El TJCE declara inválido el Escudo de Privacidad - Qué significa la sentencia para los operadores de sitios web

Mario Steinberg Última actualización 21.10.2020
6 min.
Escudo de privacidad TJCE
Última actualización 21.10.2020

El 16.07.2020, el Tribunal de Justicia de la Unión Europea (TJUE) declaró inválido el Escudo de Privacidad. Esta sentencia afecta, entre otros, a todos los operadores de sitios web que utilizan los servicios de empresas estadounidenses. En este artículo, explico lo que la sentencia significa para usted como operador de sitios web o agencia y lo que tiene que hacer ahora.

Situación jurídica inicial

Todo tratamiento de datos requiere una base jurídica

Todo tratamiento de datos personales requiere una base jurídica (artículo 6 1GDPR ) ). Las bases legales más importantes en relación con los sitios web son

  • El consentimiento del interesado (por ejemplo, para la instalación de cookies);
  • el cumplimiento de una obligación contractual (por ejemplo, en el caso de las tiendas online);
  • el interés legítimo del responsable o del operador del sitio web (por ejemplo, para responder a las consultas por correo electrónico).

El consentimiento se obtiene en los sitios web clásicamente mediante una casilla de verificación. El mejor ejemplo de ello son los banners de cookies, mediante los cuales el visitante del sitio web consiente la instalación de determinadas cookies (por ejemplo, cookies de marketing o de seguimiento). Si quieres saber más sobre esto, encontrarás más información en mi artículo "Banners de galletas - ¡pero correctamente! Estas 7 cosas que deberías tener en cuenta".

Sin embargo, las bases jurídicas mencionadas anteriormente sólo se refieren al tratamiento de datos propiamente dicho.

Base jurídica adicional necesaria para las transferencias de datos fuera de Europa 

Si el tratamiento de los datos no se realiza en la UE, sino en un país no europeo, es decir, en un tercer país, se requiere una base jurídica adicional.

Estos fundamentos jurídicos para la transferencia de datos personales a terceros países se encuentran en los artículos 44 y adelante del GDPR.

Para los operadores de sitios web, las llamadas decisiones de adecuación de la Comisión Europea (art. 45 del RGPD) son especialmente relevantes.

Con una decisión de este tipo, la Comisión decide que un tercer país ofrece un nivel adecuado de protección de datos y que los datos personales pueden transferirse al tercer país.

En el pasado se han tomado decisiones de adecuación con un gran número de países, como Suiza, Australia y Nueva Zelanda. 

El Escudo de Privacidad

El Escudo de la Privacidad fue una decisión de adecuación de la Comisión Europea para las transferencias de datos a Estados Unidos. Se adoptó en julio de 2016 y solo unos meses después de que el acuerdo de Puerto Seguro (el predecesor del Escudo de Privacidad) fuera anulado por el TJUE.  

Con el Escudo de la Privacidad, las empresas estadounidenses podrían comprometerse voluntariamente a un determinado nivel de protección de datos cuando traten datos personales de la UE. Después de esta certificación, los datos personales de la UE podrían ser transferidos a usted.

La sentencia del Tribunal de Justicia de la Comunidad Europea en el caso Privacy Shield

La sentencia del TJUE fue motivada por una petición de decisión prejudicial del Tribunal Superior de Irlanda al TJUE, que se basó en un caso presentado por el activista austriaco de la protección de datos Maximilian Schrems contra Facebook Ireland Ltd.

Con su sentencia del 16 de julio de 2020, el TJUE ha declarado inválido el Escudo de Privacidad. Como resultado, todas las transferencias de datos personales de la UE a los EE.UU. basadas en el Escudo de Privacidad como base legal son ahora inadmisibles.

Eso suena dramático y lo es.

Las consecuencias de la sentencia para los operadores de sitios web

Casi todos los sitios web se verán afectados por las consecuencias de la sentencia. Esto se debe a que, por regla general, casi todos los sitios web han integrado por lo menos un servicio de una empresa estadounidense, que es prestado no sólo por filiales europeas (como Facebook Ireland Ltd. y Google Ireland Ltd.) sino también por la respectiva empresa matriz estadounidense (como Facebook Inc. y Google LLC).

