Para preparar la entrega de la opinión consultiva no vinculante del Abogado General el 19 de diciembre a las 9:45 en Luxemburgo, hemos compilado el siguiente documento de preparación. El caso está pendiente desde hace 6,5 años, trata de complejas leyes de privacidad de la UE y de vigilancia de los EE.UU. y fue objeto de cuatro audiencias ante diferentes tribunales. Por lo tanto, es altamente complejo.
I. Antecedentes del caso
Vigilancia de los Estados Unidos. Como confirmaron las revelaciones de Edward Snowden, muchas grandes empresas de Internet de los Estados Unidos (en este caso Facebook) están obligadas a permitir al gobierno de los Estados Unidos el acceso masivo a los datos de los usuarios europeos con fines de "inteligencia extranjera" (incluyendo el antiterrorismo y el espionaje). Este uso de los datos de los europeos puede ir en contra de los intereses nacionales de la UE y de sus estados miembros (por ejemplo, al aplicar las sanciones de EE.UU. a las empresas de la UE o al espiar a los ciudadanos y gobiernos de la UE).
El caso "Safe Harbor" de 2015. Basándose en estos hechos, el Sr. Schrems presentó una denuncia contra Facebook ante el Comisionado de Protección de Datos de Irlanda (DPC) en 2013. El DPC primero rechazó la queja como "frívola y vejatoria". El Sr. Schrems apeló contra el DPC y finalmente ganó: En ese caso, C-362/14 SchremsEl Tribunal de Justicia de la Unión Europea (CJEU) confirmó su opinión y dictaminó que la vigilancia masiva viola los derechos fundamentales europeos. El CJEU suprimió el anterior sistema de "puerto seguro" que facilitaba las transferencias de datos entre la UE y los Estados Unidos. Este sistema fue sustituido urgentemente por el sistema "Privacy Shield" en 2016. Schrems: "Privacy Shield" es una versión actualizada del ilegal "Safe Harbor". Nada en la ley de vigilancia de los EE.UU. fue cambiado o arreglado"
Cláusulas contractuales tipo (CCE). Después de la primera decisión de la CJEU sobre "Safe Harbor", Facebook afirmó que no usaría "Privacy Shield" sino las llamadas "Cláusulas contractuales tipo” (SCC).
Los SCC son un contrato entre una empresa de la UE (aquí Facebook Irlanda) y una empresa no perteneciente a la UE (aquí Facebook Inc, en California) en el que la empresa extranjera se compromete a respetar la privacidad de los europeos. La ley acepta que esos contratos protegen suficientemente los datos europeos cuando se transfieren al extranjero.
Problema central: La ley de privacidad de la UE choca con la ley de vigilancia de EE.UU. Según las leyes de privacidad de la UE ("GDPR") y las SCC, una "exportación de datos" a un tercer país sólo es legal si la empresa exportadora (en este caso Facebook Ireland Ltd) puede asegurar una "protección adecuada" en los EE.UU. En la práctica, esto resultó imposible, porque las leyes de vigilancia de EE.UU. (como FISA 702 y EO 12.333) dan lugar a que el gobierno de EE.UU. "procese en masa" de datos personales para fines de vigilancia. Schrems: "En términos simples: La ley de la UE requiere privacidad, mientras que la ley de EE.UU. requiere vigilancia masiva. La pregunta es, ¿qué pasa cuando una empresa de la UE sigue la ley de EE.UU. en lugar de la de la UE? ”
Solicitud del Sr. Schrems & Reaction por el DPC irlandés. Dada la situación anterior y el fallo del TJCE en el caso "Safe Harbor", el Sr. Schrems solicitó en consecuencia al CPD irlandés en 2015 que utilizara el artículo 4 de los CCE, que permite al CPD ordenar a Facebook que "suspenda" las transferencias de datos en casos individuales. Aunque el CPD acordó ahora con el Sr. Schrems que las leyes de vigilancia de los EE.UU. violan la legislación de la UE, no tomaron medidas directas. Schrems: "Pedimos una solución específica, sólo para las empresas que caen bajo estas leyes de vigilancia. El DPC podría haber emitido tal decisión en un día."
El DPC irlandés quiere invalidar los SCC. Sin embargo, el DPC no siguió la petición del Sr. Schrems, sino que presentó una demanda contra Facebook y el Sr. Schrems ante el Tribunal Superior de Irlanda, con el objetivo de devolver el caso al CJEU, esta vez sobre la validez de los SCC. El Tribunal Superior Irlandés ha cumplido con la petición del DPC y ha remitido once preguntas a pesar de la resistencia del Sr. Schrems y de Facebook (que se opusieron a la referencia por diferentes razones). Gerard Rudden (de ARQ Solicitors, en representación del Sr. Schrems): "Mi cliente pidió una solución específica para las empresas que caen bajo las leyes de vigilancia de masas de EE.UU.. El DPC podría haber emitido tal decisión hace mucho tiempo. En cambio, después de 7 años y dos remisiones a la CJEU, todavía no tenemos una decisión formal del CPD. ”
noyb.eu El Sr. Schrems ha presentado este caso de forma gratuita y cuenta con el apoyo de un equipo de abogados de Irlanda, Estados Unidos y Luxemburgo. El caso también cuenta con el apoyo de la organización europea sin fines de lucro noyb.eu...de la cual también es el presidente honorario. El Sr. Schrems está representado por Eoin McCullhan, instruido por Ahern Rudden Quigley Solicitors. El Prof. Herwig Hofmann apoyó el caso en asuntos de Derecho Europeo. Ashley Gorski, de la Unión Americana de Libertades Civiles (ACLU.org) ha asistido como testigo experto en la ley de vigilancia de los Estados Unidos.
