Chile: el Tribunal de Justicia de la Unión Europea invalida el “Privacy Shield” (Escudo de Privacidad) con Estados Unidos.

27 julio, 2020

¿Qué es el Escudo de Privacidad?

El pasado 16 de julio, el Tribunal de Justicia de la Unión Europea (TJUE) declaró como inválida la Decisión 2016/1250, por la cual en el año 2016 se estableció el denominado Escudo de Privacidad Unión Europea-EE. UU., cuya finalidad era garantizar un nivel adecuado de protección de los datos personales transferidos desde la Unión a entidades establecidas en los Estados Unidos. La Decisión se adoptó a los efectos de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en particular a su artículo 24 apartado 1, y exigía a las entidades norteamericanas figurar en la llamada «lista del Escudo de la privacidad» para poder acogerse a dicha Decisión.

Entrada en vigor del RGPD

Con la entrada en vigor en 2018 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, (relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD)) y por el cual que se derogó la Directiva 95/46/CE, la transferencia de datos personales pasó a estar regulado en sus artículos 44 y siguientes, estableciéndose como principio general de las transferencias el siguientes: Sólo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado. Así, la normativa europea volvió a insistir en que una transferencia de datos a un tercer país u organización internacional sólo podrá realizarse en caso de que se garantice un nivel adecuado de protección.

El RGPD determina los casos en que una transferencia de datos puede llevarse a cabo:

Cuandola Comisión, de acuerdo a ciertos elementos también regulados, haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país o la organización internacional de que se trate, garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica (artículo 45 RGPD).

A falta de una decisión de la Comisión, cuando el responsable o el encargado del tratamientohubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas (artículo 46 RGPD). Las garantías adecuadas podrán ser aportadas, entre otras, mediante un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos; normas corporativas vinculantes; cláusulas tipo de protección de datos adoptadas por la Comisión; cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión; un código de conducta; o por un mecanismo de certificación.

En ausencia de uno de los dos casos descritos anteriormente, una transferencia de datos personales a un tercer país u organización internacionalsólo podrá realizarse si se cumple alguna de las condiciones siguientes (artículo 49 RGPD):

Que el interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias;
Que la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado;
Que la transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica;
Que la transferencia sea necesaria por razones importantes de interés público;
Quela transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones;
Que la transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento;
Que la transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.

Sentencia del Tribunal de Justicia de 16 de julio de 2020

El pronunciamiento del TJUE fue resultado de una cuestión prejudicial planteada por el Tribunal Superior de Irlanda (High Court) para que decidiera sobre la validez tanto de la Decisión 2016/1250 antes comentada, como de la Decisión 2010/87, la cual establece las cláusulas contractuales tipo que ofrecen las garantías adecuadas a la transferencia de datos personales con respecto a la Directiva 95/46/CE. Además la cuestión prejudicial planteó que el TJUE se pronunciara sobre lo siguiente:

la aplicabilidad del RGPD a las transferencias de datos personales con base en las cláusulas tipo de protección recogidas en la Decisión 2010/87;
el nivel de protección exigido en el RGPD en el marco de una transferencia de datos de ese tipo;
las obligaciones que incumben a las autoridades de control de cada país en el mismo ámbito.

La cuestión planteada por el tribunal irlandés, tuvo su origen en una reclamación que un ciudadano austríaco, Maximiliam Schrems, interpuso ante la autoridad irlandesa de control, en la que pedía que se prohibiera la transferencia de sus datos personales desde la sede de Facebook en ese país hasta Facebook en Estados Unidos, ya que consideraba que no se garantizaba la seguridad de dichos datos. Esta reclamación fue primero desestimada bajo el argumento de la aplicación del Escudo de Seguridad garantizaba la seguridad de sus datos en EE. UU. Más tarde, producto a una petición de la autoridad de control irlandesa a Maximiliam Schrems para que modificase su reclamación, la misma autoridad pidió a la High Court de ese país que emitiera la cuestión prejudicial al TJUE que fue origen de la Sentencia aquí analizada, ya que la validez o no del Escudo de Seguridad era la clave para que pudiera prosperar la solicitud del ciudadano austríaco.

