La validez del “Escudo de privacidad” A la luz de la sentencia del TJEU C-311/18

[pic 1]

FACULTAD DE DERECHO

GRADO EN DERECHO

TRABAJO FIN DE GRADO

CURSO ACADÉMICO [2020-2021]

TÍTULO:

LA VALIDEZ DEL “ESCUDO DE PRIVACIDAD” A LA LUZ DE LA SENTENCIA DEL TJEU C-311/18

AUTOR:

ANDREA CAROLINA ROMANO

TUTOR ACADÉMICO:

DR. D.  JOSÉ ÁNGEL CAMISÓN YAGÜE

Contenido

1.- INTRODUCCIÓN        3

2.- EVOLUCIÓN NORMATIVA DEL DERECHO A LA PROTECCIÓN DE DATOS        4

3.- LA PROTECCIÓN DE DATOS COMO UN DERECHO FUNDAMENTAL.        10

4.- EL “PRIVACY SHIELD”: CONCEPTO Y ANTECEDENTES.        13

5.- LA RECIENTE JURISPRUDENCIA DEL TJUE SOBRE DEL DERECHO A LA PROTECCÓN DE DATOS: ASUNTOS SCHREMS        17

5.1. EL ASUNTO SCHREMS I.        18

5.2. EL ASUNTO SCHREMS II        19

5.2.1 Sobre el alcance del RGPD.        21

5.2.2. Las Cláusulas Contractuales Tipo.        22

5.2.3. El Escudo de Privacidad        23

5.3. CONSECUENCIAS DE LA JURISPRUDENCIA SCHREMS DEL Tribunal de Justicia de la Unión europea        24

6.- POSIBLES SOLUCIONES A LA INVALIDACIÓN DEL “PRIVACY SHIELD”        26

7.- CONCLUSIONES        28

8.- BIBLIOGRAFÍA        31

8.1. BIBLIOGRAFÍA Y WEBGRAFÍA        31

8.2. LEGISLACIÓN        34

8.3. JURISPRUDENCIA        35

1.- INTRODUCCIÓN

La transferencia de datos personales de los ciudadanos o residentes de la Unión Europea a terceros países requiere un nivel adecuado de protección de datos, lo cual puede ser cumplido de diferentes maneras; para el caso de los Estados Unidos se implementó un sistema único, en el que las empresas debían registrarse previamente, lo que las hacía válidas para recibir transferencias internacionales de datos personales desde la Unión Europea.

En 2013, las revelaciones de Edward Snowden sobre las prácticas de vigilancia masiva de los servicios de inteligencia de los Estados Unidos atrajeron mucha atención. Posteriormente, el abogado y activista austriaco de la privacidad Maximilian Schrems desconfió que se pudiera garantizar un nivel adecuado de protección de sus datos personales transferidos a los Estado Unidos, por lo que exigió la suspensión de la transferencia de sus datos a ese país. El juicio que se siguió pasó por todas las instancias hasta llegar al Tribunal de Justicia de la Unión Europea. En última instancia, el Tribunal apoyó la opinión de Schrems, declarando inválida la base jurídica de la transferencia de datos personales de la UE a los EE.UU. que en ese momento se denominaba “Safe Harbour” (Puerto Seguro). Debido a la sentencia del TJUE una nueva base jurídica para la transferencia de datos desde UE hacia EE.UU. fue puesta en marcha: el denominado “Privacy Shield” (Escudo de Privacidad). Desde la sentencia Schrems I en 2015, la Directiva de Protección de Datos fue reemplazada por el Reglamento General de Protección de Datos y nuevamente Maximilian Schrems se presentó ante los Tribunales alegando que el nuevo marco tampoco brindaban un nivel adecuado de protección de sus datos personales. Nuevamente, el Tribunal de Justicia de la Unión Europea, le dio la razón a Schrems en su sentencia del 16 de julio de 2020^[1], invalidando el acuerdo del “Privacy Shield”.

El presente trabajo intentará ofrecer una visión general sistemática del marco Europeo de Protección de Datos, luego de las sentencias del Tribunal de Justicia de la Unión Europea en los casos denominados Schrems I y Schrems II.

Para ello, se analiza y describe la situación jurídica antes del Caso Schrems I, las consecuencias de éste, y posteriormente la situación jurídica antes del Caso Schrems II y sus consecuencias.

Finalmente, se describe el marco actual y los posibles cambios y se evalúan las posibles soluciones a la Transferencia Internacional de Datos Personales.

El presente trabajo procura realizar un estudio de la situación actual, analizando el desarrollo normativo y jurisprudencial sobre la transferencia internacional de datos personales, la protección de los datos personales como derecho fundamental, y en particular las implicancias del reciente fallo del Tribunal de Justicia de la Unión Europea asunto “Schrems II”

2.- EVOLUCIÓN NORMATIVA DEL DERECHO A LA PROTECCIÓN DE DATOS.

El primer paso de la política de Protección de Datos en Europa lo dio en 1973 el Consejo de Europa, que aprobó las Resoluciones (73)22^[2] y (74)29^[3] sobre la protección de la información personal almacenada en bancos de datos electrónicos en el sector privado y en el sector público, respectivamente. En última instancia, esto condujo al Convenio 108 sobre protección de datos en 1981. Hoy en día, el Convenio está ratificado por 54 Estados, y ha sido modernizado en el año 2018 nombrándola “Convenio 108+” ^[4].

El Convenio tiene por objeto proteger a la persona contra el uso indebido de los datos personales. Además de conceder a la persona ciertos derechos en relación con el tratamiento y la recopilación de datos personales, prohíbe "el tratamiento de datos "sensibles" tales como la raza, las opiniones políticas, la salud, la religión, la vida sexual, o los antecedentes penales” de una persona, en ausencia de las garantías jurídicas adecuadas^[5].

Además, concede al individuo el derecho a saber qué información se almacena sobre él y a que se corrija si es incorrecta. Las limitaciones a los derechos consagrados en el Convenio son sólo posibles cuando entran en conflicto con intereses vitales del Estado, como la seguridad nacional o la defensa. Asimismo, el Convenio establece restricciones a la transferencia de datos entre Estados cuando la ley de protección de datos no proporciona un nivel de protección equivalente.

...