Prep - Antecedentes de la opinión del GC de mañana

Ene 14, 2020

Para preparar la entrega de la opinión consultiva no vinculante del Abogado General el 19 de diciembre a las 9:45 horas aproximadamente en Luxemburgo, hemos recopilado el siguiente documento de preparación. El caso está pendiente desde hace 6,5 años, trata de complejas leyes de privacidad de la UE y de vigilancia de los EE.UU. y fue objeto de cuatro audiencias ante diferentes tribunales. Por lo tanto, es muy complejo.

Descargue el Prep-Documento aquí (PDF)

I. Antecedentes del caso

Vigilancia de los Estados Unidos. Como confirmaron las revelaciones de Edward Snowden, muchas grandes empresas de Internet de EE.UU. (en este caso Facebook) tienen la obligación de permitir al gobierno de EE.UU. acceder a los datos de los usuarios europeos a escala masiva para fines de "inteligencia extranjera" (incluyendo el antiterrorismo y el espionaje). Este uso de los datos de los europeos puede ir en contra de los intereses nacionales de la UE y de sus Estados miembros (por ejemplo, al aplicar las sanciones de los Estados Unidos a las empresas de la UE o al espiar a los ciudadanos y gobiernos de la UE).


El caso "Puerto Seguro" de 2015. Basándose en estos hechos, el Sr. Schrems presentó una denuncia contra Facebook ante el Comisionado de Protección de Datos de Irlanda ("DPC") en 2013. El CPD rechazó primero la denuncia por considerarla "frívola y vejatoria". El Sr. Schrems apeló contra el DPC y finalmente ganó: En ese caso, C-362/14 SchremsEn el caso de la vigilancia masiva, el CJEU ("Tribunal de Justicia de la Unión Europea", el tribunal supremo de la UE) confirmó su opinión y dictaminó que la vigilancia masiva viola los derechos fundamentales europeos. El CJEU suprimió el anterior sistema de "puerto seguro" que facilitaba las transferencias de datos entre la UE y los Estados Unidos. Este sistema fue sustituido urgentemente por el sistema "Privacy Shield" en 2016. Schrems: "Privacy Shield es una versión actualizada del ilegal 'Safe Harbor'. Nada en la ley de vigilancia de los Estados Unidos fue cambiado o arreglado"


Cláusulas Contractuales Estándar ("CEC"). Después de la primera decisión del CJEU sobre el "Safe Harbor", Facebook afirmó que no utilizaría el "Privacy Shield" sino el llamado "Cláusulas contractuales estándar” (SCC).

Las SCC son un contrato entre una empresa de la UE (aquí Facebook Ireland) y una empresa no perteneciente a la UE (aquí Facebook Inc, en California) en el que la empresa extranjera se compromete a respetar la privacidad de los europeos. La ley acepta que tales contratos protegen suficientemente los datos europeos cuando se transfieren al extranjero.


Problema central: La ley de privacidad de la UE choca con la ley de vigilancia de EE.UU. Según las leyes de privacidad de la UE ("GDPR") y las SCC, una "exportación de datos" a un tercer país sólo es legal si la empresa exportadora (en este caso Facebook Ireland Ltd) puede garantizar una "protección adecuada" en los Estados Unidos. En la práctica, esto resultó imposible, porque las leyes de vigilancia de los Estados Unidos (como FISA 702 y EO 12.333) dan como resultado el "procesamiento masivo" del gobierno de los Estados Unidos[1] de datos personales para fines de vigilancia. Schrems: "En términos simples: La legislación de la UE exige la privacidad, mientras que la de EE.UU. exige la vigilancia masiva. La pregunta es, ¿qué sucede cuando una empresa de la UE sigue la legislación de los EE.UU. en lugar de la de la UE?


Aplicación de Mr. Schrems & Reaction por el DPC irlandés. Dada la situación anterior y la sentencia del TJCE en el caso "Safe Harbor", el Sr. Schrems solicitó en consecuencia al CPD irlandés en 2015 que utilizara el artículo 4 de las CCE, que permite al CPD ordenar a Facebook que "suspenda" las transferencias de datos en casos individuales. Si bien el DPC acordó ahora con el Sr. Schrems que las leyes de vigilancia de EE.UU. violan la legislación de la UE, no tomaron medidas directas. Schrems: "Pedimos una solución específica, sólo para las empresas que se rigen por estas leyes de vigilancia. El CPD podría haber emitido tal decisión en un día"


El DPC irlandés quiere invalidar los SCC. Sin embargo, el DPC no siguió la petición del Sr. Schrems, sino que presentó una demanda contra Facebook y el Sr. Schrems ante el Tribunal Superior de Irlanda, con el objetivo de devolver el caso al CJEU, esta vez sobre la validez de los SCC. El Tribunal Superior de Irlanda ha cumplido con la petición del CPD y ha remitido once preguntas a la CJEU, a pesar de la resistencia del Sr. Schrems y de Facebook (que se opusieron ambos a la referencia por diferentes razones). Gerard Rudden (de ARQ Solicitors, en representación del Sr. Schrems): "Mi cliente pidió una solución específica para las empresas que caen bajo las leyes de vigilancia de masas de EE.UU.". El DPC podría haber emitido tal decisión hace mucho tiempo. En cambio, después de 7 años y dos remisiones al CJEU, todavía no tenemos una decisión formal del CPD.


noyb.eu El Sr. Schrems ha presentado este caso de forma gratuita y cuenta con el apoyo de un equipo de abogados de Irlanda, Estados Unidos y Luxemburgo. El caso también cuenta con el apoyo de la organización europea sin fines de lucro noyb.eude la cual es también el presidente honorario. El Sr. Schrems está representado por Eoin McCullhan, instruido por Ahern Rudden Quigley Solicitors. El Prof. Herwig Hofmann apoyó el caso en asuntos de Derecho Europeo. Ashley Gorski de la Unión Americana de Libertades Civiles (ACLU.org) ha asistido como testigo experto en la ley de vigilancia de los Estados Unidos.