Transferencias de datos entre la UE y los Estados Unidos

EU and US law crashing

Antecedentes

En el fondo, este caso trata de un conflicto de leyes entre las leyes de vigilancia de los EE.UU. que exigen la vigilancia y las leyes de protección de datos de la UE que exigen la privacidad.

Problema: Las leyes de vigilancia de los Estados Unidos

En 2013, Edward Snowden reveló públicamente que las Agencias de Inteligencia de los Estados Unidos tienen acceso a los datos personales de los usuarios europeos con la ayuda de programas de vigilancia como PRISM. Este acceso fue facilitado por una ley de los EE.UU. que no se sabe que se utiliza para permitir una vigilancia de tan amplio alcance, llamada 50 U.S.C. §1881a (o FISA 702). La FISA 702 fue aprobada en 2008 y fundamentalmente amplió las opciones de vigilancia y acceso a los datos para las autoridades estadounidenses. Al mismo tiempo que esta expansión, los proveedores de servicios de comunicación electrónica de los Estados Unidos (como Apple, Microsoft, Facebook, Google y Yahoo) estaban recopilando cada vez más datos personales. En combinación, esto condujo a un impacto cada vez más perjudicial en la privacidad de los usuarios europeos.

En virtud de la norma FISA 702, se puede obligar a los "proveedores de servicios de comunicación electrónica" de los Estados Unidos (según se definen en el párrafo 4 del artículo 1881 del título 50 del Código de los Estados Unidos) a dar a las autoridades de seguridad de los Estados Unidos acceso a los datos personales de las "personas no estadounidenses", que se definen como cualquier persona que no sea ciudadano o residente permanente de los Estados Unidos. Las órdenes de vigilancia en virtud de esta ley no están obligadas a ser específicas para un objetivo individual, sino que permiten un programa de vigilancia general como el PRISM o Upstream. No hay una aprobación judicial individualizada para personas no estadounidenses. La norma FISA 702 también permite la vigilancia para fines bastante amplios, como "información que ... se relaciona con ... la conducción de los asuntos exteriores de los Estados Unidos" (véase 50 U.S.C. §1801(e)).

También hay poderes de vigilancia de los Estados Unidos basados en el "poder inherente del presidente de los Estados Unidos" y definidos con más detalle en una orden ejecutiva (EO 12.333), mientras que otros elementos se describen en la Directiva de Política Presidencial 28 (PPD-28). Ambas son órdenes internas del poder ejecutivo que no crean ningún deber ni derecho para las entidades privadas, pero permiten la vigilancia de personas no estadounidenses.

En los documentos revelados por Edward Snowden se enumeran varias empresas estadounidenses que están proporcionando datos al gobierno de los Estados Unidos para programas de vigilancia como PRISM o Upstream en virtud de estas disposiciones, entre ellas Apple, Microsoft, Facebook, Google y Yahoo.

Reacción: El GDPR limita las transferencias de datos

Las leyes europeas sobre la privacidad (anteriormente la Directiva 95/46, y ahora la GDPR) se basan en el concepto de un flujo libre de datos personales, pero sólo dentro de una esfera que protege la privacidad del usuario. Si los datos personales sólo se protegieran dentro de la Unión Europea pero pudieran transferirse fuera de la jurisdicción de la UE sin ninguna restricción, el alto nivel de protección de los datos personales necesario dentro de la UE podría verse fácilmente socavado.

Sin embargo, la legislación de la UE siempre ha previsto simultáneamente excepciones a este principio de limitación de las transferencias, como cuando los datos personales deben transferirse necesariamente (por ejemplo, al reservar un servicio en el extranjero o al enviar un correo electrónico) o cuando un usuario consiente libremente una transferencia. Estas excepciones para las transferencias no estructurales están actualmente codificadas en el artículo 49 de la RPI.

