El TJUE anula el Puerto Seguro (“Privacy Shield”) con EE. UU. por falta de garantías adecuadas para la protección de datos y cuestiona la validez de las cláusulas contractuales tipo.
privacy

La Sentencia del Tribunal de Justicia de la Unión Europea (TJUE) con fecha 16 de julio de 2020, caso C‑311/18, estima que el Derecho de la Unión y, en particular, el Reglamento General de Protección de Datos (“RGPD”), es de aplicación “una transferencia de datos personales realizada con fines comerciales por un operador económico establecido en un Estado miembro a otro operador económico establecido en un país tercero, a pesar del hecho de que, en el transcurso de dicha transferencia o tras ella, esos datos puedan ser tratados por las autoridades del país tercero en cuestión con fines de seguridad nacional, defensa y seguridad del Estado.”

En este sentido, el Tribunal de Justicia declara que, a menos que exista una decisión de adecuación válidamente adoptada por la Comisión Europea, las autoridades de control competentes en materia de protección de datos tienen obligación de suspender o prohibir una transferencia de datos personales a un país tercero cuando consideren que, teniendo en cuenta la especial casuísticas relacionadas con dichas transferencias,  las denominadas Cláusulas Contractuales Tipo (“Standard Contractual Clauses”) de protección de datos no se respetan o no pueden respetarse en ese país y que la protección de los datos afectados por dicha transferencia, demandada por el Derecho de la Unión, no puede garantizarse  adecuadamente por otros medios, si el propio exportador establecido en la Unión no ha suspendido o ha puesto fin a esa transferencia.

Además, la sentencia entra a examinar la validez de la Decisión 2010/87, de 5 de febrero de 2010, relativa a las denominadas cláusulas contractuales tipo para la transferencia internacionales de datos a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo. En este sentido, el Tribunal reafirma la validez de las mismas entendiendo que, debido a su carácter contractual, las cláusulas tipo de protección de datos recogidas en ella no vinculen a las autoridades del país tercero al que podrían transferirse los datos; eso sí, resalta que  esta validez va a  depender  de si la referida Decisión incluye mecanismos efectivos que permitan garantizar en la práctica que el nivel de protección exigido por el Derecho de la Unión sea respetado y que las transferencias internacionales de datos personales con base a la mencionadas cláusulas sean suspendidas o prohibidas en caso de que  estas se incumplan o de que, en su caso, resulte imposible su cumplimiento. Más adelante, el TJUE indica que la mencionada Decisión 2010/87 sí que establece los mencionados mecanismos garantistas ya que establece una obligación al exportador de los datos y al destinatario de la transferencia internacional de los mismos a comprobar con carácter previo el  respeto y cumplimiento de los mencionados niveles de protección adecuados.

Por último, la TJUE entra a examinar la validez de la Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad (el famoso “Privacy Shield”) entre la Unión Europea y Estados Unidos  en base a lo dispuesto en la Carta de los Derechos Fundamentales de la Unión Europea, la cual garantizan el respeto de la vida privada y familiar, la protección de datos de carácter personal y el derecho a la tutela judicial efectiva., declarando su invalidez en base principalmente a los siguientes criterios:

-El Tribunal señala que la referida Decisión reconoce, al igual que sucede con la Decisión de puerto seguro, la primacía de las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense, posibilitando de este modo injerencias en los derechos fundamentales de las personas titulares cuyos datos personales se transfieren a ese país tercero. Por tanto, las limitaciones de la protección de datos personales que se derivan de la normativa americana relativa al acceso y la utilización por sus autoridades de los datos transferidos desde la Unión Europea a este país, no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas, en el Derecho de la Unión, por el principio de proporcionalidad, en la medida en que los programas de vigilancia basados en la mencionada normativa no se limitan a lo estrictamente necesario.

– El Tribunal declara que el mecanismo del Defensor del Pueblo contemplado en la decisión del Puerto Seguro no proporciona a los titulares de los datos ninguna vía de recurso ante un órgano que ofrezca garantías sustancialmente equivalentes a las exigidas en el Derecho de la Unión frente a las autoridades y servicios de inteligencia estadounidenses. Por todas esas razones, el Tribunal de Justicia declara inválida la señalada Decisión de Ejecución (UE) 2016/1250.

Acceso al recurso: http://curia.europa.eu/juris/document/document.jsf;jsessionid=108ED32D3B8B49A25FAFA691DB5E3816?text=&docid=228677&pageIndex=0&doclang=ES&mode=req&dir=&occ=first&part=1&cid=9715798

Otras entradas del blog

img-contratacion
Las medidas aplicables en la 'nueva normalidad' publicadas en el Real Decreto-ley 21/2020, de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el COVID-19.
accountant-1238598_640
La moratoria de la deuda hipotecaria se extiende al colectivo de autónomos
autonomo
Claves para la prestación por desempleo para trabajadores autónomos tras la entrada en vigor del real decreto-ley 8/2020 para trabajadores por cuenta propia, con independencia de su forma jurídica.
subvencion-teletrabajo
Resumen RD 28/2020 de 22 de septiembre, de trabajo a distancia-teletrabajo y linea de ayuda para sufragar los gastos para la implementación.
carl-nenzen-loven-igKjieyjcko-unsplash
La AEPD multa con 25.000 euros a Glovo por no tener designado un Delegado de Protección de Datos (DPO)
trabajadores-autonomos
Medidas de apoyo a los trabajadores autónomos - NOVEDADES RDL 30/2020
law-firm-16
La aplicación de los ERTEs en la fase de desescalada tras la publicación de la Nota informativa 23/2020 de la Dirección General de Trabajo
SER-Empresarios-Clientes
Condena a las webs de enlaces
stockvault-crowd-at-a-music-concert132431
¿Vuelco a la propiedad intelectual en la industria del entretenimiento para adultos?
teletrabajo
Los plazos procesales y administrativos en el estado de alarma