relevamiento demuestre que un tercer país ya no garantiza un nivel de protección adecuado, la Comisión, mediante actos de ejecución, derogará, modificará o suspenderá, en la medida necesaria y sin efecto retroactivo, la decisión de adecuación.
Países que no han sido declarados adecuados
La mayoría de los países del continente no han obtenido, al momento, una decisión de adecuación. En base a ello, se debe utilizar alguno de los mecanismos que establece el artículo 46 del RGPD o recurrir a las excepciones previstas en el artículo 49, como es el caso del consentimiento del titular del dato o en el supuesto en el que la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento, entre otras situaciones.
El artículo 46 dispone las siguientes alternativas para validar las transferencias a países no adecuados:
- un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos;
- las normas corporativas vinculantes;
- las cláusulas tipo de protección de datos adoptadas por la Comisión Europea;
- las cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión Europea;
- un código de conducta aprobado; o
- un mecanismo de certificación aprobado
En cuanto a las cláusulas contractuales tipo aprobadas por la Comisión Europea, se deberá considerar lo expuesto por el TJUE en el caso Schrems II. Al respecto, el responsable o encargado del tratamiento en la Unión Europea debe comprobar en cada caso y, si es preciso, en colaboración con el destinatario de la transferencia, si el Derecho del tercer país de destino garantiza una protección adecuada a la luz de las normas de la Unión. En su caso, deberá proporcionar garantías adicionales a las ofrecidas por dichas cláusulas. Si el responsable o el encargado del tratamiento establecidos en la Unión Europea no pueden adoptar medidas adicionales suficientes para garantizar esa protección, estos o, con carácter subsidiario, la autoridad de control competente, están obligados a suspender o poner fin a la transferencia de datos personales al país de que se trate. En particular, eso es lo que ocurre cuando el Derecho de ese país de destino impone al receptor de una transferencia de datos personales procedentes de la Unión obligaciones que son contrarias a las referidas cláusulas.
Asimismo, el precedente refuerza las facultades de las autoridades de control en cuanto a la posibilidad de suspender o prohibir, en su caso, una transferencia de datos personales a un país tercero basada en las cláusulas contractuales tipo de protección de datos.
Por último, en el caso de los Estados Unidos, el Privacy Shield ya no puede ser empleado como mecanismo para transferir datos. Por ende, debe recurrirse a alguna de las opciones que ofrecen los artículos 46 o 49 del RGPD. Sin embargo, y más allá del recurso empleado, como podrían ser las cláusulas contractuales tipo o las normas corporativas vinculantes, el hecho de que el TJUE haya destacado que las normas existentes actualmente en los Estados Unidos no brindan una tutela equivalente a los europeos puede afectar inclusive la validez de tales transmisiones al amparo de estos mecanismos. En todos los casos, se deberá realizar una evaluación de todas las circunstancias de la transferencia y considerar la adopción de medidas suplementarias que permitan asegurar una protección suficiente a los habitantes europeos. Tales fueron las conclusiones adoptadas por la Comité Europea de Protección de Datos en su documento titulado Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems del pasado 23 de julio de 2020.