Sentencia TJUE del caso C-311/18 (II)


Laura Aragonés Maigí     22/07/2020



Traducción no oficial de: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_es

17 de julio de 2020

Declaración sobre el fallo del Tribunal de Justicia de la Unión Europea en el caso C-311/18 - Comisionado de Protección de Datos / Facebook Irlanda y Maximillian Schrems

El Comité Europeo de Protección de Datos ha adoptado la siguiente declaración:

El EDPB aplaude la sentencia del TJUE, que destaca el derecho fundamental a la privacidad en el contexto de la transferencia de datos personales a terceros países. La decisión del TJUE es de gran importancia. El Comité Europeo de Protección de Datos (EDPB) ha tomado nota del hecho de que el Tribunal de Justicia invalida la decisión 2016/1250 sobre la adecuación de la protección proporcionada por Privacy Shield (Escudo de Privacidad) entre UE-EEUU, y del hecho de que considera la decisión de la Comisión 2010/87 sobre Cláusulas Contractuales Tipo (SCC) para la transferencia de datos personales a prestadores de servicios establecidos en terceros países válidos.

El EDPB discutió la decisión del Tribunal durante su 34a sesión plenaria del 17 de julio de 2020.

Con respecto a Privacy Shield, el EDPB señala que la UE y los EEUU deben lograr un marco completo y efectivo que garantice que el nivel de protección otorgado a los datos personales en los EEUU es prácticamente equivalente al garantizado dentro de la UE, de acuerdo con la sentencia.

El EDPB identificó en el pasado algunos de los principales defectos de Privacy Shield en los que el TJUE fundamenta su decisión de declararlo inválido.

El EDPB cuestionó, en sus informes sobre las revisiones conjuntas anuales de Privacy Shield, el cumplimiento de los principios de protección de datos de la necesidad y proporcionalidad en la aplicación de la ley estadounidense. (1)

El EDPB tiene la intención de continuar desempeñando un papel constructivo en la obtención de una transferencia transatlántica de datos personales que beneficie a los ciudadanos del Espacio Económico Europeo y las organizaciones y que se mantenga dispuesto a proporcionar asistencia y orientación a la Comisión Europea para ayudarla a construir, junto con los EEUU, un nuevo marco que cumpla con el reglamento de protección de datos de la UE.

Si bien las Cláusulas Contractuales Tipo siguen siendo válidas, el TJUE subraya la necesidad de garantizar que mantengan, en la práctica, un nivel de protección que sea sencialmente equivalente al garantizado por el GDPR con relación a la Carta de los Derechos Fundamentales de la UE. La evaluación de si los países a los que se envían los datos ofrecen una protección adecuada es principalmente responsabilidad del exportador y del importador de datos, al considerar la posibilidad firmar las Cláusulas Contractuales Tipo. Al realizar dicha evaluación previa, el exportador (si es necesario, con la asistencia del importador) tendrá en cuenta el contenido de las Cláusulas Contractuales Tipo, las circunstancias específicas de la transferencia, así como el régimen legal aplicable en el país del importador. El análisis de este último se realizará a función de los factores no exhaustivos establecidos en el artículo 45 (2) del GDPR.

Si el resultado de esta evaluación es que el país del importador no proporciona un nivel de protección esencialmente equivalente, el exportador puede tener que considerar la implementación de medidas adicionales a las incluidas en las Cláusulas Contractuales Tipo. El EDPB está estudiando en qué consistirán estas medidas adicionales.

La sentencia del TJUE también recuerda la importancia para el exportador y el importador de cumplir con sus obligaciones incluidas en las Cláusulas Contractuales Tipo, en particular las obligaciones de información en relación con el cambio de legislación en el país del importador. Cuando esas obligaciones contractuales no se cumplen o no se pueden cumplir, el exportador está obligado por las Cláusulas Contractuales Tipo a suspender la transferencia, terminar dichas Cláusulas o notificar a su autoridad de control competente si tiene la intención de continuar transfiriendo datos.

La EDPB toma nota de las obligaciones de las autoridades de control competentes (SA) de suspender o prohibir la transferencia de datos a un tercer país de conformidad con las CEC, si, en opinión de las SA competentes y en función de todas las circunstancias de esa transferencia, esas cláusulas no se cumplen o no se pueden cumplir en ese tercer país, y la protección de los datos transferidos no se puede garantizar por otros medios, en particular cuando el Responsable o Encargado ha suspendido o puesto fin a la transferencia.

El EDPB recuerda que emitió directrices sobre las exenciones del artículo 49 del RGPD (2); y que tales exenciones deben aplicarse caso por caso.

El EDPB evaluará la sentencia con más detalle y proporcionará más aclaraciones para las partes interesadas y orientación sobre el uso de herramientas para la transferencia de datos personales a terceros países de conformidad con la sentencia.

El EDPB y sus SA europeas están preparados, como lo establece el TJUE, para garantizar la coherencia en todo el EEE.

Para el Comité Europeo de Protección de Datos

La Presidenta

(Andrea Jelinek)