Las autoridades de protección de datos deben detener las transferencias de datos si se violan los derechos fundamentales.
Serias dudas sobre el Escudo de Privacidad. El Abogado General aplica el ECHR en lugar del CFR.
Schrems: "La opinión sigue casi todos nuestros argumentos"
La primera reacción de Max Schrems (presidente de noyb.eu y parte en el caso) a la opinión del Abogado General: "En general, estoy contento con la opinión del Abogado General. La opinión está en línea con nuestros argumentos legales. Es un golpe total al DPC irlandés y a Facebook, así como un paso muy importante para la privacidad de los usuarios. Lo que es un problema es que el Abogado General está proponiendo un nivel más bajo de protección de la privacidad para la "seguridad nacional" bajo el CEDH, no la Carta de Derechos Fundamentales de la UE. ”
Dudas serias sobre el Escudo de Privacidad. Un tema que fue en parte tocado por las once preguntas de la Corte Suprema Irlandesa, fue el papel del nuevo acuerdo de transferencia de datos entre la UE y los EE.UU. llamado "Privacy Shield". El Sr. Schrems expresó serias dudas sobre la validez del Escudo de Privacidad, que ahora se hacen eco del Abogado General. Schrems: "Después de la sentencia 'Safe Harbor' la Comisión Europea deliberadamente aprobó una decisión inválida de nuevo - sabiendo que tomará dos o tres años hasta que la Corte tenga la oportunidad de invalidarla por segunda vez. Será muy interesante ver si el Tribunal tendrá en cuenta esta cuestión en la decisión final o esperará a que otro caso llegue al tribunal"
Schrems: "También estoy muy contento de que el AG haya tomado una visión clara sobre el Defensor del Pueblo del Escudo de Privacidad. Un simple "buzón" en el Ministerio de Asuntos Exteriores de los EE.UU. no puede sustituir a un tribunal, como se requiere en la primera sentencia de la Corte. " Dado que el Defensor del Pueblo es el pilar central del sistema de "Escudo de Privacidad", es difícil ver por qué el AG no dijo lo obvio: Que el Escudo de Privacidad no protege suficientemente los datos de la UE y por lo tanto debe ser inválido.
AG: El DPC debe hacer su trabajo. Durante más de seis años, Schrems y noyb han intentado que el Comisionado de Protección de Datos de Irlanda (DPC) tome medidas específicas contra Facebook por el escándalo de espionaje de la NSA, pero el DPC ha encontrado un sinfín de razones para no hacer cumplir la ley. Schrems: "El abogado general le está diciendo a la Autoridad Irlandesa de Protección de Datos que haga su trabajo."
Es muy posible que el DPC también tenga que recoger el proyecto de ley para todo este caso, que podría ser de hasta 10 millones de euros. Schrems: "Después de todo el contribuyente irlandés podría tener que pagar hasta 10 millones de euros en gastos legales, para que el DPC retrase este caso en interés de Facebook"
Las autoridades tienen el deber de actuar. Otro elemento muy crucial es que el Abogado General aclare que las Autoridades de Protección de Datos tienen el deber legal de actuar. Schrems: "En este momento, muchas autoridades de protección de datos simplemente miran hacia otro lado cuando reciben informes de infracciones o simplemente no se ocupan de las denuncias. Este es un gran paso para la aplicación de la RDPI"
Las SCC pueden quedarse. El Abogado General no se sumó a la opinión del DPC de que los SCC deben ser invalidados a nivel mundial. Todas las demás partes en el procedimiento (incluido el Sr. Schrems) no han expresado ninguna preocupación sobre los SCC. El Abogado General explicó al CPD que los SCC tienen incorporada una llamada "válvula de presión" (Artículo 4 SCC) que permite al CPD suspender los flujos de datos siempre que haya un problema con la legislación de los Estados Unidos. Schrems: "La opinión deja claro que la DPC tiene la solución de este caso en sus propias manos: Puede ordenar a Facebook que detenga las transferencias mañana. En cambio, ella recurrió a la CJEU para invalidar todo el sistema. Es como gritarle al cuerpo de bomberos europeo, porque no sabes cómo soplar una vela tú mismo"
AG aplica una prueba de privacidad no comunitaria. En Europa hay dos cuerpos de derechos fundamentales: En primer lugar, el Convenio Europeo de Derechos Humanos (CEDH) que está en vigor desde 1953 y abarca 47 países, incluidos todos los Estados miembros de la UE, pero también Rusia y Turquía. En segundo lugar, la Carta de Derechos Fundamentales (CFR) de 2000, que sólo se aplica dentro de la UE y que, en general, garantiza un nivel de protección más elevado. La UE no se ha adherido al CEDH. El Fiscal General aplica ahora el nivel mucho más bajo en virtud del CEDH, a pesar de que el Tribunal de Justicia de las Comunidades Europeas ha aplicado la Carta de Derechos Fundamentales en la primera sentencia sobre este caso.
