21 de octubre de 2018 | 10:19

LEGAL TODAY. POR Y PARA ABOGADOS

 

Herramientas para el texto

Blog ECIJA 2.0

19 de Julio de 2018

Juan Carlos Guerrero

abogado de ECIJA

El Privacy Shield a debate

El 5 de julio de 2018, el Parlamento Europeo emitió una resolución mediante la cual cuestionaba la adecuación de la protección conferida por la Decisión de Privacy Shield en torno al tratamiento de datos personales por las entidades de Estados Unidos y la privacidad de los ciudadanos de la Unión Europea. Dicha resolución del Parlamento Europeo supone una suerte de déjà vu, ante la eventual suspensión y/o derogación del marco acordado por Estados Unidos y la Unión Europea, tras la derogada Decisión de Safe Harbor, inducida por la Sentencia del Tribunal de Justicia de la Unión Europea, en el asunto C-362/14 Maximilian Schrems vs Data Protection Comissioner.


El caso Schrems, sentó un antes y un después en la privacidad de los ciudadanos europeos y el tratamiento de sus datos por empresas ubicadas fuera del espacio económico europeo y, en particular, en Estados Unidos. Pero esta resolución del pasado 5 de julio saca a relucir de nuevo las deficiencias del marco regulatorio establecido en las transferencias internacionales de datos entre entidades europeas y estadounidenses.

¿Por qué es tan importante?

Primero de todo, lo que se debe destacar es que el derecho a la protección de datos es un derecho fundamental, contemplado en la Carta de los Derechos Fundamentales de la Unión Europea en su artículo 8, así como en nuestra Carta Magna en su artículo 18.4. Esto provoca que la protección jurídica que otorga este derecho a cualquier individuo adquiera una especial relevancia al vincular sin excepción a los propios poderes públicos para garantizar dicho derecho. Por este motivo, el Parlamento Europeo en esta ocasión o el Tribunal de Justicia de la Unión Europea (TJUE) en el caso Schrems, determinaron la necesidad de potencialmente suspender y efectivamente derogar, respectivamente, la decisión por la que se determinaba los requisitos a cumplir por las entidades norteamericanas para garantizar un nivel adecuado de protección.

Además, suspender o incluso derogar el Privacy Shield supondría que las entidades europeas y norteamericanas tuvieran que buscar alternativas para adecuar las transferencias internacionales de datos transatlánticas al no considerarse a Estados Unidos como un país con un nivel adecuado de protección conforme a los requisitos establecidos en el artículo 45 apartado 5 del Reglamento General de Protección de Datos (RGPD), suponiendo un incumplimiento a esta regulación al quedar las entidades potencialmente expuestas a  ser sancionadas.

¿Cuál ha sido el detonante?

Numerosos factores han llevado a las instituciones y organismos europeos a replantearse el nivel de seguridad ofrecido por el Privacy Shield. En este sentido, tanto el Grupo de Trabajo del Artículo 29, como el Supervisor Europeo de Protección de Datos, ya mostraron sus reticencias sobre algunas cuestiones relativas a Privacy Shield en el momento de su adopción, a pesar de las notables mejores implementadas en comparación con la Decisión de Safe Harbor.

No obstante, parece que el gran hecho que desencadena la necesidad de valorar si Privacy Shield cumple con las exigencias requeridas en el Reglamento General de Protección de Datos, es el escándalo de Facebook y Cambridge Analytica. No hay que olvidar que Facebook, Inc., se encuentra adherido al Privacy Shield, debiendo asegurar un nivel adecuado de protección a todos y cada uno de los usuarios europeos. A mayor abundamiento, conviene destacar que Facebook también fue la plataforma que desencadenó la derogación de la Decisión de Safe Harbor al ser la entidad involucrada en el caso Schrems.

No obstante, el escándalo de Facebook y Cambridge Analytica no fue el único motivo de discusión sobre la adecuación del Privacy Shield. La seguridad nacional de los Estados Unidos también es uno de los puntos conflictivos del Privacy Shield, ya que el propio término "seguridad nacional" no se encuentra definido específicamente, provocando injerencias desproporcionadas e innecesarias en la privacidad de los ciudadanos europeos. En este punto, hay cuatro normas en las que el Parlamento Europeo establece el foco: (i) artículo 702 FISA; (ii) Decreto 12333; (iii) Decreto 13768; y (iv) Ley de Aclaración del Uso Legítimo de los Datos en el Extranjero. Todas estas normas fueron adoptadas sin proporcionar a la Comisión información completa sobre las mismas, no pudiendo determinarse efectivamente si cumplen con las previsiones contempladas en el Privacy Shield.