En su sentencia, el TJUE declara que la Decisión 2016/1250 es inválida. ¿Por qué? El Tribunal considera que para que el RGPD aplique a una transferencia internacional de datos esta debe ser realizada con fines comerciales por un operador económico establecido en un Estado miembro con destino a otro operador económico establecido en un país tercero, e incluso también si, en el transcurso de dicha transferencia o tras ella, esos datos pueden ser tratados con fines de seguridad nacional, defensa y seguridad del Estado por las autoridades del tercer país en cuestión. De ser así, es necesario cumplir con lo estipulado en el RGPD, que básicamente consiste en que el tercer país debe garantizar un nivel de protección de los datos personales sustancialmente equivalente al establecido por la normativa europea. En este sentido, el Tribunal de Justicia precisa que la evaluación de ese nivel de protección debe tener en cuenta tanto las estipulaciones contractuales acordadas entre el exportador de datos establecido en la Unión y el destinatario de la transferencia establecido en el tercer país como, por lo que atañe a un eventual acceso de las autoridades públicas de ese tercer país a los datos personales de ese modo transferidos, los elementos pertinentes del sistema jurídico de dicho país.

A la vista de lo anterior, el TJUE determina que la Decisión 2016/1250 (Escudo de Privacidad) no garantiza que en el tercer país se cuente con el mismo nivel de seguridad de los datos que en la Unión Europea, por lo siguiente:

La Decisión otorga primacía a las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense, por lo que se hace posible que existan injerencias de la autoridad norteamericana en los derechos fundamentales de las personas cuyos datos se han transferido a ese país. El TJUE argumenta que las limitaciones de la protección de datos relativas al acceso y la utilización que se derivan de la normativa de EE. UU. no cumplen con garantizar el mismo nivel de protección del RGPD, sobre todo porque los programas de vigilancia allí establecidos no están limitados a lo estrictamente necesario (principio de proporcionalidad)

En lo referido a la exigencia de tutela judicial, el TJUE estima que el mecanismo del Defensor del Pueblo (Ombudsperson mechanism) establecido en la Decisión 2016/1250 no proporciona a las personas interesadas ninguna vía de recurso ante un órgano que ofrezca garantías sustancialmente equivalentes a las exigidas por la normativa europea.

Por el contrario y en lo relativo a la Decisión 2010/87, el TJUE establece que la misma es válida. ¿Por qué?El Tribunal considera que las clausulas contractuales tipo de protección de datos recogidas en la citada Decisión son válidas no por el hecho de que vinculen o no a la autoridad del tercer país, sino porque esta norma establece mecanismos efectivos que permiten garantizar el nivel de protección de los datos exigido por la legislación europea. Esto, porque, en la práctica, las transferencias de datos basadas en estas cláusulas contractuales tipo podrán verse suspendidas o prohibidas en caso de violación o de imposibilidad de cumplimiento de las mismas. El TJUE constata que la Decisión obliga tanto al exportador como al destinatario de los datos a comprobar si se garantiza o no el mismo nivel de protección y a informar al interesado si es incapaz de cumplir con las cláusulas tipo de protección para luego suspender la transferencia, o bien rescindir el contrato que regula la misma.

¿Qué ocurrirá a partir de ahora?

Una vez que la justicia de la Unión Europea ha declarado el Escudo de Privacidad de 2016 con Estados Unidos como inválido, las empresas norteamericanas que se acogían al mismo para transferir datos desde Europa, aproximadamente unas cinco mil trescientas, entre ellas Apple, Google o Intel, deberán revisar sus políticas internas de tratamiento de datos personales y adaptarse a la normativa Europea si quieren seguir realizando transferencias de datos desde la Unión.

La sentencia obligará también a que las autoridades estadounidenses tomen medidas para que las compañías de ese país que realicen transferencias de datos desde Europa no se vean afectadas por esta decisión, bien adaptando su legislación interna o bien negociando con la Unión Europea nuevos acuerdos, medidas o instrumentos. Hay que tener en cuenta que gran parte de la actividad comercial de muchas empresas se basa en el uso y tratamiento de datos personales.

¿La Sentencia del TJUE afecta a Chile?

Si bien es cierto que la Sentencia del pasado 16 de julio afecta únicamente a la validez del Escudo de Privacidad que aplicaba entre Europa y Estados Unidos, es importante tener en cuenta que se establecen importantes precedentes en relación a la transferencia de datos desde la Unión Europea a un tercer país, entre los que podría estar Chile.

La premisa de la que hay que partir, es que el tercer país destinatario de los datos personales garantice el mismo nivel de protección que establece la normativa europea. Como explicamos anteriormente, el RGPD permite una transferencia de datos cuando la Comisión decida que el tercer país garantiza un nivel de protección adecuado, cuando el responsable o el encargado del tratamiento hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas, o cuando se cumplen ciertas condiciones específicas (por ejemplo, que el interesado haya dado explícitamente su consentimiento a la transferencia, o que la transferencia sea necesaria para la ejecución de un contrato).

