El CJEU conoce del caso de las transferencias de datos entre la UE y los EE.UU. (cláusulas contractuales estándar y protección de la intimidad)

Tue, 17/09/2019 - 09:40
Thumbnail

Debido a una serie de peticiones, hemos resumido los hechos clave del caso ante el Tribunal de Justicia de la Unión Europea (TJUE) sobre las transferencias de datos entre la UE y Estados Unidos y la vigilancia masiva por parte del gobierno estadounidense. El caso se verá mañana (9:00, martes 9 de julio) ante la Gran Sala del Tribunal de Justicia.

Malentendidos comunes sobre el caso

  • ¿Se trata de todas las transferencias de datos entre la UE y EE.UU.? No, sólo se trata de las transferencias a EE.UU. que son objeto de "vigilancia masiva". En la mayoría de las situaciones, hay formas sencillas de evitar la vigilancia masiva y muchos sectores industriales (por ejemplo, los bancos, las aerolíneas, el comercio y la banca) no están sujetos a ninguna ley de vigilancia masiva. La denuncia del Sr. Schrems sólo se dirige a Facebook, que se menciona en el documento de Snowden como colaborador de la NSA en la vigilancia masiva en el marco de "PRISM".
  • ¿Se refiere este caso a todas las transferencias internacionales de datos de la UE? De las partes del procedimiento, sólo el Comisario de Protección de Datos irlandés considera que las "cláusulas contractuales tipo" (CCT) no son válidas. El Sr. Schrems opina que (si se aplican correctamente y son ejecutadas por el CPD) las CEC proporcionan una solución adecuada. Ninguna otra parte del procedimiento irlandés, aparte del CPD, planteó cuestiones de validez.
  • ¿Son problemáticas todas las transferencias de datos a Estados Unidos? No. Las leyes de vigilancia como la FISA 702 sólo se aplican a los "proveedores de servicios de comunicaciones electrónicas". La legislación europea también distingue entre las transferencias necesarias (escuchar en las excepciones) y la "externalización" innecesaria del tratamiento. En conjunto, el problema surge principalmente con los proveedores de servicios de comunicación y en la nube que entran en el ámbito de las leyes de vigilancia (por ejemplo, Facebook, Google, Apple, Amazon Web Services), pero no con ningún otro sector de la industria ni con las transferencias de datos "necesarias" (por ejemplo, correos electrónicos, reservas y similares).
  • ¿Afirma el Sr. Schrems la invalidación de los CEC? No. El Sr. Schrems argumenta que los CEC permiten al Comisario de Protección de Datos irlandés detener las transferencias de datos individuales, como la de Facebook. Como hay una solución obvia para el problema, no hay cuestión de validez en su opinión.
  • ¿Está el "Escudo de Privacidad" sobre la mesa? Sí. Facebook se ha basado en la evaluación de la Comisión Europea sobre la legislación estadounidense en el "Escudo de Privacidad" y argumenta que esta evaluación debería aplicarse también a las "Cláusulas Contractuales Tipo". El Sr. Schrems, a su vez, sostiene que esta evaluación de la Comisión es errónea. Como el Escudo de la Privacidad se basa en una falsa interpretación de la legislación estadounidense, debería ser invalidado.
  • ¿Se podrá seguir enviando correos electrónicos a Estados Unidos o reservando un vuelo? Sí. El artículo 49 del RGPD prevé "excepciones" que permiten todas las transferencias de datos si son, por ejemplo, "necesarias para celebrar un contrato" o si el usuario ha dado su consentimiento explícito. Por ejemplo: Es necesario enviar un correo electrónico a Estados Unidos si el destinatario está allí, pero no es necesario enviar correos electrónicos a través de Estados Unidos si el remitente y el destinatario están en Europa.
  • ¿Qué tipo de transferencias pueden tener que parar entonces? Básicamente, la "externalización" del tratamiento de datos que también podría hacerse en Europa o en otros países que ofrezcan normas adecuadas de protección de datos.

Historia del caso

El caso se centra en una denuncia del abogado de privacidad Max Schrems contra Facebook en 2013(enlace a la denuncia). Hace más de seis años, Edward Snowden reveló que Facebook permite a los servicios de inteligencia estadounidenses acceder a los datos personales de los europeos en el marco de programas de vigilancia como "PRISM" (ver Wikipedia). La denuncia pretende detener las transferencias de datos de Facebook entre la UE y Estados Unidos. Hasta ahora, el CPD irlandés no ha tomado ninguna medida concreta al respecto.

Primer rechazo y sentencia del TJUE sobre Safe Harbor

El caso fue rechazado por primera vez por el Comisionado de Protección de Datos (CPD) irlandés en 2013, y luego fue objeto de una revisión judicial en Irlanda y una referencia al Tribunal de Justicia de la Unión Europea (TJUE). El TJUE dictaminó en 2015 que el llamado acuerdo "Safe Harbor" que permitía las transferencias de datos entre la UE y Estados Unidos no era válido(enlace a la sentencia en el caso C-362/14), y que el CPD irlandés tenía que investigar el caso, algo que inicialmente se negó a hacer.

Información sobre el uso de "cláusulas contractuales estándar"

Sorprendentemente, el CPD informó a finales de 2015 al Sr. Schrems de que, en realidad, Facebook nunca se había basado en el ahora invalidado acuerdo "Safe Harbor", sino que ya en 2013 se basó en las "Cláusulas Contractuales Estándar" (otro mecanismo para transferir datos de la UE a EEUU). El CPD no había revelado este hecho y, en cambio, sugirió que Safe Harbor les bloqueaba para seguir adelante con el caso. Este "desvío" hizo que la primera sentencia del TJUE fuera irrelevante para el caso.

