La CJEU escucha el caso de las transferencias de datos entre la UE y los EE.UU. (Cláusulas Contractuales Estándar y Protección de la Privacidad)

Jul 08, 2019

Descargar: Comunicado de prensa

Debido a una serie de peticiones, hemos resumido los hechos clave del caso ante el Tribunal de Justicia de la Unión Europea (CJEU) sobre las transferencias de datos entre la UE y los EE.UU. y la vigilancia masiva por parte del gobierno de los EE.UU. El caso se verá mañana (9:00, martes 9 de julio) ante la Gran Cámara del Tribunal de Justicia.

Malentendidos comunes del caso

  • ¿Se trata en este caso de todas las transferencias de datos entre la UE y los Estados Unidos? No, sólo se trata de las transferencias a los EE.UU. que están sujetas a "vigilancia masiva". En la mayoría de las situaciones, existen formas sencillas de evitar la vigilancia masiva y muchos sectores de la industria (por ejemplo, los bancos, las aerolíneas, el comercio y la banca) no están sujetos a ninguna de esas leyes de vigilancia masiva. La queja del Sr. Schrems sólo apunta a Facebook, que en el documento de Snowden se nombra como ayudante de la NSA con la vigilancia masiva bajo "PRISM".
  • ¿Este caso sobre todas las transferencias internacionales de datos de la UE? De las partes en el procedimiento, sólo el Comisario de Protección de Datos de Irlanda considera que las "cláusulas contractuales tipo" (CCE) no son válidas. El Sr. Schrems opina que (si se aplican correctamente y se hacen cumplir por el CPD) las CCE ofrecen una solución adecuada. Ninguna otra parte en el procedimiento irlandés, aparte del CPD, planteó ninguna cuestión de validez.
  • ¿Son problemáticas todas las transferencias de datos a los EE.UU.? No. Las leyes de vigilancia como la FISA 702 sólo se aplican a los "proveedores de servicios de comunicación electrónica". La ley europea también diferencia entre las transferencias necesarias (escuche las derogaciones) y la innecesaria "externalización" del procesamiento. En combinación, el problema surge principalmente con los proveedores de servicios y comunicaciones en la nube que caen bajo las leyes de vigilancia (por ejemplo, Facebook, Google, Apple, Amazon Web Services), pero no con ningún otro sector de la industria o transferencias de datos "necesarias" (por ejemplo, correos electrónicos, reservas y similares).
  • ¿El Sr. Schrems argumenta para invalidar los SCC? No. El Sr. Schrems argumenta que los SCC permiten al Comisionado Irlandés de Protección de Datos detener las transferencias de datos individuales, como la de Facebook. Como hay una solución obvia para el problema, no hay ninguna cuestión de validez en su opinión.
  • ¿Está el "Escudo de Privacidad" sobre la mesa? Sí. Facebook se ha basado en la evaluación de la Comisión Europea de la ley de EE.UU. en el "Escudo de Privacidad" y sostiene que esta evaluación también debe aplicarse a las "Cláusulas Contractuales Estándar". El Sr. Schrems, a su vez, argumentó que esta evaluación de la Comisión es errónea. Como el Escudo de Privacidad se basa en una falsa interpretación de la ley de EE.UU., debería ser invalidado
  • ¿Seguirá siendo capaz de enviar correos electrónicos a los EE.UU. o de reservar un vuelo? Sí. El artículo 49 de la Ley de Protección de Datos prevé "derogaciones" que permiten todas las transferencias de datos si, por ejemplo, son "necesarias para la celebración de un contrato" o si el usuario ha dado su consentimiento explícito. Por ejemplo: Es necesario enviar un correo electrónico a los EE.UU. si el destinatario está allí, pero no es necesario enviar correos electrónicos a través de los EE.UU. si el remitente y el destinatario están en Europa.
  • ¿Qué tipo de transferencias pueden tener que detenerse entonces? Básicamente, la "externalización" del procesamiento de datos, que también podría hacerse en Europa u otros países que ofrezcan normas adecuadas de protección de datos.

La historia del caso

El caso se centra en una denuncia del abogado de privacidad Max Schrems contra Facebook en 2013 (enlace a la denuncia). Hace más de seis años, Edward Snowden reveló que Facebook permite a los servicios de inteligencia de EE.UU. el acceso a los datos personales de los europeos bajo programas de vigilancia como "PRISM" (ver Wikipedia). La queja busca detener la transferencia de datos entre la UE y los EE.UU. a través de Facebook. Hasta ahora, el DPC irlandés no ha tomado ninguna acción concreta para hacerlo.

El primer rechazo y la sentencia del CJEU sobre el puerto seguro

El caso fue primero rechazado por el Comisionado Irlandés de Protección de Datos (DPC) en 2013, luego fue sometido a revisión judicial en Irlanda y una referencia a la Corte de Justicia de la Unión Europea (CJEU). El CJEU dictaminó en 2015 que el llamado acuerdo de "puerto seguro" que permitía las transferencias de datos entre la Unión Europea y los Estados Unidos de América no era válido (enlace con el fallo en C-362/14), y que el DPC irlandés tenía que investigar el caso, lo que inicialmente se negó a hacer.

Información sobre el uso de las "Cláusulas contractuales tipo"

Sorprendentemente, el CPD informó al Sr. Schrems a finales de 2015 que Facebook, de hecho, nunca había confiado en el acuerdo "Safe Harbor", ahora invalidado, sino que ya en 2013 confió en las "Cláusulas Contractuales Estándar" (otro mecanismo para transferir datos de la UE a los EE.UU.). El CPD no había revelado este hecho y en su lugar sugirió que Safe Harbor los estaba bloqueando para proceder con el caso. Este "desvío" hizo que el primer fallo de la CJEU fuera irrelevante para el caso.