Con muchos de estos servicios, los datos personales se transmiten a Estados Unidos (posiblemente en función de la configuración por defecto realizada). Algunos ejemplos de estos servicios son:

  • Servicios de Google como Google Analytics, Google Maps o Google Fonts (a menos que estén integrados localmente);
  • Servicios de newsletter (por ejemplo, Mailchimp);
  • Plugins de  medios sociales (Facebook, Instagram, YouTube, Twitter, etc.)
  • Servicios de backup en la nube;
  • Soluciones para tiendas online.

Si el operador de un sitio web ha redactado correctamente su declaración de protección de datos, deberá incluir la siguiente nota para cada servicio en el que se puedan transferir datos a los Estados Unidos:

"La empresa estadounidense XYZ también procesa sus datos personales en EE.UU. y se ha sometido al Escudo de Privacidad UE/EE.UU. Para más información sobre el Escudo de Privacidad, consulte: https://www.privacyshield.gov/EU-US-Framework."

Posibles bases jurídicas alternativas para la transferencia de datos

Las transferencias de datos a EE.UU. que se han realizado hasta ahora sobre la base del Escudo de la Privacidad sólo están permitidas con efecto inmediato o hasta una nueva decisión de adecuación de la Comisión si pueden basarse en otra base jurídica.

Por ello, se puede considerar lo siguiente:

Consentimiento del interesado

La base legal para los operadores de sitios web es principalmente el consentimiento expreso del sujeto de los datos (Art. 49 (1) lit a DSGVO). Sin embargo, es un requisito previo que el interesado haya sido informado de los riesgos de la transferencia de datos antes de dar su consentimiento.

Transmisión para la ejecución del contrato

También es posible que la transferencia de datos personales a EE.UU. sea necesaria para la ejecución de un contrato entre el interesado (el visitante del sitio web) y el responsable (el operador del sitio web).

Sin embargo, no basta con que el operador del sitio web quiera utilizar el servicio de una empresa de los Estados Unidos (por ejemplo, un plugin de tienda en línea de los Estados Unidos) para tramitar el contrato. Más bien, es necesario que el contrato en sí mismo tenga una referencia en los EE.UU., por ejemplo, que sea ordenado desde una tienda web de EE.UU.

Cláusulas estándar de protección de datos de la Comisión Europea

No es muy probable que la transferencia de datos personales a los Estados Unidos pueda basarse en las cláusulas estándar de protección de datos adoptadas por la Comisión Europea (artículo 46, apartado 2, letra c), del RGPD).

Las cláusulas tipo de protección de datos son modelos de contrato que pueden celebrarse entre un exportador de datos establecido en la UE y un importador de datos establecido en un tercer país. Con ellas, el importador de datos no europeo garantiza al exportador de datos que los datos personales transferidos gozarán con él de un nivel de protección comparable al del RGPD.

En su sentencia sobre el Escudo de la Privacidad, el TJCE decidió que el contenido de las cláusulas estándar de protección de datos no es objetable. Sin embargo, debe ser posible exigir el cumplimiento efectivo en el tercer país.

Si esto es realmente posible para las transferencias de datos a los EE.UU. parece muy dudoso. El Tribunal de Justicia de la Comunidade Europea ha declarado ineficaz el Escudo de Protección de la Privacidad, entre otras razones, porque los ciudadanos de la UE no tendrían una protección jurídica adecuada contra los programas de vigilancia de datos de las autoridades estadounidenses. Y es probable que esta situación sea prácticamente idéntica en el caso de las cláusulas estándar de protección de datos.

Por esta razón, el TJCE también dictaminó en su sentencia que las autoridades de control de la protección de datos están obligadas a suspender o prohibir una transferencia de datos personales a un tercer país basada en cláusulas estándar de protección de datos si consideran que éstas no se respetan o no pueden respetarse en el tercer país. 

Por lo tanto, es de esperar que las transferencias de datos a Estados Unidos, que se basarían en las cláusulas estándar de protección de datos, sean objetadas por las autoridades de protección de datos y declaradas inadmisibles.

Lo que debe hacer ahora como propietario de un sitio web

Como todas las tranferencias de datos personales a los EE.UU. basadas en el Escudo de Privacidad son ahora ilegales, los operadores de los sitios web deben implementar las siguientes medidas:

#1 Seleccione el servidor europeo

Algunas empresas estadounidenses ofrecen sus servicios a través de servidores europeos. Si este es el caso, los operadores de sitios web deben seleccionar el servidor europeo.