Además, la legislación de la Unión Europea reconoce que puede haber situaciones en las que empresas no pertenecientes a la Unión Europea proporcionen un nivel equivalente de protección de los datos personales. En algunos países la legislación nacional es similar a la de la UE (por ejemplo, Suiza, Israel, Canadá o Japón), y en otros países las empresas pueden comprometerse voluntariamente con los principios de la UE mediante la firma de acuerdos de derecho civil, como las cláusulas contractuales estándar (SCC), las normas corporativas vinculantes o el escudo de privacidad UE-EE.UU. Estos últimos fundamentos jurídicos se pueden encontrar en los artículos 46 a 48 de la Ley de Protección de Datos y se utilizan en gran medida para situaciones que se describen mejor como "externalización" del tratamiento de datos personales por parte de las empresas a países no pertenecientes a la UE.

Como los Estados Unidos no tienen una ley general o federal de privacidad, las empresas estadounidenses deben recurrir a una de estas opciones contractuales de los artículos 46 a 48 de la Ley de Protección de Datos para la subcontratación. Sin embargo, para las empresas que entran en el ámbito de aplicación de las leyes de vigilancia de los Estados Unidos, el uso de estas opciones contractuales es imposible en la práctica, ya que la legislación de los Estados Unidos les exige que incumplan sus obligaciones en virtud de la legislación de la Unión Europea. Este problema está en el centro de todos los casos entre el Sr. Schrems, el Comisionado de Protección de Datos de Irlanda (DPC) y Facebook, ya que Facebook claramente cae bajo las leyes de vigilancia de los EE.UU. y participó en programas como PRISM, mientras que contradictoriamente firmó SCC, Safe Harbor y ahora Privacy Shield (la decisión sobre las transferencias de datos entre la UE y los EE.UU. que sustituye a Safe Harbor).

Primera referencia al CJEU en 2013-2015 ("Safe Harbor")

Procedimiento ante el Comisionado de Protección de Datos de Irlanda (DPC)

Después de las revelaciones de Snowden, el Sr. Schrems (entonces estudiante de derecho austriaco) presentó una queja contra Facebook Ireland Ltd. ante el Comisionado de Protección de Datos de Irlanda (DPC). La queja argumentaba que bajo el Decisión de puerto seguro entre la UE y los EE.UU. 2000/520/EC (una decisión ejecutiva adoptada por la Comisión Europea en 2000) Los datos personales del Sr. Schrems no deben enviarse desde Facebook Ireland Ltd (que presta servicios a usuarios de Facebook fuera de los Estados Unidos y el Canadá) a Facebook Inc. (la empresa matriz de los EE.UU.), dado que Facebook tiene que conceder a la Agencia de Seguridad Nacional de los EE.UU. el acceso a esos datos.

El DPC irlandés rechazó la queja del Sr. Schrems por considerarla "frívola y vejatoria", argumentando que Facebook se basó en la Decisión de Puerto Seguro para llevar a cabo sus transferencias de datos a los Estados Unidos. En opinión del DPC, la Comisión Europea había aceptado que la legislación de los Estados Unidos de América era adecuada en la decisión de 2000 (8 años antes de que se aprobara el 50 U.S.C. § 1881a) y que el DPC estaba absolutamente obligado por la decisión de la Comisión.

Revisión judicial contra el DPC

En octubre de 2013, el Sr. Schrems solicitó una revisión judicial de la decisión del CPD, argumentando que éste podía utilizar una "cláusula de emergencia" en la decisión de puerto seguro para suspender la transferencia de datos y que, en cualquier caso, la decisión de puerto seguro no era válida. En un fallo de 18. 6. 2014 [2014] IEHC 310, el Tribunal Superior de Irlanda interrumpió el procedimiento y remitió el caso al Tribunal de Justicia de la Unión Europea (CJEU). El Tribunal Superior de Irlanda estuvo en gran medida de acuerdo con el hecho de que existe una "vigilancia masiva" en virtud de la legislación de los Estados Unidos de América, pero consideró que no podía adoptar una decisión definitiva sobre el caso del Sr. Schrems sin determinar antes la validez de la decisión sobre el puerto seguro. En virtud de la legislación de la Unión Europea, sólo el Tribunal Superior de Justicia de la Unión Europea puede determinar la validez de actos de la Unión Europea como la Decisión sobre el puerto seguro, lo que significa que el Tribunal Superior de Irlanda tuvo que remitir el caso al Tribunal Superior de Justicia de la Unión Europea.

