El TJCE declara ineficaz el Privacy Shield - Lo que la sentencia significa para los operadores de sitios web

Mario Steinberg Actualizado el 21.10.2020
6 Min.
Escudo de Privacidad ECJ
Actualizado por última vez el 21.10.2020

El 16.07.2020, el Tribunal de Justicia de las Comunidades Europeas (TJCE) dictaminó El Escudo de Privacidad fue declarado ineficaz. Esta sentencia afecta, entre otros, a todos los operadores de sitios web que utilizan los servicios de empresas estadounidenses. En este artículo explicaré lo que la sentencia significa para ti como operador o agencia de sitios web y lo que debes hacer ahora.

Posición legal de partida

Todo procesamiento de datos requiere una base jurídica

Todo tratamiento de datos personales requiere una base jurídica (artículo 6 1GDPR ) ). Las bases legales más importantes en relación con los sitios web son

  • El consentimiento de la persona interesada (por ejemplo, para colocar cookies);
  • el cumplimiento de una obligación contractual (por ejemplo, en el caso de las tiendas en línea);
  • el interés legítimo de la persona responsable o del operador del sitio web (por ejemplo, en responder a las consultas por correo electrónico).

El consentimiento se obtiene tradicionalmente para los sitios web por medio de una casilla de verificación. El mejor ejemplo de ello son los banners de cookies, mediante los cuales el visitante del sitio web consiente en la colocación de determinadas cookies (por ejemplo, cookies de marketing o de seguimiento). Si quieres saber más sobre esto, encontrarás más información en mi artículo "Banner de cookies - ¡pero claro! Deberías considerar estas 7 cosas"...lo encontré.

Sin embargo, los fundamentos jurídicos mencionados sólo se refieren al propio tratamiento de los datos.

Se requiere una base jurídica adicional para la transferencia de datos a países no europeos 

Si el procesamiento de datos no se va a realizar en la UE sino en un país no europeo, es decir, en un denominado tercer país, se requiere una base jurídica adicional.

Estos fundamentos jurídicos para la transferencia de datos personales a terceros países se encuentran en los artículos 44 y adelante del GDPR.

De particular relevancia para los operadores de sitios web son las llamadas decisiones de adecuación de la Comisión Europea (Art. 45 GDPR ).

En virtud de esa decisión, la Comisión decide que un tercer país ofrece un nivel adecuado de protección de datos y que los datos personales pueden ser transferidos al tercer país.

En el pasado se han tomado decisiones de adecuación con un gran número de países, como Suiza, Australia y Nueva Zelandia. 

El Escudo de Privacidad

El escudo de privacidad fue una decisión de adecuación de la Comisión Europea para la transferencia de datos a los Estados Unidos. Fue adoptada en julio de 2016 y sólo unos meses después Derogación del Acuerdo de Puerto Seguro (la regulación predecesora del Escudo de Privacidad) por el TJCE.  

Bajo el Escudo de Privacidad, las empresas estadounidenses podrían comprometerse voluntariamente a respetar un cierto nivel de protección de datos cuando procesen datos personales de la UE. Después de esta certificación, se les permitió transferir datos personales desde la UE.

La sentencia del Tribunal de Justicia de la Comunidad Europea en el caso Privacy Shield

El fallo del TJCE fue motivado por una petición de decisión prejudicial del Tribunal Superior de Irlanda al TJCE, que se basaba en un caso presentado por el activista austríaco de protección de datos Maximilian Schrems contra Facebook Ireland Ltd.

En su sentencia del 16 de julio de 2020, el TJCE declara el Escudo de Privacidad ineficaz. Esto significa que, con efecto inmediato, todas las transferencias de datos personales de la UE a los EE.UU., que antes se basaban en el Escudo de Privacidad como base legal, son ahora inadmisibles.

Eso suena dramático y lo es.

Las consecuencias de la sentencia para los operadores del sitio web

Casi todos los sitios web se verán afectados por las consecuencias de la sentencia. Esto se debe a que, por regla general, casi todos los sitios web han integrado por lo menos un servicio de una empresa estadounidense, que es prestado no sólo por filiales europeas (como Facebook Ireland Ltd. y Google Ireland Ltd.) sino también por la respectiva empresa matriz estadounidense (como Facebook Inc. y Google LLC).