II. Posibles resultados
Es muy probable que haya una diferencia entre la opinión del AG y el juicio final. El caso planteó once preguntas parcialmente interconectadas con muchas cuestiones adicionales que vienen con cada pregunta. A diferencia de muchos otros casos, no se espera una respuesta binaria. Tanto la opinión como la sentencia final pueden ampliar algunas cuestiones y guardar silencio sobre otros puntos. Schrems: "Este caso tiene once preguntas interconectadas. Es muy improbable que obtengamos una sola respuesta clara de 'sí o no' del Abogado General. Dadas las muchas opciones, es aún menos probable que los jueces enfoquen estas once preguntas de la misma manera en su juicio final"
Además de las muchas opciones diferentes en este caso, la vista oral del caso podría haber sido un indicador de las opiniones algo diferentes entre el Fiscal General y los jueces. Schrems: "Durante la audiencia del tribunal el Abogado General hizo preguntas en una dirección muy diferente a la de los Jueces. Los jueces parecían ser mucho más críticos con la ley de los EE.UU. y la evaluación de la Comisión Europea que el Abogado General. Por lo tanto, espero que la sentencia final pueda proporcionar una protección de la privacidad más estricta que la opinión del jueves"
Se necesita una solución a largo plazo. A largo plazo, es muy probable que el choque fundamental entre las leyes de privacidad de la UE y las leyes de vigilancia de los Estados Unidos no se resuelva en este caso. Schrems: "Si los EE.UU. quiere procesar los datos de los extranjeros, tendrá que dar a los extranjeros por lo menos las mismas protecciones de privacidad de base. En este momento, los EE.UU. se comportan un poco como si Suiza dijera 'guarda todo tu oro con nosotros, pero en realidad no tienes derechos una vez que está aquí'. Si esa es la situación, ¿quién en el mundo confiará en los EE.UU. con sus datos?"
III. Posición de las partes en la "Disputa Principal"
Una vez que una autoridad de protección de datos opina que un receptor de datos tiene obligaciones legales en un tercer país que no cumple con la legislación de la UE (como en este caso), surge la pregunta de cómo resolver este dilema. Las tres partes en el procedimiento propusieron tres respuestas diferentes:
|
DPC irlandés |
Max Schrems |
|
|
|
La vigilancia de EE.UU. no viola la ley de la UE ("no hay problema que resolver") |
No |
No |
Sí |
|
El artículo 4 de las SCC permite suspender ("solución dirigida" para las empresas de FISA) |
No |
Sí |
Sí, si hubiera un problema |
|
Los SCC son inválidos a nivel mundial ("solución radical") |
Sí |
No |
No |
- Facebook opina que la premisa de la pregunta es errónea, porque la vigilancia de los EE.UU. cumple con la legislación de la UE (por varias razones) y el caso no se rige por la legislación de la UE.
- El Sr. Schrems opina que el artículo 4 de las CSC permite al CPD suspender los flujos de datos en casos individuales, pero el CPD no está haciendo ningún uso de esta "solución dirigida" en virtud de la ley.
- El CPD considera que se trata de un problema "sistemático" que debería conducir a la invalidación de los SCC a nivel mundial y que no debería corresponder al CPD actuar en cada caso individualmente.
IV. Preguntas frecuentes y malentendidos comunes
- ¿No intentó el Sr. Schrems eliminar las cláusulas contractuales estándar?
El Sr. Schrems nunca ha argumentado que las CCS puedan ser inválidas. De todas las partes y de todas las intervenciones en el CJEU sólo el CPD consideró que las CCE debían ser invalidadas. Todos (instituciones de la UE, Estados miembros, grupos de presión, Facebook y el Sr. Schrems) son de la opinión de que las CCE no son inválidas.
- ¿No está la UE bloqueando el libre comercio?
Hay dos leyes que conducen a este choque de jurisdicciones: (1) Las leyes de vigilancia de EE.UU. que permiten la vigilancia masiva de extranjeros y el espionaje sin la aprobación individual de los tribunales y (2) el derecho fundamental europeo a la privacidad. Es muy racional prohibir los flujos de datos hacia un territorio extranjero, si estos datos pueden ser mal utilizados. Los EE.UU. tienen preocupaciones similares con respecto a aplicaciones como "TikTok" o el hardware 5G de Huawei.
- ¿Este caso no significa que ya no se pueden enviar correos electrónicos a los EE.UU.?
