Las transferencias internacionales de datos personales hacia Estados Unidos después de la sentencia del “caso Schrems”: análisis desde la perspectiva del derecho europeo
El 6 de octubre de 2015, cuando el Tribunal de Justicia de la Unión Europea (en adelante, TJUE) en la sentencia del “caso Schrems”[1] invalidó la Decisión Puerto Seguro[2] (en inglés, Safe Harbour), entre otros motivos, debido a que el nivel de protección que ofrece el derecho de Estados Unidos no es adecuado según el derecho de la Unión[3], dejó en la ilegalidad[4] a la mayor parte de las transferencias de datos personales que a partir de esa fecha se realicen desde un país miembro del Espacio Económico Europeo (en adelante, EEE) hacia Estados Unidos.
Teniendo en cuenta que Estados Unidos es uno de los destinos más frecuentes de transferencias de datos personales hacia países terceros[5], que los flujos transatlánticos de datos son la “columna vertebral de la economía”[6] de la Unión Europea y que en esta cuestión también están en juego la protección de los datos personales como derecho fundamental de los individuos, la interpretación y aplicación uniforme del derecho de la Unión Europea y la seguridad jurídica, nos preguntamos si las mencionadas transferencias se pueden seguir realizando y, en su caso, bajo qué cobertura legal.
Diremos en primer lugar que para realizar una transferencia de datos desde un país miembro del EEE hacia un país tercero, del cual la Comisión Europea no haya constatado que ofrece un nivel de protección adecuado, es obligatorio solicitar la autorización de la autoridad nacional de protección de datos, lo que sería infructuoso en el caso de Estados Unidos merced al pronunciamiento del TJUE.
Sin embargo, la Directiva 95/46/CE[7] prevé algunos mecanismos para posibilitar las transferencias a países terceros, que podemos dividir en dos grupos. El primer grupo está constituido por excepciones al requisito de autorización, que operan cuando la transferencia[8]:
– Cuente con el consentimiento inequívoco del interesado;
– Sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales tomadas a petición del interesado;
– Sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y un tercero;
– Sea necesaria o legalmente exigida para la salvaguardia de un interés público importante, o el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial;
– Sea necesaria para la protección de un interés vital del interesado;
– Tenga lugar desde un registro público que esté abierto a la consulta del público en general o de toda persona con un interés legítimo, para dar la información objeto de la transferencia y que en ésta se cumplan los requisitos legales para la consulta.
El segundo grupo está constituido por dos mecanismos que posibilitan la obtención de la autorización aún cuando el país de destino no ofrezca un nivel adecuado de protección: las Cláusulas Contractuales Tipo (CCT), si las transferencias se realizan en el marco de un contrato, o las Normas Corporativas Vinculantes (CBR, por sus siglas en inglés), si se realizan entre entidades de un mismo grupo empresarial. Mas cabe aclarar que la adopción de cualquiera de estos dos mecanismos no otorga una cobertura legal absoluta a la transferencia, ya que como el Grupo de Trabajo del Artículo 29 (en adelante, GTA29) ha manifestado[9], las autoridades nacionales de protección de datos tienen competencia para investigar los casos particulares, especialmente sobre la base de una denuncia, y para adoptar las medidas necesarias para lograr la protección de los individuos. En otras palabras, pueden constatar la ilicitud e incluso impedir una o más transferencias a pesar de la cobertura de CCT o CBR[10].
La conclusión no puede ser otra que la ya adelantada: las transferencias de datos personales desde países miembros hacia Estados Unidos que no cuenten con la cobertura de ninguno de los mecanismos indicados son ilegales. Y las que estén amparadas por CCT o BCR son relativamente legales, al menos hasta que entre en vigor el anunciado acuerdo entre la Unión Europea y los Estados Unidos, el “Privacy Shield”[11], cuyo proceso de firma, ratificación y entrada en vigor según las normas internacionales no finalizará hasta dentro de algunos meses.
Escrito por Carolina Marcela Reyes, Abogada en Adarve Abogados
[1] Caso C-362/14 “Maximilian Schrems v Data Protection Commissioner”, (EU:C:2015:650).
[2] Decisión de la Comisión de 26 de julio de 2000, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América.
[3] Apartados 90 a 95 de la Sentencia, especialmente los 94 y 95.
[4] Lo afirma el Grupo de Trabajo del Art. 29 en su declaración de 16 de octubre de 2015.
[5] En España es el país de destino más frecuente (Cfr. Memoria de la Agencia Española de Protección de Datos, 2014, pág. 145).
[6] Así lo expresó la Comisaria Vera Jourová en la conferencia de prensa de 6 de octubre de 2015, realizada junto con el Vicepresidente Primero Frans Timmermans, sobre la Sentencia del TJUE en el Caso Schrems.
[7] Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos
[8] El 6 de noviembre de 2015 la Comisión emitió una comunicación dirigida al Consejo, en la cual analiza estos casos en los que no es necesario solicitar autorización para transferir datos personales hacia un país tercero. En derecho español, el art. 34 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal contiene algunas otras excepciones.
[9] Declaración de fecha 16 de octubre de 2015, sobre el tema que estamos tratando.
[10] Aunque en su declaración de 16 de octubre de 2015, el GTA29 parece dar a entender que las autoridades nacionales no actuarían de oficio para iniciar investigaciones sobre las transferencias objeto de este artículo (al menos durante el plazo otorgado para regularizar las que hasta ese momento se amparaban en la Decisión Puerto Seguro), lo que consideramos apropiado dada la importancia de los intereses en juego, que ya hemos mencionado, y la legitimidad originaria de estas transferencias.
[11] O Escudo de Intimidad, tal como lo denomina la Comisión Europea en su nota de prensa de 2 de febrero de 2016, a través de la cual anunció la conclusión del acuerdo.
C-362/14, escudo de intimidad, EU, privacy shield, puerto seguro, safe harbour, Schrems