Sentencia del CJEU de 6 de octubre de 2015 (C-362/14)

En un juicio innovador (C-362/14 Schrems) la CJEU declaró inválida la decisión de Puerto Seguro, en gran parte siguiendo los argumentos del Sr. Schrems. El Tribunal sostuvo que un tercer país como los Estados Unidos debe proporcionar un nivel de protección "esencialmente equivalente" al que ofrece la legislación de la UE, y que "la legislación que permite a las autoridades públicas tener acceso de forma generalizada" violaba la esencia del derecho fundamental de la UE a la privacidad según el artículo 7 de la Carta de los Derechos Fundamentales de la UE (CFR). Del mismo modo, la falta de reparación jurídica en los Estados Unidos para las personas que no son de ese país viola el derecho fundamental a un recurso judicial en virtud del artículo 47 de la CFR.

Tras el fallo del CJEU, el Tribunal Superior de Irlanda dio por concluido el procedimiento en los tribunales irlandeses, ya que el CPD se comprometió a aplicar rápidamente la decisión del CJEU.

Segunda referencia a la CJEU en 2015-20 (SCCs & Privacy Shield)

La información de que Facebook se basó en los CCE

Para gran sorpresa del Sr. Schrems, en noviembre de 2015 el CPD le informó de que la sentencia del CJEU sobre la decisión del puerto seguro era irrelevante para su denuncia original, porque Facebook, de hecho, siempre se había basado en las llamadas "cláusulas contractuales estándar" (CCE) para realizar sus transferencias de datos. El CPD no había revelado esta información al Sr. Schrems, lo que le hacía creer que Facebook había confiado en el puerto seguro, a pesar de que ya había recibido esa información de Facebook en una respuesta por correo electrónico a la denuncia en 2013.

Por consiguiente, el Sr. Schrems reformuló su queja para incluir ahora los SCC y cualquier otra base legal para las transferencias de datos en las que pudiera basarse Facebook, y proporcionó al DPC una queja actualizada el 1 de diciembre de 2015. El Sr. Schrems argumentó que el CPD debería utilizar el Artículo 4 de la Decisión del SCC para suspender las transferencias, ya que el Artículo 4 permite al CPD suspender las transferencias de datos si se violan los derechos fundamentales de los usuarios.

La demanda del DPC contra Facebook y el Sr. Schrems

En lugar de decidir rápidamente sobre el caso, el DPC sorprendentemente presentó una demanda contra Facebook Ireland Ltd y el Sr. Schrems poco después de iniciar su "investigación" sobre la reformulada demanda que involucraba a las dos partes. En opinión del DPC las dos partes eran los "demandados naturales" en este caso, y el DPC se vio obligado a pedir al Tribunal Superior que emitiera otra referencia al Tribunal de Justicia de la UE. El Sr. Schrems ha impugnado el caso, argumentando que el CPD sólo puede remitirse al TJCE por segunda vez una vez que se hayan investigado todos los hechos y cuestiones.

Varias partes han solicitado ser incorporadas como amicus (ayudantes neutrales del tribunal) al caso; el gobierno de los Estados Unidos, EPIC.org y dos grupos de presión de la industria se incorporaron al mismo.

