El TJUE recibió once preguntas presentadas por el High Court de Irlanda. El TJUE era libre de reformular las preguntas y abordar sólo algunas de ellas. Este FAQs da una simple visión general de la sentencia y las preguntas respondidas. Aborda las preguntas más relevantes que las personas y empresas pueden tener sobre la sentencia del TJUE.
(I) Ámbito del caso
¿Qué transferencias de datos entre la UE y los EEUU no se ven afectadas por este caso?
En sencillo: Transferencias “necesarias” no son afectadas.
Este caso se refiere principalmente a la "subcontratación" voluntaria del tratamiento de datos personales a los Estados Unidos.
El caso no se refiere a eso: 1) los datos que no son "datos personales"; 2) las transferencias de datos "necesarias" a los Estados Unidos (por ejemplo, correos electrónicos a los Estados Unidos, reservas en los Estados Unidos, etc.) - en la mayoría de los casos estas transferencias se benefician de una "exención" prevista en el artículo 49 del RGPD.
Por lo tanto, este caso no significa que no se puedan enviar correos electrónicos o mensajes de la UE a los EEUU. Cualquier afirmación que sugiera esto es simplemente incorrecta.
A pesar de eso, muchas empresas de la Unión Europea tendrán que revisar sus prácticas de subcontratación si tienen datos personales tratados por proveedores estadounidenses. Los destinatarios de esos datos en los Estados Unidos también tendrán que realizar un examen similar si están sujetos a obligaciones en virtud de las leyes de vigilancia aplicables a los Estados Unidos, como la norma FISA 702.
¿Cuál es la diferencia entre la “subcontratación” del tratamiento y las transferencias de datos absolutamente "necesarias" a los EEUU, incluyendo el envío de correos electrónicos, reservas de hotel o transacciones comerciales?
Transferencias de datos "necesarias": En la mayoría de los casos en que los datos deben transferirse a los Estados Unidos (por ejemplo, para reservar un hotel, enviar un correo electrónico a alguien en los Estados Unidos, transacciones comerciales normales entre la Unión Europea y los Estados Unidos, etc.), se aplicarán las exenciones ("excepciones") del artículo 49 de la RGPD. Este tipo de transferencias de datos están permitidas, independientemente de la validez de otros instrumentos jurídicos utilizados para las transferencias de datos, como las cláusulas tipo para la transferencia de datos personales (las CCTs), el Privacy Shield o las normas corporativas vinculantes (NCVs).
La subcontratación: La subcontratación significa que los datos personales sólo se almacenan en los EE.UU. porque es más fácil, más barato o más práctico almacenarlos con un proveedor de servicios de EEUU que en Europa, aunque los datos podrían almacenarse técnicamente dentro de la UE/EEE. En este caso, no suele haber una exención general ("derogación") en virtud del artículo 49 del RGPD para la transferencia de datos a los Estados Unidos. Hoy, el Privacy Shield fue declarado inválido. Adémas, Facebook y otras empresas que caen bajo la vigilancia de EEUU no pueden utilizar las CCTs.
¿Se trata de un caso de transferencia de datos a países distintos de los Estados Unidos?
El caso no afecta directamente a ninguna de esas transferencias.
Sin embargo, el caso tiene consecuencias indirectas. Las empresas tendrán que examinar el nivel real de protección que se ofrece en los países no pertenecientes a la UE mucho más de cerca que antes. En lo que respecta a las CCTs, por ejemplo, el conflicto con las leyes de vigilancia es de igual importancia con respecto a la normativa de países como China o Rusia.
(II) Consecuencias para los consumidores
¿Pueden los consumidores de la UE/EEE seguir utilizando directamente los servicios de los EEUU (u otros países terceros)?
En la más practica, los usuarios son libres de enviar a sabiendas sus propios datos personales directamente a un tercer país, por ejemplo, cuando utilizan un sitio web chino.
Sin embargo, no es posible compartir directamente los datos de otras personas (por ejemplo, amigos, colegas) con un proveedor de los Estados Unidos a menos que se haya obtenido su consentimiento libre, específico, informado e inequívoco para hacerlo.
¿Pueden los consumidores de la UE/EEE seguir utilizando los servicios de los EEUU (u otro tercer país) indirectamente (a través de una filial de la UE)?
