El lunes, el Tribunal Supremo de EE. UU. dictaminó, en el caso Trump contra Slaughter, que la Comisión Federal de Comercio de EE. UU. («FTC») podría haber dejado de ser independiente. Desde el año 2000, la UE ha confiado en la «independiente» FTC como encargada de velar por el cumplimiento de los acuerdos entre la UE y EE. UU. en materia de datos personales. Según el Derecho de los Tratados de la UE, dicha supervisión debe ser independiente. En el actual acuerdo entre la UE y EE. UU., la Comisión Europea recurre a la FTC independiente 259 (¡!) veces. Max Schrems: «Dado que ya no existen autoridades independientes en EE. UU., instamos a la Comisión Europea a que retire de forma ordenada la decisión de adecuación relativa a EE. UU.».
- Decisión de Ejecución (UE) 2023/1795 de la Comisión sobre el Marco de Protección de Datos UE-EE. UU. (EUR-Lex)
- Sentencia del Tribunal Supremo de EE. UU. en el caso caso Trump contra Slaughter
- noyb Carta a la Comisión Europea
El Marco de Protección de Datos UE-EE. UU. Desde 1995, la UE prohíbe de forma general la exportación de datos personales a terceros países, con el fin de garantizar que las normas de privacidad de la UE no puedan eludirse simplemente enviando datos al extranjero. Aunque existen excepciones para las transferencias necesarias, que van desde algo tan sencillo como reservar un hotel hasta transacciones complejas, muchas empresas de la UE simplemente externalizaron el tratamiento de datos personales a proveedores de servicios en la nube de EE. UU. Desde el año 2000, la Comisión Europea ha reconocido en repetidas ocasiones que EE. UU. es un país «adecuado» en lo que respecta a la protección de datos personales, lo que permite la libre circulación de datos entre la UE y EE. UU. El Tribunal de Justicia de la Unión Europea (TJUE) anuló las dos decisiones anteriores de la Comisión en el llamado ««Schrems I»» (que puso fin al «Safe Harbour») y «Schrems II» (que acabó con el «Privacy Shield»), debido a las leyes de vigilancia de EE. UU. y a la falta de recursos judiciales en ese país. No obstante, la Comisión Europea publicó en 2023 un tercer acuerdo entre la UE y EE. UU. denominado «Marco de Protección de Datos UE-EE. UU.», que era en gran medida un «copia y pega» de los acuerdos anteriormente anulados.
Requisito de la UE de contar con una autoridad de protección de datos independiente.El Derecho de los Tratadosde la UE(es decir, el marco «constitucional» de la UE), concretamente el artículo 16, apartado 2, del TFUE y el artículo 8, apartado 3, de la Carta de los Derechos Fundamentales, exige que la supervisión de las cuestiones relacionadas con la protección de datos corra a cargo de una autoridad «independiente». Dado que los terceros países deben contar con protecciones «esencialmente equivalentes», es necesario que cualquier tercer país que desee disfrutar de la libre circulación de datos personales procedentes de la UE ofrezca también dichas protecciones. Hasta ahora, EE. UU. ha designado a la «independiente» FTC como autoridad reguladora de la privacidad en EE. UU. para cumplir con el requisito de la UE de una supervisión independiente. La UE, a su vez, ha recurrido a la FTC la friolera de 259 (¡!) veces en su decisión sobre el flujo de datos entre la UE y EE. UU.
Max Schrems: «Es fundamental que el marco constitucional de la UE exija una supervisión independiente. La única forma de cambiar esto sería una votación unánime de todos los Estados miembros de la UE para modificar los tratados de la UE».