Segunda investigación y demanda

El Sr. Schrems adaptó su denuncia a las transferencias que se realizaban en virtud de las "cláusulas contractuales tipo" y exigió igualmente el fin de las transferencias de datos a Facebook USA, basándose en el argumento de que ponían los datos a disposición de la NSA. La investigación del CPD duró solo un par de meses, desde diciembre de 2015 hasta la primavera de 2016. En lugar de decidir sobre la denuncia, el DPC presentó una demanda contra Facebook y el Sr. Schrems (ambos son ahora demandados) ante el Tribunal Superior de Irlanda en 2016, con el fin de remitir otras cuestiones al TJUE. Tras más de seis semanas de vistas celebradas principalmente en 2017, el Alto Tribunal irlandés consideró que el gobierno estadounidense realiza un "tratamiento masivo" de datos personales europeos y remitió once cuestiones al TJUE por segunda vez(enlace a la sentencia) en 2018.

Próximos pasos

El TJUE ha incluido el caso en la lista C-311/18 y lo verá por segunda vez el 9 de julio de 2019, unos seis años desde la presentación de la denuncia original. Se espera una sentencia antes de finales de año. Tras la sentencia del TJUE, el CPD tendría que decidir finalmente sobre la denuncia por primera vez. La decisión podría ser de nuevo objeto de recurso por parte de Facebook o del Sr. Schrems.

Argumentos principales de las partes

  • El Comisario de Protección de Datos irlandés se une al Sr. Schrems en su opinión de que las leyes de vigilancia de EE.UU. violan los derechos fundamentales a la intimidad, la protección de datos y la reparación en virtud de la legislación europea. Sin embargo, la CPD dice que no tiene competencias para resolver la cuestión. Dado que el mecanismo de transferencia de datos que utiliza Facebook (Cláusulas Contractuales Estándar) no prevé tal situación, las propias cláusulas deben ser invalidadas. Esto significaría que habría que detener las transferencias de datos a cualquier país no perteneciente a la UE en virtud de este instrumento.
  • Facebook considera que la legislación estadounidense no va más allá de lo que es legal según la legislación de la UE. Facebook también cuestiona que la UE tenga alguna jurisdicción en casos de "seguridad nacional". En resumen, Facebook no ve ningún problema en seguir transfiriendo datos a Estados Unidos en virtud de leyes de vigilancia masiva como la FISA. Facebook también se basa en la evaluación de la Comisión Europea de la legislación estadounidense en la llamada decisión del "Escudo de Privacidad", que dice que las leyes de vigilancia de Estados Unidos cumplen con los requisitos de la UE.
  • Schrems coincide con el CPD en el problema, pero propone una solución más comedida. La ley (artículo 4 de las CEC) permite al CPD detener las transferencias de datos individuales (como las de Facebook). El Sr. Schrems dice que el CPD irlandés tiene la obligación de actuar, en lugar de devolver el caso al TJUE. En cuanto a la confianza de Facebook en el "Escudo de la Privacidad", el Sr. Schrems opina que la Decisión sobre el Escudo de la Privacidad de la Comisión Europea no describe adecuadamente las leyes de vigilancia de EE.UU., no es ni remotamente capaz de proporcionar una protección adecuada de la privacidad, y por lo tanto debe ser invalidada.
  • Comisión Europea: Se espera que la Comisión Europea defienda sus dos decisiones: Las Cláusulas Contractuales Tipo y el Escudo de Privacidad. Probablemente se pondrá del lado de los Estados Unidos y de Facebook en la opinión de que no hay violación de los derechos fundamentales en los Estados Unidos, pero también reconocerá que el CPD tiene el poder de resolver la cuestión por sí mismo si el TJUE ve una violación de los derechos fundamentales en los Estados Unidos.

Declaración del Sr. Schrems

Max Schrems, presidente de noyb: "Proponemos una solución comedida: El CPD irlandés debe limitarse a aplicar las normas correctamente, en lugar de devolver el caso a Luxemburgo una y otra vez. Este caso lleva pendiente seis años. A lo largo de estos seis años, el CPD ha decidido en apenas un 2-3% de los casos que se le han presentado. No tenemos un problema con las 'Cláusulas Contractuales Estándar', tenemos un problema con la aplicación"

noyb

noyb es una nueva organización europea sin ánimo de lucro que vela por el derecho a la intimidad a través de los litigios. Apoya este caso y cuenta con el apoyo de más de 3.500 miembros donantes.

Cifras clave

Las partes ante el tribunal son el Comisionado de Protección de Datos de Irlanda, Facebook Ireland Ltd, y Max Schrems. El tribunal irlandés también ha permitido que se sumen al caso cuatro "amicus curiae" (ayudantes neutrales del tribunal), a saber, el Gobierno de EE.UU., el Centro de Información sobre Privacidad Electrónica (epic.org) y dos organizaciones de presión de la industria.

Todos los Estados miembros de la UE, la Comisión Europea, el Parlamento Europeo y la Junta Europea de Protección de Datos (JEPD) pudieron presentar alegaciones.

Hazte socio

Nuestro trabajo es posible gracias a los más de 3.100 miembros que nos apoyan