El Tribunal de Justicia de la Unión Europea (TUE) ha invalidado este jueves el acuerdo de protección de datos personales entre la UE y EE UU negociado por la Comisión Europea con Washington, y conocido como Escudo de Privacidad, por temor a injerencias en los derechos fundamentales de las personas cuyos datos se transfieren a ese país. El fallo, que llega tras una denuncia a Facebook, afecta al principal mecanismo utilizado por miles de empresas para enviar datos de ciudadanos europeos a EE UU con fines comerciales.

La ley europea de protección de datos señala que los datos pueden transferirse fuera de la UE, tanto a EE UU como a cualquier otro país, solo si existen salvaguardas apropiadas. Pero, la Justicia europea ha concluido que no ve en el acuerdo “limitaciones” al uso de los datos “en el marco de determinados programas de vigilancia o la existencia de garantías para proteger a los ciudadanos no estadounidenses” para evitar que sean objeto de tales programas.

“Las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense tienen primacía, por lo que toleran las injerencias en los derechos fundamentales de las personas cuyos datos se transfieren”, ha precisado el Tribunal. Este se refiere a que en EE UU empresas como la citada Facebook pueden verse obligadas a entregar sus datos a las agencias de seguridad, algo que no ocurre en Europa, donde la Carta de Derechos Fundamentales de la UE y el Reglamento de Protección de Datos (GDPR, por sus siglas en inglés) protege al ciudadano.

Con su sentencia, el TUE da la razón al activista y abogado austriaco Max Schrems en su demanda contra Facebook por transferir a EE UU los datos de usuarios cedidos a la red social en Europa, aunque el fallo afecta a muchas más compañías, y no solo tecnológicas. Según el Instituto Europeo de UCL, el sistema del Escudo de Privacidad sustenta el comercio digital transatlántico para más de 5.000 empresas, de las que el 65% son pymes o nuevas empresas.

Lo que establece ese escudo de protección es un mecanismo, según el cual, los datos provenientes de la UE y tratados en EE UU tiene que estar sometidos a un alto nivel de protección, es decir, que la empresa en cuestión los procese con un robusto sistema de normas y salvaguardias en materia de protección de datos.

El llamado Escudo de privacidad fue negociado entre Bruselas y Washington en 2016 y reemplazó otro acuerdo previo, conocido como Puerto Seguro, y que también tumbó en 2015 el Tribunal europeo en otro caso denunciado por la misma persona ante las autoridades de Irlanda, país en donde Facebook tiene su sede europea.

El Tribunal europeo sí ha avalado en esta ocasión las llamadas cláusulas contractuales estándares (SCC) para la transferencia e datos entre la UE y un tercer país siempre que este garantice un suficiente nivel de protección de la información, pero el TUE considera que el caso norteamericano no cumple estas garantías.

La sentencia critica que el acuerdo con EE UU no ofrece a los usuarios europeos afectados por la transferencia de sus datos “ninguna vía de recurso” ante órganos que ofrezcan garantías equivalentes a las que exige la normativa comunitaria y advierte de que la figura del Defensor del Pueblo que contempla el Escudo de privacidad no garantiza su independencia para tomar decisiones vinculantes con respecto a los servicios de inteligencia estadounidenses.

“Está claro que EE UU tendrá que cambiar seriamente sus leyes de vigilancia, si las empresas estadounidenses quieren continuar desempeñando un papel en el mercado de la UE”, ha señalado Schrems.