EL TJUE DESESTIMA EL RECURSO CONTRA EL NUEVO MARCO DE TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES EEUU-UE

El Tribunal General de la Unión Europea ha confirmado la validez del EU-US Data Privacy Framework, la decisión de adecuación adoptada por la Comisión Europea en julio de 2023 que permite las transferencias de datos personales a EEUU sin autorización adicional.

En la sentencia (T-553/23, Latombe/Comisión), el Tribunal ha desestimado las alegaciones de falta de independencia del Data Protection Review Court (DPRC), creado en EEUU tras la Orden Ejecutiva 14086 y el reglamento complementario del Fiscal General.

En lo concerniente a la recogida masiva de datos por agencias de inteligencia estadounidenses, el Tribunal señala que la jurisprudencia Schrems II no exige una autorización previa de una autoridad independiente, pero, eso sí, debe existir un control judicial a posteriori.

Conviene tener presente que la Carta de los Derechos Fundamentales de la Unión Europea y el Tratado de Funcionamiento de la Unión Europea (TFUE) consagran el derecho de toda persona a la protección de sus datos personales. Sin embargo, y para evitar que el nivel de protección reconocido dentro de la Unión Europea se vea comprometido, el Derecho derivado de la Unión establece las reglas aplicables a las transferencias internacionales de datos personales.

Si la Comisión Europea estima que un país tercero garantiza un nivel de protección adecuado, las transferencias de datos personales a ese país pueden llevarse a cabo sin necesidad de una autorización adicional, con base en la decisión de adecuación adoptada por la Comisión. Ese marco, establecido por la decisión de adecuación adoptada por la Comisión el 10 de julio de 2023 (“decisión impugnada”), existe entre la Unión Europea y EEUU.

Hay que señalar que con anterioridad, en sus sentencias Schrems  y Schrems II, el Tribunal de Justicia había declarado inválidas las dos decisiones de adecuación precedentes relativas a EEUU, por considerar que no garantizaban un nivel de protección de las libertades y de los derechos fundamentales sustancialmente equivalente al garantizado por el Derecho de la Unión.

Por su parte, el 7 de octubre de 2022, los Estados Unidos de América aprobaron un Decreto Presidencial que reforzó las medidas de protección de la vida privada aplicables a las actividades llevadas a cabo por las agencias de inteligencia establecidas en los Estados Unidos. Ese Decreto fue completado por un reglamento del Fiscal General que modificó las disposiciones que regulan la creación y el funcionamiento del Data Protection Review Court (Tribunal de Recurso en Materia de Protección de Datos, Estados Unido de América, “DPRC”).

Posteriormente, la Comisión adoptó la decisión impugnada, que establecía el nuevo marco transatlántico de flujo de datos personales entre la Unión y Estados Unidos.

Recordemos que el recurso de anulación sirve para solicitar la anulación de los actos de las instituciones de la Unión contrarios al Derecho de la Unión. Así pues y bajo ciertos requisitos, los Estados miembros, las instituciones europeas y los particulares pueden interponer recurso de anulación ante el Tribunal de Justicia o ante el Tribunal General. Si el recurso se declara fundado, el acto queda anulado y la institución de que se trate debe colmar el eventual vacío jurídico creado por la anulación de dicho acto.

Pero exactamente ¿qué son esas transferencias internacionales de datos?

Pues bien, dichas transferencias suponen el flujo de datos personales desde la UE a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega).

Los responsables y encargados del tratamiento pueden realizar transferencias internacionales de datos a países terceros u organizaciones internacionales conforme a las condiciones establecidas en el Capítulo V del Reglamento General de Protección de Datos (RGPD), entre otras, que tengan por destino terceros países u organizaciones internacionales sobre los que la Comisión haya decidido que garantizan un nivel de protección adecuado mediante una decisión de adecuación

Se necesitará autorización expresa de la AEPD cuando el ofrecimiento de garantías adecuadas se realice mediante:

-Cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o subencargado, que no hayan sido adoptadas por la Comisión Europea o por la Agencia Española de Protección de Datos y aprobadas por la Comisión Europea

-Disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para las personas interesadas

Por otro lado, y para finalizar destacamos la existencia de las normas corporativas vinculantes (o BCR ,Binding Corporate Rules) que son “las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta”.