La justicia europea anula el 'Privacy Shield': los datos personales europeos ya no podrán transferirse a servidores de los EE.UU

Estados Unidos no da garantías suficientes para proteger la privacidad de los datos. Así lo cree el Tribunal de Justicia de la Unión Europea, quien ha decidido declarar invalido el acuerdo de 'Escudo de la privacidad' de 2016 entre la Unión Europea y los EE.UU, por el cual las empresas norteamericanas como Apple o Google pueden llevarse los datos de usuarios europeos a EE.UU.

Actualmente en la Unión rige el Reglamento General de Protección de Datos (GDPR), basado en parte en reglas establecidas previamente en el acuerdo 'Privacy Shield'. Sin embargo, ahora el TJUE considera que Estados Unidos no garantiza un nivel de protección adecuado. Se trata de una decisión importante, que marcará el inicio de otra nueva etapa en las relaciones entre los Estados Unidos y la Unión Europea en materia de privacidad.

En Xataka

GDPR, un año después: lo bueno, lo feo y el malo

Schrems, el usuario que no quería que Facebook enviara sus datos a EE.UU

La decisión llega a raíz de una reclamación de Maximiliam Schrems, un usuario de Facebook austriaco. El TJUE describe que sus datos personales son transferidos por Facebook Ireland a servidores pertenecientes a Facebook Inc. El usuario alegó que no se realizasen estas transferencias pues consideraba que en los EE.UU no se ofrecían suficientes garantías. Tras varias decisiones judiciales de distintos organismos, finalmente el Tribunal de Justicia ha declarado que el 'Escudo de la Privacidad' es inválido.

El Tribunal precisa que las transferencia de datos personales realizada con fines comerciales "no pueden quedar fuera del ámbito de aplicación del RGPD". La Justicia explica que el país destinatario debe ofrecer un "nivel de protección sustancialmente equivalente al garantizado dentro de la Unión", refiriéndose principalmente a los "elementos pertinentes del sistema jurídico de dicho país".

BREAKING: The EU's Court of Justice has just invalidated the "Privacy Shield" data sharing system between the EU and the US, because of overreaching US surveillance. All details available here: https://t.co/xN4HKhZaBT #PRISM #FISA702 #Privacy #PrivacyShield #SCCs #GDPR #CJEU

— Max Schrems 🇪🇺🇦🇹 (@maxschrems) July 16, 2020

Según el TJUE, señalando algunos programas de vigilancia de los EE.UU:

"Las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización, por las autoridades estadounidenses, de los datos transferidos desde la Unión a ese país tercero, y que la Comisión evaluó en la Decisión Escudo de la privacidad, no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas, en el Derecho de la Unión, por el principio de proporcionalidad, en la medida en que los programas de vigilancia basados en la mencionada normativa no se limitan a lo estrictamente necesario".

Es decir, según el TJUE, la normativa de los Estados Unidos no es suficiente estricta en materia de privacidad. Al menos no al nivel del RGPD.

En qué se diferencia la protección de datos estadounidense

Infografía sobre la Sección 702 de la Ley de Vigilancia de los EE.UU, principal escollo para el 'Escudo de Privacidad'.

En concreto, el apartado que preocupaba al denunciante era la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera de los EE.UU (FISA), que permite a la Agencia de Seguridad Nacional (NSA) recopilar información perteneciente a no estadounidenses fuera del país, a través de la obtención de sus datos almacenados con medios electrónicos. proveedores de servicios de comunicaciones, como Facebook.

#ECJ declared #PrivacyShield decision invalid, but also confirmed that the standard contractual clauses remain a valid tool for the transfer of personal data to processors established in third countries. The right of European citizens to #DataProtection is absolutely fundamental. pic.twitter.com/1lpwMD7CSh

— Věra Jourová (@VeraJourova) July 16, 2020

Max Schrems ha declarado que está "muy contento con el juicio. Parece que el Tribunal nos ha seguido en todos los aspectos. Esto es un golpe total para el DPC irlandés y Facebook. Está claro que Estados Unidos tendrá que cambiar seriamente sus leyes de vigilancia si las empresas estadounidenses quieren seguir desempeñando un papel importante en el mercado de la UE".

En Xataka

EEUU como China: las fotos que hemos compartido en las redes sociales ahora alimentan a la vigilancia y reconocimiento policial

Qué puede pasar a partir de ahora

Didier Reynders, Comisario de Justicia de la UE, ha emitido un comunicado a raíz de la decisión explicando que está "comprometido con tener sistemas de transferencia de datos fuertes y protegidos" y que "contactará con sus homólogos estadounidenses para seguir adelante y trabajar constructivamente en desarrollar un mecanismo más fuerte y duradero".

Wilbur Ross, Secretario de Comercio de los EE.UU ha catalogado de esta decisión como "decepcionante" y continuarán trabajando en administrar el programa 'Privacy Shield'.

El acuerdo 'Privacy Shield' no es el primero entre los Estados Unidos y la Unión Europea en materia de datos. De hecho, este llegó en respuesta al acuerdo "Safe Harbour", por el cual las compañías podían mover los datos que recogían de sus usuarios europeos a los Estados Unidos.

El Escudo de Privacidad engloba a más de 5.300 empresas, que al ser declarado inválido no podrán transferir datos personales europeos a servidores estadounidenses. En este punto, las autoridades podrán dictar la paralización de transferencias. Ahora queda ver si los EE.UU adaptarán sus leyes o el Departamento de Comercio y la Comisión Europea llegarán a un nuevo acuerdo.

En Xataka | Por qué EE.UU. acusa a Huawei de espionaje sin mostrar pruebas cuando está demostrado que la NSA ha espiado masivamente