En la demanda, el DPC argumentó que no sólo se uniría a las opiniones del Sr. Schrems en sus preocupaciones sobre la ley de vigilancia de los Estados Unidos, sino que, además, tenía serias preocupaciones sobre la validez de los SCC utilizados por Facebook. El CPD consideró que los SCC no prevén un mecanismo legal para la transferencia de datos, si un tercer país como los EE.UU. ha aprobado leyes que están en conflicto con los SCC. Facebook y el Sr. Schrems no tuvieron ningún problema con los SCC y acordaron que en tal caso el Artículo 4 de la Decisión sobre los SCC (UE) 2010/87 permitiría una solución.

Al contrario que el Sr. Schrems y el DPC, Facebook no vio ningún problema en las leyes de vigilancia de los EE.UU. y consideró que la UE no tiene jurisdicción sobre las cuestiones de "seguridad nacional". Facebook también se basó en la Decisión sobre el Escudo de Privacidad (UE) 2016/1250 de la Comisión Europea, que reemplazó la decisión de Puerto Seguro invalidada. En esta decisión, la Comisión Europea determinó que no hay conflicto entre las leyes de vigilancia de los Estados Unidos y los derechos fundamentales de la UE. Según Facebook, esta conclusión de la decisión sobre el Escudo de Protección de la Privacidad también debe aplicarse a las transferencias en virtud de los CCE. El Sr. Schrems opinó que la decisión del Escudo de Privacidad en sí misma es inválida ya que tergiversa fundamentalmente las leyes de vigilancia de los EE.UU. y por lo tanto no tiene autoridad para interpretar los SCC.

Tras varios pasos de procedimiento y más de cinco semanas de audiencias con múltiples testigos expertos en la legislación sobre vigilancia de los Estados Unidos, el Tribunal Superior de Irlanda reconoció la existencia de programas de vigilancia masiva del gobierno de los Estados Unidos. En un fallo de 3 de octubre de 2017 [2017] IEHC 545, el Tribunal Superior irlandés resumió todas las conclusiones fácticas, destacando que los Estados Unidos llevan a cabo un "tratamiento masivo" de datos personales, cuando por ejemplo filtran todo el tráfico de Internet que fluye a través de partes de la red troncal de Internet. El 13 de abril de 2018 remitió once preguntas interpretativas al CJEU para su determinación. Las preguntas fueron redactadas en gran medida por el CPD.

Tras la referencia, Facebook solicitó al Tribunal Supremo irlandés que suspendiera la referencia del Tribunal Superior, pero la apelación fue finalmente rechazada el 31 de mayo de 2019.

Procedimiento ante el TJCE (C-311/18)

El 30 de agosto de 2018 las partes tenían que presentar sus observaciones por escrito.

El 19 de julio de 2019, el CJEU oyó el caso ante la Gran Sala (la composición más numerosa del Tribunal, con 15 jueces), y escuchó a las tres partes, los cuatro amicus, la Comisión Europea, el Parlamento Europeo, la Junta Europea de Protección de Datos (EDPB) y un gran número de gobiernos de los Estados miembros de la UE. Las preguntas de los jueces se centraron en particular en cuestiones relacionadas con las leyes de vigilancia de los Estados Unidos y la validez de la decisión del Escudo de Privacidad.

El 19 de diciembre de 2019 el Abogado General (AG) del Tribunal emitió su Opinión Consultiva no vinculante sobre el caso, uniéndose en gran medida a la posición del Sr. Schrems. Según la Opinión, las leyes de vigilancia de los Estados Unidos son incompatibles con los derechos fundamentales de la Unión Europea, pero la solución a la incompatibilidad radica en que el CPD ordene la suspensión de las transferencias de datos en virtud del artículo 4 de la Decisión SCC. Si bien el Fiscal General criticó explícitamente la Decisión sobre el Escudo de Protección de la Privacidad, consideró que la cuestión de su validez no forma parte integrante del caso.

La sentencia final sobre estos asuntos por la CJEU se emitirá el 16 de julio de 2020 aproximadamente a las 09:30 CET.

Relevant articles