EL TJUE invalida el “Privacy Shield” en el caso de la Vigilancia de los Estados Unidos. Facebook y otras empresas similares no pueden utilizar las CCTs.
Facebook y empresas similares tampoco podrían utilizar “las CCTs” ya que la APD irlandesa tiene que detener tales transferencias bajo este instrumento. Schrems: “Necesitamos una reforma de la vigilancia de los Estados Unidos. El TJUE ha aclarado que no puede haber ninguna transferencia de datos en violación de la legislación de la UE.”
La primera reacción de Max Schrems (presidente de noyb.eu y parte del case) a la sentencia:
Schrems: “Estoy muy contento con la sentencia. Nuestros alegatos fueron confirmados. Esto es un golpe total para el DPC irlandés y Facebook. Es claro que los EEUU tendrá que cambiar seriamente sus leyes de vigilancia, si las empresas estadounidenses quieren seguir desempeñando un papel en el mercado de la UE ".
La reforma de la vigilancia de los Estados Unidos es inevitable – TJUE sólo lo dice
El Tribunal fue claro que las leyes de vigilancia de amplio alcance de EEUU están en conflicto con los derechos fundamentales de la UE. Los EEUU limitan la mayoría de las protecciones a "personas de EEUU", pero no protegen los datos personales de los clientes extranjeros de las empresas de EEUU de la NSA. Dado que no hay forma de averiguar que usted o su empresa están bajo vigilancia, la gente tampoco tiene la opción de ir a los tribunales. El TJUE encontró una violación de la “esencia” de los derechos fundamentales de la UE en este aspecto.
Schrems: “El Tribunal ha aclarado por segunda vez que hay un choque entre la ley de privacidad de la UE y la ley de vigilancia de los EEUU. Porque la UE no cambiará sus derechos fundamentales para complacer a la NSA, la única manera de superar este choque es que los EEUU introduzcan sólidos derechos de privacidad para todas las personas - incluyendo a los extranjeros. La reforma de la vigilancia se convierte así en crucial para los intereses empresariales de Silicon Valley.”
“Ese fallo no es la causa de una limitación de las trasferencias de datos, pero la consecuencia de las leyes de vigilancia estadounidenses. No se puede culpar al Tribunal de decir lo inevitable - when shit hits the fan, you can’t blame the fan."
La Comisión Europea cedió a la presión de los EEUU
La sentencia también deja claro que la Comisión Europea no ha realizado una evaluación exhaustiva y precisa de las leyes de vigilancia de los Estados Unidos. En su lugar, la Comisión se sometió a la presión de los EEUU al aprobar el Privacy Shield.
Herwig Hofmann, profesor de derecho de la Universidad de Luxemburgo y uno de los abogados que defienden los casos Schrems ante el TJUE: “El TJUE ha invalidado la segunda decisión de la Comisión que viola los derechos fundamentales de protección de datos de la UE. No puede haber transferencia de datos a un país con formas de vigilancia de las masas. Mientras la ley de EEUU otorgue a su gobierno los poderes para aspirar los datos de la UE que transitan a los EEUU, tales instrumentos serán invalidados una y otra vez. La aceptación de la Comisión de las leyes de vigilancia de EEUU en la decisión del Privacy Shield los dejó sin defensa.”
Las APDs tienen un “deber de actuar” – refuerzo importante para el RGPD
El Tribunal ha aclarado también que las autoridades de protección de datos de la Unión Europea (APDs) tienen el deber de tomar medidas. El Tribunal ha señalado que las APDs “tienen que cumplir su responsabilidad de asegurar que el RGPD se aplique plenamente con toda la diligencia debida.” Hasta ahora, muchas APDs han considerado que tienen una discreción ilimitada para mirar hacia otro lado. El Tribunal ha puesto fin a esta práctica.