En términos sencillos, la GDPR habla de dos tipos de flujos de datos: 1) Flujos de datos necesarios (como los correos electrónicos o la reserva de un hotel en el extranjero), para los que existen excepciones en el artículo 49 de la GDPR y 2) casos de "externalización" del procesamiento de datos a un tercer país, que no son estrictamente necesarios. Incluso si se invalidaran los CCE, esto sólo tendría consecuencias para la segunda categoría de casos, en los que no se aplica ninguna "derogación".
En el caso de los correos electrónicos, esto significaría que un buzón de Gmail en su conjunto ya no podría ser subcontratado a los EE.UU., pero los correos individuales que van a un amigo o colega de los EE.UU. seguirán siendo entregados (al igual que los correos electrónicos que se envían a China, Rusia o incluso Corea del Norte hoy en día).
- ¿Este caso concierne a todos los flujos de datos hacia los EE.UU.?
De acuerdo con los argumentos del Sr. Schrems, la cuestión central se limita a las empresas que se rigen por una ley de vigilancia específica llamada "FISA 702". Esta ley sólo se aplica a los "proveedores de servicios de comunicación electrónica" (como Facebook, Google o Microsoft), pero no se aplica a los "negocios tradicionales" como las líneas aéreas, los hoteles, el comercio, las finanzas y otros.
Hay otra cuestión en torno a una autorización de vigilancia llamada "EO 12.333", que permite a los EE.UU. llevar a cabo la vigilancia en cualquier sector empresarial, incluidos los cables transatlánticos fuera de los Estados Unidos. Esto es principalmente relevante para la evaluación del "Escudo de Privacidad".
En general, la suspensión de las transferencias de datos en el marco de los SCC sólo es necesaria para las empresas que se rigen por la norma FISA 702, que se introdujo en 2007. El problema se puede resolver arreglando esta ley en los Estados Unidos.
- ¿El Sr. Schrems demandó a Facebook dos veces?
Mientras que el Sr. Schrems ha presentado la denuncia original ante el CPD en 2013, el CPD ha puesto en pausa este procedimiento y ha presentado una demanda contra Facebook y el Sr. Schrems. Ellos son los acusados y no han comenzado esta (segunda) referencia al CJEU. De hecho, tanto el Sr. Schrems como Facebook se han opuesto a la referencia al CJEU por diferentes razones.
- ¿Qué tiene que ver este caso con el "Escudo de Privacidad"?
Facebook ha planteado el "Escudo de Privacidad" en el caso, ya que argumentan que la Comisión Europea ha aprobado las leyes de vigilancia de EE.UU. en el Escudo de Privacidad y esta evaluación también debería ser vinculante cuando las leyes de vigilancia de EE.UU. se evalúan en el marco de los CCE. El Sr. Schrems ha argumentado que esta evaluación es objetivamente incorrecta y que el Escudo de Privacidad es por lo tanto inválido.
No está claro si el Abogado General abordará alguno de los dos argumentos, a pesar de que los jueces estuvieron interrogando intensamente a la Comisión Europea sobre el Escudo de Privacidad durante la audiencia oral.
- ¿Por qué dice que los CCE están bien, pero el Escudo de Privacidad no?
El SCC es una herramienta genérica para unos 200 países del mundo. No se ocupa de las leyes de vigilancia de los Estados Unidos. Si hay una ley en conflicto, el artículo 4 de los SCC permite al DPC detener la transferencia de datos. Por lo tanto, los SCC tienen una respuesta para el problema ante la Corte. En la decisión del Escudo de Privacidad, la Comisión Europea sostuvo explícitamente que la ley de vigilancia de EE.UU. cumple con la legislación de la UE, con la cual estamos fundamentalmente en desacuerdo.
- ¿Qué crees que debería haber hecho el DPC?
En virtud del artículo 4 de los SCC, cualquier autoridad de protección de datos (como el DPC) puede detener las transferencias de datos, si los SCC no se cumplen de hecho. Facebook Irlanda estaba al tanto de la vigilancia de la NSA desde por lo menos 2013, pero no ha tomado ninguna medida para detener o limitar las transferencias de datos. En tales casos, el regulador tiene que intervenir y tomar medidas.
- ¿Cómo pueden las empresas cumplir con una sentencia favorable?
En primer lugar, tendrían que identificar si alguno de sus datos va a un "proveedor de servicios de comunicación electrónica" de los EE.UU. que cae bajo la norma FISA 702. La mayoría de las industrias tradicionales no entran en estas leyes de vigilancia, pero las grandes empresas de tecnología que muchos de nosotros utilizamos (como Facebook, Google, Amazon o Microsoft) sí lo hacen.
Incluso si los datos van a uno de estos proveedores, la mayoría de las transferencias de datos esenciales (por ejemplo, el envío de correos electrónicos, los mensajes directos o los datos de reserva) todavía pueden transferirse en virtud de las denominadas "excepciones" en la RDPI. Sin embargo, en los casos de mera "externalización", las empresas europeas pueden tener que encontrar alternativas fuera de los Estados Unidos.
