Últimas 15minutos

Sin validez el "escudo de protección" de datos entre EEUU y la UE

En cambio, se respaldó el sistema general de privacidad de datos europeos con terceros países a través del Reglamento General de Protección de Datos

En una respuesta a una cuestión prejudicial, la corte con sede en Luxemburgo invalidó el llamado "escudo de protección" de datos (Cortesía 12019/Pixabay)

15 minutos. El Tribunal de Justicia de la Unión Europea (TJUE) invalidó este jueves el acuerdo de protección de datos personales entre la Unión Europea (UE) y Estados Unidos (EEUU). La razón: el temor a injerencias en los derechos fundamentales de las personas cuyos datos se transfieren a este país.

En una respuesta a una cuestión prejudicial, la corte con sede en Luxemburgo invalidó el llamado "escudo de protección" de datos entre la UE y EEUU. Consideró que "la primacía de las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense" posibilitan dichas injerencias.

Normas y salvaguardias

El llamado "escudo de protección" es un mecanismo según el cual los datos provenientes de la UE y tratados en EEUU tienen que estar sometidos a un alto nivel de protección. Es decir, que la empresa en cuestión los procese con un robusto sistema de normas y salvaguardias en materia de protección de datos.

Esto implica que la empresa esté dada de alta en ese sistema en el Departamento de Comercio de EEUU y respete ciertos compromisos. Por ejemplo, informar del derecho al dueño de los datos si pretende transferirlos a terceras partes. Asimismo, los motivos o la obligación de no utilizar nunca los datos con un fin distinto al original, entre otras cláusulas.

Según el Tribunal de Justicia, las limitaciones de la protección de datos personales de la normativa interna de EEUU sobre el acceso y la utilización de estos por las autoridades estadounidenses "no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas". Al menos, "en la medida en que los programas de vigilancia basados en la mencionada normativa no se limitan a lo estrictamente necesario".

Derechos exigibles

Entre otros puntos, el Tribunal de Justicia añade que, si bien la normativa "establece exigencias que las autoridades estadounidenses deben respetar al aplicar los programas de vigilancia de que se trata, no confiere a los interesados derechos exigibles a las autoridades estadounidenses ante los tribunales".

En cambio, respaldó el sistema general de privacidad de datos europeos con terceros países a través del Reglamento General de Protección de Datos (RGPD). Este debe interpretarse en el sentido de que las personas, cuyos datos personales se transfieren a un país tercero, deben gozar de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión.

Situación legal

La evaluación debe de tener en cuenta tanto las condiciones contractuales de la firma en cuestión como el acceso de las autoridades públicas a esos datos. Esto, en función de la situación legal general en el país en el que está radicada la empresa, agregó la corte.

La decisión del tribunal, con jurisdicción en el conjunto de la UE, es una respuesta al Tribunal Supremo irlandés. Esta parte de la denuncia de un activista por la privacidad de los datos de la red social Facebook, interpuesta en Irlanda por el austríaco, Max Schrems.

La multinacional de Mark Zuckerberg tiene en Irlanda su sede europea (Facebook Irlanda). Desde allí, se transfieren los datos de la empresa hasta EEUU.

Schrems solicitó a las autoridades irlandesas que prohibieran ese flujo de sus datos personales. Dijo que la normativa estadounidense no ofrecía suficiente protección ante el acceso a estos de las autoridades de ese país.

Ver más