Schrems: "Sorprendentemente, la opinión sigue la jurisprudencia extremadamente amigable de vigilancia bajo el CEDH, a la que la UE ni siquiera se ha unido, en lugar de la clara jurisprudencia del Tribunal de Justicia. Esto va en contra de cualquier lógica y de la jurisprudencia anterior del Tribunal. El Fiscal General ha mantenido anteriormente un enfoque más "relajado" en los casos de vigilancia que el Tribunal. Dudo que los jueces se unan a ese punto de vista".
No hay fin al choque de datos entre los Estados Unidos y la Unión Europea. El caso en sí mismo no puede superar el choque más profundo de la legislación de la UE y de los EE.UU. Schrems: "A largo plazo espero que el legislador de EE.UU. se dé cuenta de que ningún cliente extranjero confiará en la industria de EE.UU., si no hay una sólida protección de la privacidad en los EE.UU.". No puede decir 'confíe en nosotros con todos sus datos, pero en realidad no tiene derechos'" Los EE.UU. tienen preocupaciones similares sobre el hardware 5G chino de Huawei o aplicaciones como TikTok.
Impacto práctico: Más privacidad para los consumidores de la UE, problemas masivos para ciertas empresas de EE.UU. Si el Tribunal sigue la opinión de hoy de tener un "enfoque dirigido", no habría ningún impacto en la mayoría de las transferencias de datos de la UE. Sin embargo, las autoridades de protección de datos de la UE pueden detener las transferencias a las empresas estadounidenses que entran en el ámbito de aplicación de la norma FISA 702 ("proveedores de servicios de comunicación electrónica"). Esto incluye a empresas como Facebook, Google, Microsoft, Amazon Web Services o Yahoo.
Schrems: "Todo el mundo podrá seguir teniendo todos los flujos de datos necesarios con los EE.UU., como el envío de correos electrónicos o la reserva de un hotel en los EE.UU.. Es posible que algunas empresas de la UE ya no puedan utilizar ciertos proveedores estadounidenses para la subcontratación, porque las leyes de vigilancia de los EE.UU. exigen que estas empresas revelen datos a la NSA. Esto también es un problema económico para los EE.UU., porque los ingresos extranjeros se irán a otro lugar. Es realmente responsabilidad de los Estados Unidos asegurar la protección de la privacidad de los extranjeros. De lo contrario, nadie confiará sus datos a las empresas estadounidenses"
noyb.eu El caso está apoyado por la organización europea sin fines de lucro noyb.eunoyb.eu está financiado por más de 3.000 miembros de apoyo y trabaja en litigios estratégicos para hacer cumplir el derecho fundamental a la protección de datos en la práctica.
Equipo legal El Sr. Schrems ha presentado este caso de forma gratuita y cuenta con el apoyo de un equipo de abogados de Irlanda, EE.UU. y Luxemburgo. El Sr. Schrems está representado por Eoin McCullhan, instruido por Ahern Rudden Quigley Solicitors. El profesor Herwig Hofmann apoyó el caso en asuntos de derecho europeo. Ashley Gorski, de la Unión Americana de Libertades Civiles (ACLU.org) ha asistido como testigo experto en la ley de vigilancia de los Estados Unidos.
Más información
noyb.eu Comprobar @noybeu y @maxschrems para más actualizaciones
+43 660 2678622 media@noyb.eu
Irlanda: Gerard Rudden, ARQ Solicitors (representando al Sr. Schrems)
+353 1 661 6102 gerard.rudden@arqsolicitors.com
Sobre la ley de los Estados Unidos: Ashley Gorski, ACLU media@aclu.org