Publicada la sentència del tribunal de justícia de la ue sobre la validesa de l'escut de privacitat en la transferència de dades personal als estats units
Publicada la sentència del tribunal de justícia de la ue sobre la validesa de l'escut de privacitat en la transferència de dades personal als estats units
El Tribunal de Justícia de la Unió Europea ha emès la sentència relativa a l’assumpte C-311/18, coneguda com Schrems II, sobre la validesa dels mecanismes disponibles actualment per a l’enviament de dades a entitats domiciliades als Estats Units d’Amèrica (EUA).
Desprès de l’anul·lació del Safe Harbour amb la sentència del mateix tribunal en l’assumpte C‑362/14 (Schrems I), l’Escut de Privacitat va esdevenir el mecanisme de protecció de les dades personals i de protecció de la privacitat dels interessats que permetia la transferència internacional de dades als EUA, sempre que l’entitat receptora es trobés inclosa en aquest marc de protecció. Cal tenir en compte que als Estats Units, per raó de la seva legislació interna, i tal com va fer públic l’activista Edward Snowden, disposen de mecanismes que permeten, tant a l’Agència Central d’Inteligència (CIA) com a l’Oficina Federal d’Investigacions (FBI), tenir accés a les comunicacions que es produeixin en les xarxes de telecomunicacions dels EUA. Aquest accés i recollida d’informació abasta tant a les metadades transferides en les comunicacions com al contingut d’aquestes. En la sentència recentment publicada, es fa esment dels programes PRISM i Upstream, emprats per les esmentades agències americanes amb aquesta finalitat, pràctica emparada per la legislació nordamericana.
En aquest context, considera el Tribunal que el mecanisme de protecció de la privacitat previst a la Decisió d’Execució (UE) 2016/1250 de la Comissió, l’Escut de Privacitat, ha de considerar-se invàlida.
D’altra banda, avala les clàusules contractuals tipus com mecanisme de garanties adequades en la protecció de dades i la privacitat dels interessats. Adverteix, però, que aquestes clàusules tipus i garanties adequades en la transferència de dades han de tenir en compte tant les estipulacions que existeixin entre el responsable i encarregat del tractament, al contracte d’encarregat de tractament, com en allò que tingui relació als eventuals accessos que les autoritats públiques de l’Estat tercer puguin realitzar sobre les dades transferides. Cal tenir present que aquesta transferència de dades a un tercer, malgrat ser a una autoritat pública, suposen una ingerència en els drets dels interessats i la seva privacitat, pel que, fins i tot reconeixent-se la validesa de les clàusules contractuals tipus, en el cas de la transferència de les dades als EUA aquestes poden ser insuficients per habilitar aquest tractament.
En la situació actual, i com ja va passar el 2015 quan s’anul·là el Safe Harbour, caldrà ser curós en les transferències de dades personals amb destí als EUA, en especial si es té present que la sentència del Tribunal Superior de Justícia reconeix la facultat de les Autoritats de Control de suspendre o prohibir aquestes transferències. Així, i a falta d’una solució a la falta de mecanismes que permetin, amb seguretat jurídica, aquestes transferències de dades, caldrà fer un anàlisi escrupolós de quina excepció de les incloses a l’article 49 del Reglament General de Protecció de Dades permetrà transferir, en cada cas concret, les dades als Estats Units d’Amèrica.