En muchos casos, los usuarios de la UE/EEE tienen un contrato con una filial de la UE de una empresa estadounidense. Algunos ejemplos incluyen Google Irlanda, Facebook Irlanda, Microsoft Luxemburgo o Amazon Luxemburgo.
En estos casos, las empresas de la UE son responsables de garantizar que los flujos "internos de la empresa" de datos personales hacia los Estados Unidos cumplan con la normativa del RGPD. Estas empresas tendrán ahora que examinar detenidamente todos esos flujos de datos y si necesitan almanecer los datos en Europa o en cualquier otro país que ofrezca una mejor protección de la privacidad, en lugar de ser transferidos a los EEUU a una empresa que los caiga bajo la vigilancia de los EE.UU.
(III) Consecuencias para las empresas
¿Pueden las empresas de la UE/EEE seguir realizando transferencias "necesarias" de datos personales a los EEUU?
En la mayoría de los casos: Sí.
El artículo 49 del RGPD contiene una lista de "derogaciones" que permiten esas transferencias de datos. Esto suele abarcar la realización de pedidos de empresas en los Estados Unidos, la realización de reservas en hoteles de los Estados Unidos, el envío de correos electrónicos a los Estados Unidos y, en general, cualquier prestación de servicios que lógicamente requiera una transferencia de datos entre la Unión Europea y los Estados Unidos. Tales transferencias no forman parte del caso y no se ven afectadas por la sentencia.
¿Pueden las empresas de la UE/EEE seguir “subcontratación” el tratamiento de datos personales a los EEUU?
En la mayoría de los casos: Probablemente no.
Los procesadores de datos estadounidenses más utilizados también están sujetos a las leyes de vigilancia de los Estados Unidos, como la FISA 702, que les obliga a revelar datos personales al gobierno de los Estados Unidos sin las protecciones adecuadas. La transferencia de datos a los procesadores bajo tales obligaciones viola el RGPD, como emitida por el TJUE.
¿Pueden las empresas de la UE/EEE seguir subcontratando el tratamiento de datos personales en países distintos de los Estados Unidos?
Sí, si no hay leyes contradictorias en ese país.
El caso no cambia las reglas del RGPD para las transferencias de datos. Como antes, cada empresa de la UE debe controlar si hay leyes en un tercer país que puedan anular las leyes de privacidad de la UE. En tales casos, los datos personales no pueden ser subcontratados a ese tercer país.
Por ejemplo, si el tratamiento de datos personales se subcontrata al país A, el responsable del tratamiento de la UE tiene que asegurarse de que el destinatario ha establecido los acuerdos necesarios, pero también de que no hay ninguna ley contradictoria que se aplique en el país A y que ignore estos acuerdos.
¿Están prohibidas todas las transferencias de datos de la UE/EEE a los EEUU?
No, en absoluto, por dos razones:
- La mayoría de las transferencias de datos no contienen "datos personales" sino alguna otra forma de datos. Esas transferencias de datos ni siquiera están reguladas por el RGPD.
- La mayoría de las transferencias de datos "necesarias" de datos personales (por ejemplo, cuando se envía un correo electrónico, un mensaje o una reserva de hotel) siguen beneficiándose de una exención en virtud del artículo 49. Estas transferencias pueden continuar después de la sentencia y no se ven afectadas por ella.
¿El caso concierne a todos los receptores de datos de la UE en los Estados Unidos?
No. Sólo es relevante para las empresas que están sujetas a las leyes de vigilancia de EEUU, o para las empresas que utilizan proveedores que caen bajo estas leyes de vigilancia de EEUU.
Por ejemplo, FISA 702 sólo se aplica a "proveedores de servicios de comunicación electrónica". Industrias como bancos, aerolíneas, hoteles, compañías navieras, ventas de bienes y similares no suelen entenderse cubiertas por estas leyes. Sin embargo, existe cierta ambigüedad sobre estos términos y la ley de los EEUU. Parece necesario que el gobierno de los Estados Unidos haga una aclaración.
