La validez del “Escudo de privacidad” A la luz de la sentencia del TJEU C-311/18

[pic 1]

FACULTAD DE DERECHO

GRADO EN DERECHO

TRABAJO FIN DE GRADO

CURSO ACADÉMICO [2020-2021]

TÍTULO:

LA VALIDEZ DEL “ESCUDO DE PRIVACIDAD” A LA LUZ DE LA SENTENCIA DEL TJEU C-311/18

AUTOR:

ANDREA CAROLINA ROMANO

TUTOR ACADÉMICO:

DR. D.  JOSÉ ÁNGEL CAMISÓN YAGÜE

Contenido

1.- INTRODUCCIÓN        3

2.- EVOLUCIÓN NORMATIVA DEL DERECHO A LA PROTECCIÓN DE DATOS        4

3.- LA PROTECCIÓN DE DATOS COMO UN DERECHO FUNDAMENTAL.        10

4.- EL “PRIVACY SHIELD”: CONCEPTO Y ANTECEDENTES.        13

5.- LA RECIENTE JURISPRUDENCIA DEL TJUE SOBRE DEL DERECHO A LA PROTECCÓN DE DATOS: ASUNTOS SCHREMS        17

5.1. EL ASUNTO SCHREMS I.        18

5.2. EL ASUNTO SCHREMS II        19

5.2.1 Sobre el alcance del RGPD.        21

5.2.2. Las Cláusulas Contractuales Tipo.        22

5.2.3. El Escudo de Privacidad        23

5.3. CONSECUENCIAS DE LA JURISPRUDENCIA SCHREMS DEL Tribunal de Justicia de la Unión europea        24

6.- POSIBLES SOLUCIONES A LA INVALIDACIÓN DEL “PRIVACY SHIELD”        26

7.- CONCLUSIONES        28

8.- BIBLIOGRAFÍA        31

8.1. BIBLIOGRAFÍA Y WEBGRAFÍA        31

8.2. LEGISLACIÓN        34

8.3. JURISPRUDENCIA        35

1.- INTRODUCCIÓN

La transferencia de datos personales de los ciudadanos o residentes de la Unión Europea a terceros países requiere un nivel adecuado de protección de datos, lo cual puede ser cumplido de diferentes maneras; para el caso de los Estados Unidos se implementó un sistema único, en el que las empresas debían registrarse previamente, lo que las hacía válidas para recibir transferencias internacionales de datos personales desde la Unión Europea.

En 2013, las revelaciones de Edward Snowden sobre las prácticas de vigilancia masiva de los servicios de inteligencia de los Estados Unidos atrajeron mucha atención. Posteriormente, el abogado y activista austriaco de la privacidad Maximilian Schrems desconfió que se pudiera garantizar un nivel adecuado de protección de sus datos personales transferidos a los Estado Unidos, por lo que exigió la suspensión de la transferencia de sus datos a ese país. El juicio que se siguió pasó por todas las instancias hasta llegar al Tribunal de Justicia de la Unión Europea. En última instancia, el Tribunal apoyó la opinión de Schrems, declarando inválida la base jurídica de la transferencia de datos personales de la UE a los EE.UU. que en ese momento se denominaba “Safe Harbour” (Puerto Seguro). Debido a la sentencia del TJUE una nueva base jurídica para la transferencia de datos desde UE hacia EE.UU. fue puesta en marcha: el denominado “Privacy Shield” (Escudo de Privacidad). Desde la sentencia Schrems I en 2015, la Directiva de Protección de Datos fue reemplazada por el Reglamento General de Protección de Datos y nuevamente Maximilian Schrems se presentó ante los Tribunales alegando que el nuevo marco tampoco brindaban un nivel adecuado de protección de sus datos personales. Nuevamente, el Tribunal de Justicia de la Unión Europea, le dio la razón a Schrems en su sentencia del 16 de julio de 2020^[1], invalidando el acuerdo del “Privacy Shield”.

El presente trabajo intentará ofrecer una visión general sistemática del marco Europeo de Protección de Datos, luego de las sentencias del Tribunal de Justicia de la Unión Europea en los casos denominados Schrems I y Schrems II.

Para ello, se analiza y describe la situación jurídica antes del Caso Schrems I, las consecuencias de éste, y posteriormente la situación jurídica antes del Caso Schrems II y sus consecuencias.

