Estados Unidos no da garantías suficientes para proteger la privacidad de los datos. Así lo cree el Tribunal de Justicia de la Unión Europea, quien ha decidido declarar invalido el acuerdo de 'Escudo de la privacidad' de 2016 entre la Unión Europea y los EE.UU, por el cual las empresas norteamericanas como Apple o Google pueden llevarse los datos de usuarios europeos a EE.UU.
Actualmente en la Unión rige el Reglamento General de Protección de Datos (GDPR), basado en parte en reglas establecidas previamente en el acuerdo 'Privacy Shield'. Sin embargo, ahora el TJUE considera que Estados Unidos no garantiza un nivel de protección adecuado. Se trata de una decisión importante, que marcará el inicio de otra nueva etapa en las relaciones entre los Estados Unidos y la Unión Europea en materia de privacidad.
Schrems, el usuario que no quería que Facebook enviara sus datos a EE.UU
La decisión llega a raíz de una reclamación de Maximiliam Schrems, un usuario de Facebook austriaco. El TJUE describe que sus datos personales son transferidos por Facebook Ireland a servidores pertenecientes a Facebook Inc. El usuario alegó que no se realizasen estas transferencias pues consideraba que en los EE.UU no se ofrecían suficientes garantías. Tras varias decisiones judiciales de distintos organismos, finalmente el Tribunal de Justicia ha declarado que el 'Escudo de la Privacidad' es inválido.
El Tribunal precisa que las transferencia de datos personales realizada con fines comerciales "no pueden quedar fuera del ámbito de aplicación del RGPD". La Justicia explica que el país destinatario debe ofrecer un "nivel de protección sustancialmente equivalente al garantizado dentro de la Unión", refiriéndose principalmente a los "elementos pertinentes del sistema jurídico de dicho país".
BREAKING: The EU's Court of Justice has just invalidated the "Privacy Shield" data sharing system between the EU and the US, because of overreaching US surveillance. All details available here: https://t.co/xN4HKhZaBT #PRISM #FISA702 #Privacy #PrivacyShield #SCCs #GDPR #CJEU
— Max Schrems 🇪🇺🇦🇹 (@maxschrems) July 16, 2020
Según el TJUE, señalando algunos programas de vigilancia de los EE.UU:
"Las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización, por las autoridades estadounidenses, de los datos transferidos desde la Unión a ese país tercero, y que la Comisión evaluó en la Decisión Escudo de la privacidad, no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas, en el Derecho de la Unión, por el principio de proporcionalidad, en la medida en que los programas de vigilancia basados en la mencionada normativa no se limitan a lo estrictamente necesario".
Es decir, según el TJUE, la normativa de los Estados Unidos no es suficiente estricta en materia de privacidad. Al menos no al nivel del RGPD.
En qué se diferencia la protección de datos estadounidense

En concreto, el apartado que preocupaba al denunciante era la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera de los EE.UU (FISA), que permite a la Agencia de Seguridad Nacional (NSA) recopilar información perteneciente a no estadounidenses fuera del país, a través de la obtención de sus datos almacenados con medios electrónicos. proveedores de servicios de comunicaciones, como Facebook.
#ECJ declared #PrivacyShield decision invalid, but also confirmed that the standard contractual clauses remain a valid tool for the transfer of personal data to processors established in third countries. The right of European citizens to #DataProtection is absolutely fundamental. pic.twitter.com/1lpwMD7CSh
— Věra Jourová (@VeraJourova) July 16, 2020
Max Schrems ha declarado que está "muy contento con el juicio. Parece que el Tribunal nos ha seguido en todos los aspectos. Esto es un golpe total para el DPC irlandés y Facebook. Está claro que Estados Unidos tendrá que cambiar seriamente sus leyes de vigilancia si las empresas estadounidenses quieren seguir desempeñando un papel importante en el mercado de la UE".
Qué puede pasar a partir de ahora
Didier Reynders, Comisario de Justicia de la UE, ha emitido un comunicado a raíz de la decisión explicando que está "comprometido con tener sistemas de transferencia de datos fuertes y protegidos" y que "contactará con sus homólogos estadounidenses para seguir adelante y trabajar constructivamente en desarrollar un mecanismo más fuerte y duradero".
Wilbur Ross, Secretario de Comercio de los EE.UU ha catalogado de esta decisión como "decepcionante" y continuarán trabajando en administrar el programa 'Privacy Shield'.
El acuerdo 'Privacy Shield' no es el primero entre los Estados Unidos y la Unión Europea en materia de datos. De hecho, este llegó en respuesta al acuerdo "Safe Harbour", por el cual las compañías podían mover los datos que recogían de sus usuarios europeos a los Estados Unidos.
El Escudo de Privacidad engloba a más de 5.300 empresas, que al ser declarado inválido no podrán transferir datos personales europeos a servidores estadounidenses. En este punto, las autoridades podrán dictar la paralización de transferencias. Ahora queda ver si los EE.UU adaptarán sus leyes o el Departamento de Comercio y la Comisión Europea llegarán a un nuevo acuerdo.
Ver 20 comentarios
20 comentarios
Usuario desactivado
Bunas noticias para la privacidad en nuestro continente, mucho se habla de China pero EEUU actua de igual manera o peor y encima avalada por acuerdos. Es impresionante la impunidad con la que sus agencias secretas podian recopilar datos nuestros desde empresas americanas como Google, Facebook, Apple, Microsoft y otras muchas
mrieracrespi
Seguirán haciéndolo, solo que ahora no será legal.
Los motivos:
- La típica excusa de seguridad nacional de EEUU.
- La multa de cantidad irrisoria en caso de demostrarse.
Además, ¿cómo demuestro que lo han copiado los datos a un servidor en EEUU?
¿cómo demuestran que no lo han hecho?
vinsuk
Me parece que lo flipan mucho. Nuestros datos individuales no valen nada. Son esas empresas las que generan estadísticas en base a terabytes de clicks hechos por los usuarios y luego las usan para vender publicidad. Al final o aceptas o no entras.
innova
Demasiado , tarde , entiendo que los datos ya recopilados no van a ser devueltos ,borrados y mucho menos informar a sus propietarios de que datos habían sido recopilados.
angelill0
Me gustaría que en vez de decirle a empresas Americanas lo que tienen que hacer, sean las empresas Europeas las que den un paso adelante y eviten que tengamos la dependencia que realmente tenemos de la tecnología de EEUU.
No estamos en posición de exigirles demasiado...
vikingogenio
Que no cunda el pánico.
Tan solo una Actualización de términos y condiciones de Facebook para usuarios de la UE y a seguir!
Jajaja!