Entonces, debemos concluir que, para que las empresas chilenas puedan transferir datos desde Europa, es necesario que tanto la normativa chilena de protección de datos, cuyo proyecto de ley se encuentra aún en trámite, como sus propios mecanismos e instrumentos internos de tratamiento, puedan garantizar un nivel de protección equivalente al que existe en la Unión Europea, situación que a la fecha no se da.

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-necessary	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-performance	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
PHPSESSID		Esta cookie es nativa de las aplicaciones PHP. La cookie se utiliza para almacenar e identificar el ID de sesión único de un usuario con el propósito de administrar la sesión del usuario en el sitio web. La cookie es una cookie de sesión y se borra cuando todas las ventanas del navegador se cierran.
viewed_cookie_policy	11 months	La cookie es establecida por el plugin de Consentimiento de la Cookie de RGPD y es usada para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.

Cookie	Tipo	Duración	Descripción
__stid	0	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	0	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_ls	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_svref	0	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_ga	0	2 years	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones, campañas y para hacer un seguimiento del uso del sitio para el informe analítico del mismo. Las cookies almacenan información de forma anónima y asignan un número generado al azar para identificar a los visitantes únicos.
_gat	0	1 minute	Estas cookies son instaladas por Google Universal Analytics para reducir la tasa de solicitudes y limitar la recolección de datos en sitios de alto tráfico.
_gid	0	1 day	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información de cómo los visitantes utilizan un sitio web y ayuda en la creación de un informe analítico de cómo el sitio web está funcionando. Los datos recogidos incluyen el número de visitantes, la fuente de donde vienen y las páginas visitadas de forma anónima.
ad-id	1	6 months	Proporcionado por amazon-adsystem.com para el seguimiento de las acciones de los usuarios en otros sitios web para proporcionar contenido específico
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0
audience	0	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
demdex	0	5 months	Esta cookie se establece bajo el dominio demdex.net y es utilizada por Adobe Audience Manager para ayudar a identificar un visitante único a través de los dominios.
dextp	0	5 months	Cookie establecida por el gerente de audiencias de Adobe. Las cookies almacenan un nombre o ID de proveedor de datos y una marca de tiempo UTC de UNIX. El propósito de la cookie es registrar la última vez que hizo una llamada de sincronización de datos.
GPS	0	30 minutes	Esta cookie es establecida por Youtube y registra una identificación única para rastrear a los usuarios en base a su ubicación geográfica
idsync-qs	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-uuid	0
lsdStats	0	3 months
pbw	0	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	0	1 year	Cookie para recoger información con fines publicitarios
pid	0	1 year	Ayuda a los usuarios a identificarles y les permite utilizar funciones relacionadas con Twitter de la página web que están visitando.
pxcelPage_c010	0	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_cc	0		Esta cookie es establecida por Adobe Analytics. El propósito de la cookie es determinar si las cookies están habilitadas o no en un navegador.
s_fid	0	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	0	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_nr	0	4 weeks	Esta cookie es establecida por Adobe Analytics con el propósito de almacenar las fechas en que los usuarios visitan el sitio web y si el usuario es un visitante nuevo o recurrente.
s_vnum	0	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	0	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookie	0		Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	0	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	0	2 months
UIDR	0	1 year	Esta cookie se establece bu scorecardresearch.com. La cookie se utiliza para rastrear la actividad de los usuarios a través de Internet en el navegador, como la marca de tiempo de la visita, la dirección IP y las páginas web visitadas más recientemente. y puede que los datos se envíen a terceros para su análisis e informe, con el fin de ayudar a sus clientes a comprender mejor las preferencias de los usuarios.
YSC	1		Estas cookies son establecidas por Youtube y se usan para rastrear las vistas de los videos incrustados.
zc	0	9 years

Cookie	Duración	Descripción
__stid	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb_svref	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg
audience	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-qs		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
lsdStats	3 months
pbw	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	1 year	Cookie para recoger información con fines publicitarios
pxcelPage_c010	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_fid	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_vnum	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	2 months
zc	9 years

Sala de Prensa

¿Qué es el Escudo de Privacidad?

Entrada en vigor del RGPD

Sentencia del Tribunal de Justicia de 16 de julio de 2020

¿Qué ocurrirá a partir de ahora?

¿La Sentencia del TJUE afecta a Chile?