Finalmente, se describe el marco actual y los posibles cambios y se evalúan las posibles soluciones a la Transferencia Internacional de Datos Personales.

El presente trabajo procura realizar un estudio de la situación actual, analizando el desarrollo normativo y jurisprudencial sobre la transferencia internacional de datos personales, la protección de los datos personales como derecho fundamental, y en particular las implicancias del reciente fallo del Tribunal de Justicia de la Unión Europea asunto “Schrems II”

2.- EVOLUCIÓN NORMATIVA DEL DERECHO A LA PROTECCIÓN DE DATOS.

El primer paso de la política de Protección de Datos en Europa lo dio en 1973 el Consejo de Europa, que aprobó las Resoluciones (73)22^[2] y (74)29^[3] sobre la protección de la información personal almacenada en bancos de datos electrónicos en el sector privado y en el sector público, respectivamente. En última instancia, esto condujo al Convenio 108 sobre protección de datos en 1981. Hoy en día, el Convenio está ratificado por 54 Estados, y ha sido modernizado en el año 2018 nombrándola “Convenio 108+” ^[4].

El Convenio tiene por objeto proteger a la persona contra el uso indebido de los datos personales. Además de conceder a la persona ciertos derechos en relación con el tratamiento y la recopilación de datos personales, prohíbe "el tratamiento de datos "sensibles" tales como la raza, las opiniones políticas, la salud, la religión, la vida sexual, o los antecedentes penales” de una persona, en ausencia de las garantías jurídicas adecuadas^[5].

Además, concede al individuo el derecho a saber qué información se almacena sobre él y a que se corrija si es incorrecta. Las limitaciones a los derechos consagrados en el Convenio son sólo posibles cuando entran en conflicto con intereses vitales del Estado, como la seguridad nacional o la defensa. Asimismo, el Convenio establece restricciones a la transferencia de datos entre Estados cuando la ley de protección de datos no proporciona un nivel de protección equivalente.

Por su parte, la Unión Europea, en octubre de 1994 aprobó la Directiva^[6] 95/46/CE^[7] que se basaba en una recomendación de la OCDE^[8]. La Directiva regula el procesamiento de datos dentro de la UE y la transferencia de datos a terceros países.

De este modo, las empresas que procesaban datos personales tuvieron restricciones, por ejemplo, por el principio de limitación de la finalidad, mientras que los interesados obtienen derechos, como el derecho a oponerse al procesamiento de sus datos individuales (Art. 6 Directiva). La transferencia de datos a terceros países estaba regulada en el Art. 25, y determinaba que la transferencia de datos fuera de la UE/EEE sólo estaba permitida si el tercer país garantiza un "nivel de protección adecuado" (Art. 25 (1)). Este principio es la base de la Decisión de Puerto Seguro (Safe Harbour)^[9], que reguló la transferencia de datos a los EE.UU. hasta 2015, momento en que fue invalidada por la Sentencia del Caso Schrems I (C-362/14)^[10] del Tribunal de Justicia de la Unión Europea.

A esto se sumó en el año 2000 la aprobación de La Carta de Derechos Fundamentales de la Unión Europea (CDFUE)^[11], que contiene disposiciones sobre la protección de datos: su art. 7 establece que "toda persona tiene derecho a que se respete su vida privada [...]" y el art. 8 garantiza explícitamente "el derecho a la protección de los datos personales". Asimismo, el artículo 47 de la mencionada Carta establece que “Toda persona cuyos derechos y libertades garantizados por el Derecho de la Unión hayan sido violados tiene derecho a la tutela judicial efectiva respetando las condiciones establecidas en el presente artículo.”, determinando así el Derecho a la tutela judicial efectiva^[12].

La Comisión publicó el 4 de noviembre de 2010, la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité De Las Regiones: “Un enfoque global de la protección de los datos personales en la Unión Europea”^[13] que constituye el germen del actual marco legal. El documento reconocía prácticas poco armonizadas por parte de los Estados miembros. Al propio tiempo, el Tribunal de Justicia de la Unión Europea a lo largo de los últimos años ha ido dictando sentencias como los casos Google^[14], Digital Rights Ireland Ltd.^[15], Schrems I^[16] o Weltimmo ^[17]  que han influido considerablemente la normativa actual en relación al Derecho de Protección de Datos.

...