En la práctica, sin embargo, un banco (que no está sujeto a la FISA) puede utilizar por sí mismo un "proveedor de servicios de comunicación electrónica" (que está sujeto a la FISA). Esto significa que se puede acceder a los datos del banco a través del "proveedor de servicios de comunicación electrónica". Alternativamente, el banco puede transferir datos indebidamente cifrados, lo que, por ejemplo, permitiría "pinchar" los datos mientras se envían a través de cables submarinos (como se permite en el OE 12.333). Por eso, hay que evaluar todo el flujo de dato.
¿Cómo se puede hacer cumplir en la práctica un fallo del TJUE?
Después del fallo, las empresas tienen que revisar individualmente si necesitan cambiar sus prácticas. Tienen el deber de detener las transferencias de datos que son ilegales. Esto no es nada nuevo. Después de la sentencia "Safe Harbor", muchas empresas de la UE se alejaron de los proveedores de EEUU.
Las empresas que transfieren datos a destinatarios estadounidenses de forma ilegal deberán detener todas esas transferencias lo antes posible para evitar enfrentarse a multas de hasta 20 millones de euros o el 4% de su volumen de negocios mundial en virtud del RGPD. Las autoridades nacionales de protección de datos (APDs) tienen la responsabilidad de hacer cumplir estas sanciones.
Los usuarios de las empresas de la UE pueden solicitar que estas empresas dejen de transferir sus datos personales a los Estados Unidos. Si las empresas no cumplen con estas peticiones, los usuarios pueden presentar quejas ante una APD o presentar una demanda ante su tribunal local. Esto puede dar lugar a requerimientos preliminares y/o daños y perjuicios emocionales. En muchos países de la UE, los grupos de consumidores, los consejos de trabajadores y otros organismos también pueden presentar demandas colectivas si una empresa sigue transfiriendo datos personales sin base legal.
¿Qué pueden hacer las empresas de la UE/EEE?
Las empresas deben evaluar si su tratamiento de datos personales debe ser subcontratado a procesadores estadounidenses. En caso afirmativo, deben identificar la base jurídica de la transferencia de datos (por ejemplo, las excepciones del artículo 49 del RGPD, las CCTs, el Privacy Shield o las NCVs).
La mayoría de los proveedores de servicios de nube de los Estados Unidos califican como "proveedores de servicios de comunicación electrónica" y, por lo tanto, están sujetos a las leyes de vigilancia pertinentes de los Estados Unidos, como la FISA 702.
Si bien la mayoría de los demás sectores industriales no están comprendidos en esas leyes, pueden utilizar "proveedores de servicios de comunicación electrónica" que sí lo están, lo que en efecto da acceso indirecto a los datos. También hay que tener en cuenta otros instrumentos de vigilancia como el OE 12.333. El OE 12.333 permite la "vigilancia en tránsito", como el acceso a datos que no están debidamente codificados mientras pasan por cables transatlánticos.
Si no pueden utilizar ninguno de los instrumentos jurídicos que permiten una transferencia conforme a lo dispuesto en los artículos 44 a 50 del RGPD, las empresas tendrán que transferir todos los datos personales pertinentes a la UE/EEE y encontrar un encargado del tratamiento dentro de la UE/EEE o en cualquier otro país en el que se garantice un nivel de protección adecuada de los datos personales.
¿Qué pueden hacer las empresas estadounidenses?
Las empresas estadounidenses deben examinar si ellas o sus subcontratistas están sujetos a las leyes de vigilancia pertinentes de los Estados Unidos y si sus transferencias de datos están codificadas a un nivel que garantice que no sea posible el pinchazo" durante la transferencia. Tras esa revisión, deberán comunicar a sus clientes de la UE/EEE si su tratamiento de datos personales se ve afectado por la sentencia.
A largo plazo, puede ser aconsejable trasladar cierto tratamiento fuera de los Estados Unidos o hablar con los representantes electos sobre las consecuencias que las leyes de vigilancia de los Estados Unidos están teniendo en la capacidad de las empresas estadounidenses para hacer negocios con clientes extranjeros. También esperamos que las empresas estadounidenses hablen con el legislador de los Estados Unidos sobre la falta de protección dado a sus clientes internacionales.
(IV) CONSECUENCIAS POLITÍCAS
¿Cómo se puede resolver a largo plazo el conflicto entre las leyes de vigilancia de EEUU y las leyes de privacidad de la UE?
