El Tribunal de Justicia de la UE invalida el intercambio de datos bajo el Escudo de Privacidad debido a la vigilancia de EE.UU.

El Escudo de Privacidad ya no es válido

El activista de la privacidad Max Schrems y su organización NOBY (abreviatura de "non of your business") ha presentado una demanda contra la práctica de transferencia de datos de Facebook justo después de la introducción de la GDPR en mayo de 2018.

El Tribunal de Justicia Europeo (CJEU) ha declarado hoy en su sentencia que las leyes de EE.UU. no protegen adecuadamente los datos de los ciudadanos europeos ya que los programas de vigilancia en los EE.UU. no se limitan a lo estrictamente necesario.

El Tribunal señaló "que, con respecto a ciertos programas de vigilancia, esas disposiciones no indican ninguna limitación en el poder que confieren para implementar esos programas, o la existencia de garantías para las personas no estadounidenses potencialmente objetivo".

Así, el Tribunal de Justicia de la UE ha declarado inválido el sistema de intercambio de datos del Escudo de Privacidad entre la UE y los EE.UU.

#ECJ: the Decision on the adequacy of the protection provided by the EU-US Data Protection Shield is invalidated, but @EU_Commission Decision on standard contractual clauses for the transfer of personal data to processors established in third countries is valid #Facebook #Schrems pic.twitter.com/BgxGAvuq3T

— EU Court of Justice (@EUCourtPress) July 16, 2020

La privacidad gana para los europeos

Max Schrems dice que esto es una victoria de la privacidad en general: "Estoy muy contento con el juicio. Parece que la Corte nos ha seguido en todos los aspectos. Esto es un golpe total al DPC irlandés y a Facebook. Está claro que los EE.UU. tendrá que cambiar seriamente sus leyes de vigilancia si las empresas de EE.UU. quieren seguir desempeñando un papel importante en el mercado de la UE".

BREAKING: The EU's Court of Justice has just invalidated the "Privacy Shield" data sharing system between the EU and the US, because of overreaching US surveillance. All details available here: https://t.co/xN4HKhZaBT #PRISM #FISA702 #Privacy #PrivacyShield #SCCs #GDPR #CJEU

— Max Schrems 🇪🇺🇦🇹 (@maxschrems) July 16, 2020

La cuestionable protección de datos en los EE.UU.

Un problema importante que el tribunal de la UE señaló es que los datos de los extranjeros no están protegidos en los EE.UU.. Las protecciones que hay, aunque limitadas, sólo se aplican a los ciudadanos de EE.UU. La NSA puede tener acceso completo a todos los datos de los no ciudadanos de EE.UU. desde Facebook en cualquier momento. Además, los sujetos de datos no estadounidenses no tienen derechos procesables ante los tribunales contra las autoridades de EE.UU., lo que viola la "esencia" de ciertos derechos fundamentales de la UE, según el CJEU.

Según la sentencia, la Comisión Europea no evaluó adecuadamente las leyes de vigilancia de EE.UU. al aprobar el acuerdo de Protección de la Privacidad. En su lugar, la Comisión se inclinó por la presión de EE.UU.

Como consecuencia, la transferencia de los datos bajo el Escudo de Privacidad negaría a los ciudadanos europeos los derechos de protección de datos que se les conceden bajo el GDPR.

"Por todos estos motivos, el Tribunal declara inválida la Decisión 2016/1250", decidió el Tribunal de la UE.

El conflicto de las diferencias en las leyes de protección de datos sólo puede resolverse de dos maneras:

1. Los EE.UU. y la UE no aprobarán un "nuevo" acuerdo de protección de la privacidad, lo que significará que las empresas de Silicon Valley no tendrán un acceso especial al mercado europeo.

2. O bien, los EE.UU. cambian sus leyes de vigilancia de tal manera que los datos de las personas que viven en la Unión Europea están protegidos de una manera que satisface los altos requisitos de la GDPR.

Max Schrems comenta: "La Corte aclaró por segunda vez que hay un choque entre la ley de privacidad de la UE y la ley de vigilancia de los EE.UU.. Como la UE no cambiará sus derechos fundamentales para complacer a la NSA, la única manera de superar este choque es que los EE.UU. introduzcan sólidos derechos de privacidad para todas las personas - incluyendo a los extranjeros. La reforma de la vigilancia se convierte así en crucial para los intereses empresariales de Silicon Valley."

"Esta sentencia no es la causa de un límite a las transferencias de datos, sino la consecuencia de las leyes de vigilancia de EE.UU.". No se puede culpar a la Corte por decir lo inevitable - cuando la mierda golpea el ventilador, no se puede culpar al ventilador."

No hay privilegios de protección de la privacidad

Los flujos de datos hacia los EE.UU. son todavía posibles bajo el artículo 49 del GDPR. Sin embargo, tienen que limitarse a lo absolutamente necesario para cumplir un contrato. Además, si un usuario quiere que sus datos fluyan a los EE.UU., esto también es legal, pero el consentimiento puede ser retirado en cualquier momento por el usuario.

En resumen: Los EE.UU. ya no tienen ningún privilegio cuando se trata de transferir los datos de los ciudadanos de la UE. Las empresas tecnológicas de EE.UU. han perdido su acceso especial al mercado de la UE debido a la vigilancia de EE.UU.

Schrems dice: "La Corte destacó explícitamente que la invalidación del Escudo de Privacidad no creará un 'vacío legal', ya que los flujos de datos crucialmente necesarios todavía pueden llevarse a cabo. Los EE.UU. ahora simplemente se devuelven a un país promedio sin acceso especial a los datos de la UE".

Esta es una victoria histórica para los derechos de privacidad.