También existen motivos institucionales para entender que no se está cumpliendo con los requisitos exigidos por la Unión Europea en la medida en que la Comisión Federal del Comercio -agencia competente para velar por el cumplimiento del Privacy Shield por las entidades americanas- ha estado sin designar cuatro de sus cinco miembros hasta hace escasos días. Asimismo, la figura del Defensor del Pueblo creada por el Departamento de Estado de los Estados Unidos no se considera lo suficientemente independiente ni accesible como garantizar dar respuesta y respaldo a las reclamaciones de los ciudadanos de la Unión Europea. Por su parte, el Consejo de Supervisión de la Privacidad y de las Libertades Civiles de los Estados Unidos (PCLOB) que es una agencia independiente cuya función radica en velar por el cumplimiento de prevención del terrorismo y proteger la vida privada y las libertades civiles, no ha podido llevar a cabo los proyectos que tenía asignados en la medida que no se han designado los miembros suficientes para que exista un quorum que permita actuar y cumplir con sus obligaciones, propiciando que no se haya llevado a cabo, entre otros, el informe sobre la Directiva de Política Presidencial 28 ante la inseguridad que plantea su aplicación en la privacidad de los ciudadanos europeos.

Por último, no hay ninguna entidad que estudie o garantice de forma proactiva el cumplimiento de las previsiones contempladas en el Privacy Shield. En este sentido, en el momento en el que se detectase que una entidad no cumple con tales requisitos, las autoridades de la Unión deberían tener competencia para suspender las transferencias efectuadas por la entidad incumplidora.

Por último, también existen motivos comerciales que se encuentran directamente relacionados con la falta de control efectivo de las entidades adheridas al Privacy Shield, de la dificultad de los ciudadanos de la Unión en poder ejercer sus derechos en territorio americano, así como el control masivo de los datos de los ciudadanos europeos por disposiciones normativas excesivamente amplias y desproporcionadas.

¿Qué medidas y acciones plantea el Parlamento Europeo en esta resolución?

El Parlamento Europeo hace hincapié en la necesidad de garantizar que el Privacy Shield cumpla plenamente con el Reglamento General de Protección, exponiendo la necesidad de establecer un marco jurídico que imponga obligaciones recíprocas a las empresas americanas y europeas en aras de evitar una ventaja competitiva ante una normativa en materia de protección de datos menos restrictiva.

Insta, tanto a la Comisión, como a las autoridades competentes de Estados Unidos a que se reúnan para tratar aquellas deficiencias detectadas en el Privacy Shield y que, a día de hoy, no habían sido atajadas y se comprometan a llevar a cabo las acciones necesarias tendentes a asegurar un nivel adecuado de protección a los ciudadanos europeos.

Además, el Parlamento Europeo encarga a su Comisión de Libertades Civiles, Justicia y Asuntos de Interior que continúe controlando la evolución de los asuntos planteados en la presente resolución, así como aquéllos que se pudieran presentar al TJUE.

¿Qué consecuencias se podrían derivar en caso de que se suspendiera y/o derogase el Privacy Shield?

Lo primero que se debe destacar es que el Parlamento Europeo ha emplazado al 1 de septiembre de 2018 a Estados Unidos y a la Comisión para que se cumplan con garantías las previsiones expuestas en esta resolución del Parlamento Europeo y aquellas deficiencias previamente señaladas por las instituciones y organismos de la Unión Europea, no atajadas hasta el momento.

Llegado el día 1 de septiembre sin haberse cumplido los compromisos establecidos por la normativa europea de protección de datos, la Comisión deberá derogar la Decisión de Privacy Shield hasta que se cumpla. Durante este plazo hasta el 1 de septiembre, solicita a la Comisión que suspenda la aplicación del Privacy Shield.

En caso de que se determine la necesidad de derogar el Privacy Shield, los acuerdos entre las entidades de Estados Unidos y la Unión Europea deberán adecuarse a las otras alternativas planteadas por el RGPD para poder efectuar transferencias internacionales, siendo, probablemente, la suscripción de cláusulas contractuales tipo la alternativa más eficaz de adaptarse a esta situación al no requerir de autorización expresa por parte de ninguna autoridad de control.

Estas cláusulas contractuales tipo deberían ser las adoptadas por la Comisión. No obstante, tras la entrada en vigor del RGPD, así como su plena aplicación, la Comisión aún no ha adoptado cláusulas contractuales tipo adaptadas al RGPD, siendo de aplicación las cláusulas contractuales tipo aprobadas por la Decisión 2010/87/UE, de acuerdo con lo expuesto por el articulo 46 apartado quinto del RGPD.

En conclusión, se puede decir que esta resolución de Parlamento Europeo puede suponer un nuevo punto de inflexión en las relaciones entre Estados Unidos y la Unión Europea en materia de protección de datos, dejando a la luz no solamente las deficiencias detectadas en la Decisión de Privacy Shield, sino también en la correcta aplicación e implantación del RGPD por parte de la Unión Europea.