Para muchos de estos servicios, los datos personales se transfieren a los EE.UU. (posiblemente dependiendo de la configuración predeterminada). Ejemplos de estos servicios son:

  • Servicios de Google como Google Analytics, Google Maps o Google Fonts (siempre y cuando no estén integrados localmente);
  • Servicios de newsletter (por ejemplo, Mailchimp);
  • Plugins de  medios sociales (Facebook, Instagram, YouTube, Twitter, etc.)
  • Servicios de backup en la nube;
  • Soluciones de tienda online.

Si el operador de un sitio web ha redactado correctamente su declaración de protección de datos, deberá encontrar allí la siguiente información para cada servicio en el que se puedan transferir datos a los Estados Unidos:

"La compañía estadounidense XYZ también procesa sus datos personales en EE.UU. y los ha enviado al Escudo de Privacidad de la UE/EE.UU.". Para más información sobre el Escudo de Privacidad, por favor vea: https://www.privacyshield.gov/EU-US-Framework."

Posibles bases jurídicas alternativas para la transmisión de datos

Las transferencias de datos a los EE.UU., que hasta ahora se han basado en el Escudo de Privacidad, sólo se permiten, con efecto inmediato o hasta una nueva decisión de adecuación por parte de la Comisión, si pueden basarse en otra base legal.

Como tales, pueden ser considerados:

Consentimiento del interesado

El fundamento jurídico de los operadores de sitios web es, ante todo, el consentimiento expreso del interesado (art. 49 1) aGDPR )). Sin embargo, esto está sujeto a la condición de que el interesado haya sido informado de los riesgos de la transferencia de datos antes de dar su consentimiento.

Transmisión para el cumplimiento del contrato

También es concebible que la transferencia de datos personales a los EE.UU. sea necesaria para el cumplimiento de un contrato entre la persona interesada (el visitante del sitio web) y la persona responsable (el operador del sitio web).

Sin embargo, no basta con que el operador del sitio web quiera utilizar el servicio de una empresa de los Estados Unidos (por ejemplo, un plugin de tienda en línea de los Estados Unidos) para tramitar el contrato. Más bien, es necesario que el contrato en sí mismo tenga una referencia en los EE.UU., por ejemplo, que sea ordenado desde una tienda web de EE.UU.

Cláusulas estándar de protección de datos de la Comisión Europea

No es muy probable que la transferencia de datos personales a los Estados Unidos pueda basarse en las cláusulas estándar de protección de datos adoptadas por la Comisión Europea (artículo 46 2) cGDPR )).

Las cláusulas estándar de protección de datos son contratos modelo que pueden celebrarse entre un exportador de datos establecido en la UE y un importador de datos establecido en un tercer país. Mediante estas cláusulas, el importador de datos no europeo garantiza al exportador de datos que los datos personales transferidos gozarán de un nivel de protección GDPR comparable al que disfruta el exportador de datos.

En su sentencia sobre el Escudo de Privacidad, el TJCE dictaminó que las cláusulas estándar de protección de datos no son objetables en sí mismas en cuanto a su contenido. Sin embargo, también debe ser posible hacerlas cumplir eficazmente en el tercer país.

Si esto es realmente posible para las transferencias de datos a los EE.UU. parece muy dudoso. El Tribunal de Justicia de la Comunidade Europea ha declarado ineficaz el Escudo de Protección de la Privacidad, entre otras razones, porque los ciudadanos de la UE no tendrían una protección jurídica adecuada contra los programas de vigilancia de datos de las autoridades estadounidenses. Y es probable que esta situación sea prácticamente idéntica en el caso de las cláusulas estándar de protección de datos.

Por este motivo, el TJCE también ha dictaminado en su sentencia que las autoridades de supervisión de la protección de datos están obligadas a suspender o prohibir una transferencia de datos personales a un tercer país sobre la base de cláusulas estándar de protección de datos si consideran que las cláusulas estándar de protección de datos no se cumplen o no pueden cumplirse en el tercer país. 

Por consiguiente, es probable que las transferencias de datos a los Estados Unidos basadas en las cláusulas estándar de protección de datos sean impugnadas y declaradas inadmisibles por las autoridades de protección de datos.

Lo que tienes que hacer ahora como operador de un sitio web

Como todas las tranferencias de datos personales a los EE.UU. basadas en el Escudo de Privacidad son ahora ilegales, los operadores de los sitios web deben implementar las siguientes medidas:

#1 Selección de servidores europeos

Algunas empresas estadounidenses ofrecen sus servicios a través de servidores europeos. Si este es el caso, los operadores del sitio web deben elegir el servidor europeo.