#2 Obtener el consentimiento de los interesados

Si la elección de un servidor europeo no es posible, deberá obtenerse el consentimiento explícito del interesado para la transferencia de sus datos personales a los Estados Unidos. Este consentimiento podría darse mediante una casilla de verificación, como es el caso de la instalación de cookies.

Dado que cada sitio web que instala cookies debería tener un banner de cookies con las correspondientes instrucciones y casillas de verificación para la instalación de cada una de las cookies, esto podría complementarse con más información (de riesgo) y casillas de verificación relativas a las transferencias de datos previstas a los Estados Unidos. Al igual que con cualquier casilla de verificación, debe garantizarse, por supuesto, que el visitante del sitio web debe hacer clic en la casilla de verificación por sí mismo (opt-in), ya que las casillas de verificación activadas por defecto (opt-out) son inadmisibles según la jurisprudencia del Tribunal Federal de Justicia.

Es cierto que el único "inconveniente" de esta solución de consentimiento es que el servicio correspondiente puede no estar activo en el sitio web si no se da el consentimiento.

Lo que esto significa se explica brevemente aquí utilizando el ejemplo de Google Fonts:

A veces, las fuentes de Google no están integradas localmente en el sitio web, sino que el navegador web las carga desde los servidores de Google cuando se llama a sitio . Si esto se hace en un servidor estadounidense de Google, los datos del navegador web, es decir, los datos personales del visitante del sitio web, se transmiten a este servidor de Google en los Estados Unidos.

Ya es cuestionable que la recarga de Google Fonts pueda basarse en un interés legítimo del operador del sitio web (personalmente tengo grandes dudas al respecto), ya que las Google Fonts también pueden integrarse localmente. Pero incluso si se asumiera este interés legítimo, se requeriría una base legal adicional para la transmisión de los datos personales del navegador web a los servidores estadounidenses de Google. Esta base legal adicional solía ser el Escudo de Privacidad. Como esto ya no es efectivo, la recarga de las fuentes de Google desde los servidores estadounidenses de Google requerirá ahora el consentimiento del visitante del sitio web. Si no se concede este consentimiento, no se podrán recargar las fuentes de Google.

Esto significa que, a partir de ahora, Google Fonts debería integrarse localmente en el sitio web.

#3 Personalizar la política de privacidad

Es importante adaptar la política de privacidad a la nueva situación legal.

Dado que la declaración de privacidad debe reflejar de forma completa y precisa el tratamiento de datos personales que tiene lugar en un sitio web, no basta con suprimir las referencias anteriores al Escudo de la privacidad, al menos si se siguen utilizando los servicios correspondientes.

De hecho, si la transferencia de datos se basa ahora en el consentimiento del visitante del sitio web, esto también debería mencionarse en consecuencia. Además, en el caso del consentimiento, también deben explicarse los riesgos asociados a la transferencia de datos a los EE.UU., a saber, que los datos personales transferidos a los EE.UU. serán analizados por las autoridades estadounidenses en el marco de los programas de vigilancia de datos estadounidenses y que los ciudadanos de la UE no tendrán ninguna opción de protección jurídica adecuada a este respecto.

Panorama

Después de que el TJCE declarara inválido el acuerdo de Puerto Seguro, la Comisión Europea tardó sólo unos meses en negociar el Escudo de Privacidad con Estados Unidos.

Debido a la importancia del intercambio transatlántico de datos, que no debe subestimarse, seguramente no pasará mucho tiempo antes de que se encuentre un nuevo reglamento y la Comisión Europea adopte una nueva decisión de adecuación para la transferencia de datos personales a los Estados Unidos.

Y si la ley responde a las preocupaciones del TJCE y crea una mayor protección de los datos de los ciudadanos de la UE en EE.UU., eso también es bueno para los operadores de sitios web.

Mario Steinberg es abogado y especialista en derecho administrativo en el bufete de abogados LIEB.Rechtsanwälte. Su trabajo se centra en el derecho de la protección de datos, el derecho de la seguridad informática y el derecho de las tecnologías de la información.

Artículos relacionados

Comentarios sobre este artículo

Escribe un comentario

La dirección de correo electrónicotu no se publicará. Los campos obligatorios están marcados con *.