El Tribunal de Justicia de la Unión Europea (TJUE) invalidó este jueves el acuerdo de protección de datos personales entre la UE y Estados Unidos por el temor a injerencias en los derechos fundamentales de las personas cuyos datos se transfieren a ese país.
En una respuesta a una cuestión prejudicial, la corte con sede en Luxemburgo invalidó el llamado «escudo de protección» de datos entre la UE y Estados Unidos, pues considera que «la primacía de las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense» posibilitan dichas injerencias.
El llamado «escudo de protección» es un mecanismo, según el cual, los datos provenientes de la UE y tratados en Estados Unidos tienen que estar sometidos a un alto nivel de protección, es decir, que la empresa en cuestión los procese con un robusto sistema de normas y salvaguardias en materia de protección de datos.
Esto implica que la empresa esté dada de alta en ese sistema en el Departamento de Comercio de Estados Unidos y respete ciertos compromisos, como informar del derecho al dueño de los datos si pretende transferirlos a terceras partes y los motivos o la obligación de no utilizar nunca los datos con un fin distinto al original, entre otras cláusulas.
Según el Tribunal de Justicia, las limitaciones de la protección de datos personales de la normativa interna de EEUU sobre el acceso y la utilización de estos por las autoridades estadounidenses «no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas (...) en la medida en que los programas de vigilancia basados en la mencionada normativa no se limitan a lo estrictamente necesario».
Entre otros puntos, el Tribunal de Justicia añade que, si bien la normativa «establece exigencias que las autoridades estadounidenses deben respetar al aplicar los programas de vigilancia de que se trata, no confiere a los interesados derechos exigibles a las autoridades estadounidenses ante los tribunales».
En cambio, el TJUE respaldó el sistema general de privacidad de datos europeos con terceros países a través del Reglamento General de Protección de Datos (RGPD) pues entiende que debe interpretarse en el sentido de que las personas cuyos datos personales se transfieren a un país tercero deben gozar de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión.
La evaluación debe de tener en cuenta tanto las condiciones contractuales de la firma en cuestión como el acceso de las autoridades públicas a esos datos, en función de la situación legal general en el país en el que está radicada la empresa, agrega la corte.
La decisión del tribunal, con jurisdicción en el conjunto de la Unión Europea, es una respuesta al Tribunal Supremo irlandés que parte de la denuncia de un activista por la privacidad de los datos de la red social estadounidense Facebook interpuesta en Irlanda por el nacional austríaco Max Schrems.
La multinacional de Mark Zuckerberg tiene en Irlanda su sede europea (Facebook Irlanda) y desde allí se transfieren los datos de la empresa hasta Estados Unidos.
Schrems solicitó a las autoridades irlandesas que prohibieran ese flujo de sus datos personales, al considerar que la normativa estadounidense no ofrecía suficiente protección ante el acceso a estos de las autoridades de ese país.