Chile Privacy Shield

¿Qué es el Escudo de Privacidad?

El pasado 16 de julio, el Tribunal de Justicia de la Unión Europea (TJUE) declaró como inválida la Decisión 2016/1250, por la cual en el año 2016 se estableció el denominado Escudo de Privacidad Unión Europea-EE. UU., cuya  finalidad era garantizar un nivel adecuado de protección de los datos personales transferidos desde la Unión a entidades establecidas en los Estados Unidos. La Decisión se adoptó a los efectos de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en particular a su artículo 24 apartado 1, y exigía a las entidades norteamericanas figurar en la llamada «lista del Escudo de la privacidad» para poder acogerse a dicha Decisión.

Entrada en vigor del RGPD

Con la entrada en vigor en 2018 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, (relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD)) y por el cual que se derogó la Directiva 95/46/CE, la transferencia de datos personales pasó a estar regulado  en sus  artículos  44 y siguientes, estableciéndose como principio general de las transferencias el siguientes: Sólo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado. Así, la normativa europea volvió a insistir en que una transferencia de datos a un tercer país u organización internacional sólo podrá realizarse en caso de que se garantice un nivel adecuado de protección.

El RGPD determina los casos en que una transferencia de datos puede llevarse a cabo:

  • Cuandola Comisión, de acuerdo a ciertos elementos también regulados, haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país o la organización internacional de que se trate, garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica (artículo 45 RGPD).

 

  • A falta de una decisión de la Comisión, cuando el responsable o el encargado del tratamientohubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas (artículo 46 RGPD). Las garantías adecuadas podrán ser aportadas, entre otras, mediante un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos; normas corporativas vinculantes; cláusulas tipo de protección de datos adoptadas por la Comisión; cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión; un código de conducta; o por un mecanismo de certificación.

 

  • En ausencia de uno de los dos casos descritos anteriormente, una transferencia de datos personales a un tercer país u organización internacionalsólo podrá realizarse si se cumple alguna de las condiciones siguientes (artículo 49 RGPD):
  1. Que el interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias;
  2. Que la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado;
  3. Que la transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica;
  4. Que la transferencia sea necesaria por razones importantes de interés público;
  5. Quela transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones;
  6. Que la transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento;
  7. Que la transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.

Sentencia del Tribunal de Justicia de 16 de julio de 2020

El pronunciamiento del TJUE fue resultado de una cuestión prejudicial planteada por el Tribunal Superior de Irlanda (High Court) para que decidiera sobre la validez tanto de la Decisión 2016/1250 antes comentada, como de la Decisión 2010/87, la cual establece las cláusulas contractuales tipo que ofrecen las garantías adecuadas a la transferencia de datos personales con respecto a la Directiva 95/46/CE. Además la cuestión prejudicial planteó que el TJUE se pronunciara sobre lo siguiente:

  1. la aplicabilidad del RGPD a las transferencias de datos personales con base en las cláusulas tipo de protección recogidas en la Decisión 2010/87;
  2. el nivel de protección exigido en el RGPD en el marco de una transferencia de datos de ese tipo;
  3. las obligaciones que incumben a las autoridades de control de cada país en el mismo ámbito.

La cuestión planteada por el tribunal irlandés, tuvo su origen en una reclamación que un ciudadano austríaco, Maximiliam Schrems, interpuso ante la autoridad irlandesa de control, en la que pedía que se prohibiera la transferencia de sus datos personales desde la sede de Facebook en ese país hasta Facebook en Estados Unidos, ya que consideraba que no se garantizaba la seguridad de dichos datos. Esta reclamación fue primero desestimada bajo el argumento de la aplicación del Escudo de Seguridad garantizaba la seguridad de sus datos en EE. UU. Más tarde, producto a una petición de la autoridad de control irlandesa a Maximiliam Schrems para que modificase su reclamación, la misma autoridad pidió a la High Court de ese país que emitiera la cuestión prejudicial al TJUE que fue origen de la Sentencia aquí analizada, ya que la validez o no del Escudo de Seguridad era la clave para que pudiera prosperar la solicitud del ciudadano austríaco.

En su sentencia, el TJUE declara que la Decisión 2016/1250 es inválida. ¿Por qué? El Tribunal considera que para que el RGPD aplique a una transferencia internacional de datos esta debe ser realizada con fines comerciales por un operador económico establecido en un Estado miembro con destino a otro operador económico establecido en un país tercero, e incluso también si, en el transcurso de dicha transferencia o tras ella, esos datos pueden ser tratados con fines de seguridad nacional, defensa y seguridad del Estado por las autoridades del tercer país  en cuestión. De ser así, es necesario cumplir con lo estipulado en el RGPD, que básicamente consiste en que el tercer país debe garantizar un nivel de protección de los datos personales sustancialmente equivalente al establecido por la normativa europea. En este sentido, el Tribunal de Justicia precisa que la evaluación de ese nivel de protección debe tener en cuenta tanto las estipulaciones contractuales acordadas entre el exportador de datos establecido en la Unión y el destinatario de la transferencia establecido en el tercer país  como, por lo que atañe a un eventual acceso de las autoridades públicas de ese tercer país a los datos personales de ese modo transferidos, los elementos pertinentes del sistema jurídico de dicho país.