Schrems: "El Tribunal no sólo le está diciendo a la APD irlandesa que haga su trabajo después de siete años de inactividad, sino que también está enviando un mensaje a todas las autoridades de que tienen el deber de actuar y no pueden simplemente mirar hacia otro lado. Es un cambio fundamental que va más allá de las transferencias de datos entre la UE y los Estados Unidos. Autoridades como la APD irlandesa han minado hasta ahora el éxito del RGPD. El Tribunal ha dicho claramente a las APDs que se pongan en marcha y hagan cumplir la ley".
Las CCTs tampoco pueden ser utilizados por Facebook y las empresas por más tiempo si caen bajo la vigilancia de EEUU
El Tribunal también se ha sumado a la opinión del Sr. Schrems de que, en un primer paso, las empresas de la UE y los destinatarios de datos no pertenecientes a la UE tienen que revisar la legislación del tercer país respectivo. Sólo si no hay una ley contradictoria, pueden utilizar las cláusulas contractuales tipo de datos personales (las CCTs). Como segundo nivel de protección, la autoridad de protección de datos pertinente tiene que utilizar la "cláusula de emergencia" incorporada en las CCTs (artículo 4 de la Decisión de las CCTs) en los casos en que las leyes de vigilancia de los Estados Unidos violen los principios de protección de datos de la UE y las empresas no tomen medidas. La APD irlandesa (la DPC) ha combatido esta idea desde 2016 con la falsa afirmación de que tenía la discreción de no hacer nada frente a la vigilancia masiva de las potencias extranjeras. En resumen, esto significa que Facebook ya no puede utilizar las CCTs para las transferencias de datos entre la UE y los EEUU y si siguen violando la ley, el DPC tiene que tomar medidas urgentes - contrariamente a algunas primeras reacciones después de emitir la sentencia.
La necesidad para los usuarios a unirse y los costos extremadamente altos
El hecho que este caso ha estado en curso desde hace 7 años y que la APD irlandesa por su cuenta haya invertido casi 3 millones de euros para luchar contra la denuncia del Sr. Schrems, en lugar de tomar medidas decisivas para proteger los derechos de los europeos, también muestra algunos defectos fundamentales en el sistema de aplicación de la normativa del RGPD. Actualmente es imposible para una persona normal poder asegurar que los derechos del RGPD no son sólo una promesa vacía, sino que una parte normal de nuestras vidas digitales.
Schrems: “La DPC ha invertido 2,9 millones de euros contra nosotros - y en esencia ha perdido. Ni siquiera quiero saber cuántos millones tiró Facebook en este caso. Las consecuencias financieras de este caso serán decididas ahora por los tribunales irlandeses. Con arreglo a la legislación de la UE, hay que haber una tramitación gratuita y rápida de la denuncia de un ciudadano.”
“Sin embargo, en este caso, hemos estado en los tribunales durante 7 años con más de 45.000 páginas de documentos presentados. Mantener el poder de argumentar tales casos es únicamente posible con el apoyo de los más de 3.200 miembros de Noyb. El mito de que un estudiante de derecho puede hacer esto a solas es desafortunadamente erróneo.”
Las transferencias “necesarias” a los Estados Unidos pueden continuar
A pesar de la sentencia, los flujos de datos que son absolutamente “necesarios” pueden seguir en virtud del Artículo 49 del RGPD. Toda situación en la que los usuarios deseen que sus datos circulen en el extranjero sigue siendo legal, ya que puede basarse en el consentimiento informado del usuario, que puede retirarse en cualquier momento. Igualmente el RGPD permite el flujo de datos para lo que es "necesario" para ejecutar un contrato. Esta es una base sólida para la mayoría de las transacciones legales con los Estados Unidos. En sencillo: Los EEUU vuelven ahora a la situación "normal" que tiene la UE con la mayoría de los demás países terceros, pero perdieron su acceso especial al mercado de la UE por la vigilancia de los EEUU.
Schrems: “El Tribunal destacó explícitamente que la invalidación del Privacy Shield no creará un 'vacío legal', porque aún se pueden realizar las transferencias de datos crucialmente necesarios. Los EEUU ahora simplemente se devuelven a un país no especial sin acceso especial a los datos de la UE"