#2 Obtener el consentimiento de la persona en cuestión

Si no es posible la elección de un servidor europeo, debe obtenerse el consentimiento explícito del interesado para la transferencia de sus datos personales a los Estados Unidos. Este consentimiento podría darse por medio de una casilla de verificación, como cuando se colocan cookies.

Dado que todo sitio web que establezca cookies debería tener un banner de cookies con las correspondientes notas y casillas de verificación para establecer las cookies individuales, esto podría complementarse con otras notas (de riesgo) y casillas de verificación relativas a las transferencias de datos previstas a los Estados Unidos. Como con cualquier casilla de verificación, cabe señalar, por supuesto, que el visitante del sitio web debe hacer clic en la propia casilla de verificación (opt-in), ya que el Tribunal Federal de Justicia ha dictaminado que las casillas de verificación activadas por defecto (opt-out) son inadmisibles.

La única "desventaja" de esta solución de consentimiento es, sin duda, que el servicio correspondiente del sitio web puede no estar activo si no se da el consentimiento.

Lo que esto significa se explica brevemente aquí usando las fuentes de Google como ejemplo:

A veces las fuentes de Google no están incrustadas localmente en el sitio web, sino que sólo se cargan desde los servidores de Google cuando el sitio navegador web las llama. Si esto se hace en un servidor americano de Google, los datos del navegador, es decir, los datos personales del visitante de la página web, se transfieren a este servidor de Google en los EE.UU.

Ya es cuestionable si la recarga de las fuentes de Google puede basarse en un interés legítimo del operador del sitio web (personalmente tengo grandes dudas), ya que las fuentes de Google también pueden integrarse localmente. Pero incluso si se asumiera este interés legítimo, se necesitaría una base jurídica adicional para la transferencia de los datos personales del navegador a los servidores estadounidenses de Google. Esta base legal adicional fue anteriormente el Escudo de Privacidad. Como esto ya no es efectivo, la recarga de las fuentes de Google desde los servidores americanos de Google ahora requeriría el consentimiento del visitante del sitio web. Si este consentimiento no se concediera, no se permitiría recargar las fuentes de Google.

Esto significa que las fuentes de Google deben ser integradas localmente en el sitio web a partir de ahora a más tardar.

#3 Ajustar la política de privacidad

Es importante adaptar la política de privacidad a la nueva situación legal.

Dado que la política de privacidad debe reflejar de forma completa y precisa el tratamiento de los datos personales que tiene lugar en un sitio web, no basta con suprimir simplemente las referencias anteriores al escudo de protección de la privacidad, al menos si se siguen utilizando los servicios pertinentes.

De hecho, si la transferencia de datos se basa ahora en el consentimiento del visitante del sitio web, esto debería mencionarse en consecuencia. Además, en caso de consentimiento, también habría que explicar los riesgos asociados a la transferencia de datos a los Estados Unidos, a saber, que los datos personales transferidos a los Estados Unidos serán evaluados por las autoridades estadounidenses en el marco de los programas de vigilancia de datos de ese país y que, por consiguiente, los ciudadanos de la Unión Europea no tendrán acceso a opciones de protección jurídica adecuadas.

Panorama

Después de que el TJCE declarara inválido el Acuerdo de Puerto Seguro, la Comisión Europea sólo tardó unos meses en negociar el Escudo de Privacidad con los EE.UU.

Dada la importancia del intercambio transatlántico de datos, que no debe subestimarse, no pasará mucho tiempo antes de que se encuentre una nueva reglamentación y la Comisión Europea adopte una nueva decisión de adecuación para la transferencia de datos personales a los Estados Unidos.

Y si recoge las preocupaciones del TJCE y crea más protección de datos para los ciudadanos de la UE en los EE.UU., también es algo bueno para los operadores de sitios web.

Mario Steinberg es abogado y especialista en derecho administrativo en el bufete comercial LIEB.attorneys at law. El enfoque principal de su trabajo incluye la ley de protección de datos, la ley de seguridad informática y la ley de informática.

Artículos relacionados

Comentarios sobre este artículo

Escriba un comentario

tu La dirección de correo electrónico no se publicará. Los campos obligatorios están marcados con * marcado.