¿Todavía podemos transferir datos personales a los Estados Unidos?

Después de haber invalidado el Puerto Seguro en 2015 (TJUE, 6 de octubre de 2015), el TJUE (Tribunal de Justicia de la Unión Europea) invalidó el Escudo de Privacidad (TJUE, 16 de julio de 2020).

Y ahora ? ¿Se pueden transferir datos personales a los Estados Unidos?

Recordatorio de contexto

Esta historia comienza en 2013, en el contexto turbulento de las revelaciones de Edward Snowden, con la denuncia presentada por Maximillian Shrems, un ciudadano austríaco, ante la autoridad de supervisión irlandesa. Afirma que Facebook Irlanda transfiere sus datos personales a Facebook Inc. ubicado en los Estados Unidos. Sostiene que la ley de datos personales de los Estados Unidos no brinda protección suficiente contra el acceso de las autoridades estadounidenses a los datos transferidos a ese país y que, por lo tanto, tales transferencias deberían estar prohibidas.

Su queja es desestimada por la autoridad de supervisión irlandesa que se basa en la decisión 2000/520 de la Comisión Europea (CE) del 26 de julio de 2000. Esta última consideró que los Estados Unidos proporcionaron un nivel adecuado de protección a los datos personales transferidos. En otras palabras, una compañía estadounidense "etiquetada como puerto seguro" cumplía las condiciones para considerar que se podía realizar una transferencia de datos segura.

El Tribunal Superior de Irlanda, interceptado a su vez, presentó al TJUE una pregunta preliminar con el objetivo de saber si la autoridad nacional está obligada por la decisión de adecuación de las CE del 26 de julio de 2000. El Tribunal Superior Europeo respondió negativamente. e invalidó Safe Harbor, considerando que esta decisión de adecuación de la Comisión Europea no ofrecía suficientes garantías a las personas involucradas (TJUE, Schrems I, 6 de octubre de 2015). Después de esta invalidación, la transferencia a los Estados Unidos requirió, por un lado, la conclusión de cláusulas contractuales estándar o la implementación de Reglas Corporativas Vinculantes (BCR) para continuar asegurando la transferencia de datos personales en condiciones de cumplimiento. a la Directiva 95/46, por otro lado, el consentimiento de las personas cuyos datos personales se transfieren a los Estados Unidos.

Luego se negoció un nuevo acuerdo entre la Comisión Europea y los Estados Unidos, que condujo al Escudo de privacidad (CE, diciembre de 2016/1250, 12 de julio de 2016). Por lo tanto, esta decisión de adecuación permitió transferir datos personales a empresas estadounidenses que aceptaban cumplir con ellos.

Al mismo tiempo, el Sr. Schrems ha renovado su queja, ahora que Estados Unidos no ofrece protección suficiente para los datos transferidos a los Estados Unidos.

El TJUE, una vez más incautado, respondió dos preguntas preliminares (TJUE, Schrems II, 16 de julio de 2020).

La primera pregunta se refería a la validez de la Decisión CE 2010/87 sobre cláusulas contractuales estándar para la transferencia de datos personales a subcontratistas establecidos en terceros países. El Tribunal Superior respondió afirmativamente, especificando que la validez, sin embargo, depende de los mecanismos efectivos para garantizar el nivel de protección requerido. En otras palabras, se trata de verificar las garantías caso por caso, por ejemplo, cláusulas contractuales estándar.

El segundo fue averiguar si la Decisión CE 2016/1250 sobre la adecuación de la protección proporcionada por el Escudo de privacidad garantiza un nivel adecuado de protección. La respuesta esta vez fue negativa y la decisión de adecuación fue invalidada. Por un lado, el TJUE consideró que el acceso y el uso de los datos personales, por parte de las autoridades públicas estadounidenses, transferidos desde la Unión no se enmarcan de manera que cumplan requisitos sustancialmente equivalentes a los requeridos. , en el Derecho de la Unión, por el principio de proporcionalidad. Esto da como resultado una incompatibilidad de las regulaciones estadounidenses con el Artículo 52 de la Carta de los Derechos Fundamentales de la UE (posible limitación de los derechos de las personas sujetas al principio de proporcionalidad y la necesidad de la limitación).

Por otro lado, el TJUE sostiene que el mecanismo de mediación previsto por la decisión de adecuación no proporciona a las personas afectadas un recurso ante un organismo que ofrece garantías sustancialmente equivalentes a las exigidas por el derecho de la Unión, de una naturaleza que garantiza tanto la independencia de mediador previsto por este mecanismo y la existencia de estándares que facultan a dicho mediador para adoptar decisiones vinculantes con respecto a los servicios de inteligencia estadounidenses. Esto da como resultado una incompatibilidad de las regulaciones estadounidenses con el Artículo 47 de la Carta de los Derechos Fundamentales de la UE (derecho a un recurso efectivo y a un tribunal imparcial).

Cuál es la situación actual ?

La invalidación del Escudo de privacidad nos coloca en la situación de ausencia de una decisión de adecuación. Pero la invalidación de una decisión de adecuación no crea ningún vacío legal. De hecho, si la regla de principio es que no se puede transferir datos personales con un tercer país a menos que la Comisión Europea haya tomado una decisión de adecuación (RGPD, art. 45), existen soluciones. : las cláusulas contractuales estándar adoptadas por la Comisión Europea (RGPD, art. 46), las Reglas Corporativas Vinculantes (RGPD, art. 47) o incluso casos de derogación específica (RGPD, art. 49), por ejemplo en el caso donde la transferencia es necesaria para la ejecución de un contrato entre el interesado y el controlador de datos o cuando la transferencia es necesaria para el establecimiento, ejercicio o defensa de reclamos legales.

¿Y qué hay de los abogados en particular?

Con respecto a los abogados, se debe hacer una distinción.

Por un lado, en sus relaciones con sus proveedores de servicios responsables del procesamiento y los subcontratistas, deben garantizar la presencia de las garantías apropiadas o su respeto y, en ciertos casos, pueden basarse en las exenciones para situaciones específicas a las que se refiere el GDPR.

Por otro lado, en sus relaciones con otros abogados, pueden invocar la exención prevista en el art. 49.1 c (transferencia necesaria para la celebración o ejecución de un contrato celebrado en interés de la persona interesada entre el RT y otra persona física o jurídica). Este es el caso cuando los datos son necesarios en el contexto de un intercambio con un colega opositor establecido en los Estados Unidos. También pueden recurrir a la exención prevista en el artículo 49.1 e (transferencia necesaria para el establecimiento, ejercicio o defensa de reclamos legales) que se justifica en el contexto de las actividades de litigio.

En cuanto a las empresas internacionales, pueden adoptar las Reglas corporativas vigentes o solicitar la exención prevista en el artículo art. 49.1.b (la transferencia es necesaria para la ejecución de un contrato entre el interesado y el controlador).

El párrafo 2 del artículo 49.1 también abre una posible vía, sujeta a documentar la transferencia y llevar a cabo un cierto número de verificaciones, pero la información a la autoridad supervisora ​​plantea una pregunta, la de compatibilidad con el secreto. profesional.

¡Así que siempre hay soluciones mientras se espera una nueva decisión de adecuación!

Crónica de Christiane Féral-Schuhl, abogada asociada de la firma Féral-Schuh.