El requisito de un tribunal independiente. Además, el TJUE también destacó que EE. UU. tendría que proporcionar un mecanismo de recurso judicial independiente en materia de vigilancia gubernamental. Dado que EE. UU. no pudo aprobar la legislación pertinente, la Administración Biden creó un «Tribunal de Revisión de Protección de Datos». Aunque se denomine «Tribunal», se trata, de hecho, de un órgano ejecutivo dependiente del Ministerio de Justicia de EE. UU. Solo es «independiente» en virtud de una orden ejecutiva (EO) del expresidente Biden, que Trump puede modificar en cualquier momento y que no es vinculante para el presidente.
La sentencia «Slaughter»: Ejecutivo unitario (Trump). Enun giro de 180° respecto a la jurisprudencia, la mayoría conservadora del Tribunal Supremo de EE. UU. ha decidido ahora que la independencia de la FTC es inconstitucional. Esto se ajusta a una teoría «unitaria», según la cual el presidente de EE. UU. debe tener poder sobre todos los órganos ejecutivos de EE. UU. y ha declarado inconstitucionales todas las leyes estadounidenses que otorgan independencia a diversas agencias. Dado que la UE se basaba, en casi todos los casos, en la «independencia» de la FTC como garante de la privacidad, toda la estructura del Marco de Protección de Datos UE-EE. UU. acaba de derrumbarse.
Max Schrems: «Incluso según la lógica de la Comisión Europea, la base de cualquier acuerdo de transferencia de datos entre la UE y EE. UU. ha dejado de existir. Instamos a la Comisión a que inicie una salida ordenada de la nube estadounidense, lo cual no es fácil, pero, lamentablemente, es inevitable. La Comisión construyó un castillo de naipes jurídico bajo la presión del sector; ahora que se derrumba claramente, tiene que asumir su responsabilidad».
El impacto no es ilimitado. Aunquehayan desaparecido todos los fundamentos de la decisión de la UE, la Decisión de la Comisión Europea sigue formalmente en vigor hasta que la Comisión Europea la derogue o el Tribunal de Justicia la anule. Por lo tanto, no hay ningún efecto inmediato. Además, el RGPD solo regulaba la transferencia de datos personales. Los datos no personales pueden circular libremente. Por otra parte, el artículo 49 del RGPD permite las transferencias de datos necesarias a cualquier tercer país. Sin embargo, no permite la deslocalización estructural de datos fuera de la UE, si ello no es estrictamente necesario.
Las cláusulas contractuales tipo (SCC) y las normas corporativas vinculantes (BCR) también se ven afectadas. Aunque algunas empresas quizá no se basen directamente en el Marco UE-EE. UU. y, en su lugar, utilicen formalmente las SCC y las BCR, suelen basarse también en una «evaluación de impacto» que, a su vez, se apoya en organismos ejecutivos estadounidenses anteriormente independientes, como el PCLOB o el Tribunal de Revisión de Protección de Datos. Por lo tanto, la sentencia del Tribunal Supremo suele afectarles también a ellas, aunque no se basen en la FTC. A diferencia de los responsables del tratamiento que se basan en una Decisión formal de la Comisión, deben actualizar de forma inmediata su evaluación y, lógicamente, llegar a la conclusión de que las transferencias de datos ya no son legales.
Próximos pasos: la Comisión debe derogar el acuerdo UE-EE. UU. noyb ha enviado una carta formal a la Comisión Europea hoy mismo, en la que le pide que adopte las medidas oportunas para derogar el acuerdo de datos entre la UE y EE. UU. de forma ordenada. Desde el punto de vista político, muchos Estados miembros de la UE ya han adoptado un enfoque de «soberanía digital» y han manifestado su intención de desvincularse de los proveedores de servicios estadounidenses. Algunos proveedores de servicios estadounidenses también están avanzando hacia un tratamiento de datos independiente de la UE. Sin embargo, dado que EE. UU. sigue ejerciendo una presión enorme sobre la UE para que mantenga el flujo de datos personales, noyb también presentará una demanda en las próximas semanas, con el objetivo de que el TJUE anule el acuerdo actual. No obstante, este tipo de demandas suelen tardar entre dos y tres años en llegar a una resolución definitiva.