Segunda investigación y demanda

El Sr. Schrems adaptó su queja a las transferencias que se están realizando en virtud de las "Cláusulas contractuales estándar" y exigió igualmente el fin de las transferencias de datos a Facebook USA, basándose en el argumento de que ponen los datos a disposición de la ANS. La investigación de la DPC duró sólo un par de meses, desde diciembre de 2015 hasta la primavera de 2016. En lugar de decidir sobre la denuncia, el DPC presentó una demanda contra Facebook y el Sr. Schrems (ambos son ahora acusados) ante el Tribunal Superior de Irlanda en 2016, con el fin de remitir más preguntas al CJEU. Después de más de seis semanas de audiencias que tuvieron lugar principalmente en 2017, el Tribunal Superior de Irlanda determinó que el Gobierno de los Estados Unidos se dedica al "tratamiento masivo" de datos personales europeos y remitió once preguntas al CJEU por segunda vez (enlace a la sentencia) en 2018.

Los siguientes pasos

El CJEU ha incluido el caso en el C-311/18 y lo verá por segunda vez el 9 de julio de 2019, unos seis años después de la presentación de la denuncia original. Se espera una sentencia antes de fin de año. Después de la sentencia del CJEU, el CPD tendrá que decidir finalmente sobre la denuncia por primera vez. La decisión podría ser nuevamente objeto de apelaciones por parte de Facebook o el Sr. Schrems.

Argumentos básicos de las Partes

  • El Comisionado de Protección de Datos de Irlanda se une al Sr. Schrems en su opinión de que las leyes de vigilancia de los EE.UU. violan los derechos fundamentales a la privacidad, la protección de datos y la reparación en virtud de la legislación europea. El DPC dice, sin embargo, que no tiene poderes para resolver el asunto. Dado que el mecanismo de transferencia de datos que utiliza Facebook (Cláusulas Contractuales Estándar) no prevé tal situación, las propias cláusulas deben ser invalidadas. Esto significaría que las transferencias de datos a cualquier país no perteneciente a la UE en virtud de este instrumento tendrían que ser detenidas.
  • Facebook opina que la ley de los EE.UU. no va más allá de lo que es legal bajo la ley de la UE. Facebook también cuestiona si la UE tiene alguna jurisdicción en los casos de "seguridad nacional". En resumen, Facebook no ve ningún problema en seguir transfiriendo datos a los Estados Unidos bajo leyes de vigilancia masiva como la FISA. Facebook también se basa en la evaluación de la Comisión Europea de la ley de EE.UU. en la llamada decisión "Privacy Shield", que dice que las leyes de vigilancia de EE.UU. cumplen con los requisitos de la UE.
  • Schrems está de acuerdo con el CPD en el problema, pero propone una solución más mesurada. La ley (Artículo 4 SCC) permite al DPC detener las transferencias de datos individuales (como las de Facebook). El Sr. Schrems dice que el DPC irlandés tiene el deber de actuar, en lugar de devolver el caso a la CJEU. En cuanto a la confianza de Facebook en el "Escudo de Privacidad", el Sr. Schrems opina que la Decisión sobre el Escudo de Privacidad de la Comisión Europea no describe adecuadamente las leyes de vigilancia de los EE.UU., no es ni siquiera remotamente capaz de proporcionar una protección adecuada de la privacidad, y por lo tanto debe ser invalidada.
  • Comisión Europea: Se espera que la Comisión Europea defienda sus dos decisiones: Las cláusulas contractuales estándar y el escudo de privacidad. Es probable que se ponga del lado de los Estados Unidos y de Facebook en la opinión de que no hay violación de los derechos fundamentales en los Estados Unidos, pero también reconocerá que el DPC tiene el poder de resolver el asunto por sí mismo si el DPC ve una violación de los derechos fundamentales en los Estados Unidos.

Declaración del Sr. Schrems

Max Schrems, presidente de Noyb: "Estamos proponiendo una solución mesurada: El DPC irlandés debe simplemente hacer cumplir las normas adecuadamente, en lugar de devolver el caso a Luxemburgo una y otra vez. Este caso ha estado pendiente durante seis años. Durante estos seis años, el DPC ha decidido en un mero 2-3% de los casos que se presentaron ante él. No tenemos un problema con las 'Cláusulas Contractuales Estándar', tenemos un problema con la aplicación."

noyb

noyb es una nueva organización europea sin fines de lucro que hace cumplir el derecho a la privacidad a través de litigios. Apoya este caso y a su vez cuenta con el apoyo de más de 3.500 miembros donantes.

Cifras clave

Las partes ante la corte son el Comisionado de Protección de Datos Irlandés, Facebook Ireland Ltd, y Max Schrems. El Tribunal irlandés también ha permitido que cuatro "amicus curiae" (ayudantes neutrales del tribunal) se unan al caso, a saber, el Gobierno de los Estados Unidos, el Centro de Información sobre la Privacidad Electrónica (epic.org), y dos organizaciones de lobby de la industria.

Todos los Estados miembros de la UE, la Comisión Europea, el Parlamento Europeo y la Junta Europea de Protección de Datos (EDPB) pudieron hacer presentaciones.

Uploads

MakePrivacyReal

Nuestro trabajo es posible gracias a los más de 3.100 miembros de apoyo, ¿alguno tal vez usted?