Si EEUU. quiere mantener su posición como principal proveedor de servicios informáticos en el mundo, las leyes de vigilancia de EEUU. tendrán que ser reformadas urgentemente. Los EEUU. necesitará introducir protecciones de privacidad básicas que sean al menos equivalentes a las ya concedidas a los ciudadanos de EE.UU. De lo contrario, es muy poco probable que los clientes extranjeros continúen utilizando los proveedores de servicios de EEUU.
Tan pronto como las leyes de vigilancia de EEUU. se reformen de esta manera, las empresas de la UE podrán continuar las transferencias de datos entre la UE y EE.UU. de nuevo y la Comisión Europea podrá emitir nuevos instrumentos estables para permitirlo.
¿Cómo podrían continuar las transferencias de datos entre la UE y los Estados Unidos en el futuro?
Al corazón, nos enfrentamos a un conflicto entre las leyes de privacidad de la UE y las leyes de vigilancia de los EEUU: Las leyes de la UE requieren la protección de datos personales, mientras que las leyes de EE.UU. requieren la vigilancia.
El derecho a la privacidad y a la protección de datos son derechos fundamentales en Europa, tal y como se consagran en los artículos 7 y 8 de la Carta de Derechos Fundamentales de la UE. Los 27 Estados Miembros tendrían que acordar, por unanimidad, cualquier cambio en estos derechos fundamentales. La Comisión Europea ha tratado de aprobar excepciones como el "Safe Harbor" y el "Privacy Shield", pero sin la necesaria reforma de las leyes de vigilancia de los Estados Unidos, éstas continuamente no satisfacen los derechos fundamentales de la UE. El resultado son decisiones como ésta, que invalidan las excepciones.
Los Estados Unidos introdujeron leyes de vigilancia de amplio alcance para personas no estadounidenses en 2008. Si los Estados Unidos hicieran retrotraer esas leyes de vigilancia, o garantizaran las mismas protecciones para las personas no estadounidenses que las que se aplican a las personas estadounidenses, sería muy probable que los Estados Unidos fueran considerados como un país que asegura una "protección adecuada" a los datos personales en virtud de la normativa de la Unión Europea si hay reparaciones adecuadas.
¿Puede la UE simplemente aprobar otra decisión si el Privacy Shield es invalidado?
En teoría, la Comisión Europea podría (a sabiendas) emitir otra decisión inválida si el TJUE invalida el "Privacy Shield". Dado que el problema radica en la legislación de los Estados Unidos, lo más probable es que esto dé lugar a una impugnación jurídica que dé lugar a que la nueva decisión también sea invalidada por el TJUE. Es muy poco probable que esto sea políticamente aceptable. Las empresas también necesitan una resolución jurídicamente estable.
Tanto esta sentencia como la anterior en relación con "Safe Harbor" se basan en la Carta de los Derechos Fundamentales de la UE. Se requeriría un acuerdo unánime entre los 27 Estados Miembros de la UE para modificar los tratados de la UE a fin de permitir que la Comisión Europea emita una decisión jurídicamente sólida sobre la transferencia de datos para las transferencias entre la UE y los Estados Unidos.
La solución, por lo tanto, está en manos del legislador estadounidense, que debe adaptar o hacer retroceder las actuales leyes de vigilancia de los Estados Unidos.
¿No es esto sólo proteccionismo de la UE?
No. Este caso se ha presentado contra la Comisión Europea. La legislación de la UE permite muchas opciones para las transferencias internacionales de datos, siempre y cuando se respeten las protecciones básicas de la privacidad.
En realidad, el brazo político de la UE (la Comisión Europea y los Estados Miembros) apoya las transferencias de datos entre la UE y los Estados Unidos, pero el TJUE ha planteado antes dudas sobre la legalidad de estos acuerdos con los Estados Unidos, dada la posible violación de los derechos fundamentales de la UE. Igualmente, el Parlamento Europeo también ha planteado dudas sobre estos acuerdos.
Si se compara el "Privacy Shield", tal como se aplica a las empresas estadounidenses, con el RGPD interno de la UE, es evidente que las empresas estadounidenses pueden acceder al gran mercado de la UE siguiendo normas mucho más débiles que las que deben seguir las empresas de la UE. Esto da a las empresas estadounidenses una ventaja competitiva.