A la vista de lo anterior, el TJUE determina que la Decisión 2016/1250 (Escudo de Privacidad) no garantiza que en el tercer país se cuente con el mismo nivel de seguridad de los datos que en la Unión Europea, por lo siguiente:

  • La Decisión otorga primacía a las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense, por lo que se hace posible que existan injerencias de la autoridad norteamericana en los derechos fundamentales de las personas cuyos datos se han transferido a ese país. El TJUE argumenta que las limitaciones de la protección de datos relativas al acceso y la utilización que se derivan de la normativa de EE. UU. no cumplen con garantizar el mismo nivel de protección del RGPD, sobre todo porque los programas de vigilancia allí establecidos no están limitados a lo estrictamente necesario (principio de proporcionalidad)

 

  • En lo referido a la exigencia de tutela judicial, el TJUE estima que el mecanismo del Defensor del Pueblo (Ombudsperson mechanism) establecido en la Decisión 2016/1250 no proporciona a las personas interesadas ninguna vía de recurso ante un órgano que ofrezca garantías sustancialmente equivalentes a las exigidas por la normativa europea.

Por el contrario y en lo relativo a la Decisión 2010/87, el TJUE establece que la misma es válida. ¿Por qué?El Tribunal considera que las clausulas contractuales tipo de protección de datos recogidas en la citada Decisión son válidas no por el hecho de que vinculen o no a la autoridad del tercer país, sino porque esta norma establece mecanismos efectivos que permiten garantizar el nivel de protección de los datos exigido por la legislación europea. Esto, porque, en la práctica, las transferencias de datos basadas en estas cláusulas contractuales tipo podrán verse suspendidas o prohibidas en caso de violación o de imposibilidad de cumplimiento de las mismas. El TJUE constata que la Decisión obliga tanto al exportador como al destinatario de los datos a comprobar si se garantiza o no el mismo nivel de protección y a informar al interesado si es incapaz de cumplir con las cláusulas tipo de protección para luego suspender la transferencia, o bien rescindir el contrato que regula la misma.

¿Qué ocurrirá a partir de ahora?

Una vez que la justicia de la Unión Europea ha declarado el Escudo de Privacidad de 2016 con Estados Unidos como inválido, las empresas norteamericanas que se acogían al mismo para transferir datos desde Europa, aproximadamente unas cinco mil trescientas, entre ellas Apple, Google o Intel, deberán revisar sus políticas internas de tratamiento de datos personales y adaptarse a la normativa Europea si quieren seguir realizando transferencias de datos desde la Unión.

La sentencia obligará también a que las autoridades estadounidenses tomen medidas para que las compañías de ese país que realicen transferencias de datos desde Europa no se vean afectadas por esta decisión, bien adaptando su legislación interna o bien negociando con la Unión Europea nuevos acuerdos, medidas o instrumentos. Hay que tener en cuenta que gran parte de la actividad comercial de muchas empresas se basa en el uso y tratamiento de datos personales.

¿La Sentencia del TJUE afecta a Chile?

Si bien es cierto que la Sentencia del pasado 16 de julio afecta únicamente a la validez del Escudo de Privacidad que aplicaba entre Europa y Estados Unidos, es importante tener en cuenta que se establecen importantes precedentes en relación a la transferencia de datos desde la Unión Europea a un tercer país, entre los que podría estar Chile.

La premisa de la que hay que partir, es que el tercer país destinatario de los datos personales garantice el mismo nivel de protección que establece la normativa europea. Como explicamos anteriormente, el RGPD permite una transferencia de datos cuando la Comisión decida que el tercer país garantiza un nivel de protección adecuado, cuando el responsable o el encargado del tratamiento hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas, o cuando se cumplen ciertas condiciones específicas (por ejemplo, que el interesado haya dado explícitamente su consentimiento a la transferencia, o que la transferencia sea necesaria para la ejecución de un contrato).

Entonces, debemos concluir que, para que las empresas chilenas puedan transferir datos desde Europa, es necesario que tanto la normativa chilena de protección de datos, cuyo proyecto de ley se encuentra aún en trámite, como sus propios mecanismos e instrumentos internos de tratamiento, puedan garantizar un nivel de protección equivalente al que existe en la Unión Europea, situación que a la fecha no se da.

 



Socios relacionados


Gerardo Otero

ver perfil
Javier Sabido | ECIJA

Javier Sabido

ver perfil