En menos de tres meses, el acuerdo suscrito el pasado 10 de julio entre la Comisión Europea y Estados Unidos para regular la transferencia internacional de datos ya ha tenido su primera impugnación con fallo del Tribunal General de la Unión Europea contrario a su suspensión con fecha de 12 de octubre que acaba de hacerse público.
No ha sido Max Schrems, activista austríaco y presidente de Noyb, organismo que ya rechazó los anteriores acuerdos entre la Unión Europea y Estados Unidos y que al aprobarse dicho acuerdo ya comentó que lo recurriría a los tribunales manifestando que esta tercera intentona no era más que una copia de Privacy Shields.
No en balde, las sentencias que tumbaron el Safe Harbor de 2000 y el Privacy Shield de 2016 se conocen como sentencia Schrems y sentencia Schrems-II. Ahora ha sido un ciudadano francés que en una demanda pedía una suspensión cautelar del acuerdo. Dado el vacío legal que provocó la sentencia del TJUE de 2021, Bruselas y Washington anunciaron en marzo del año pasado que se ponían a trabajar en un nuevo acuerdo para la transferencia de datos transatlántica que sucediera el derogado Privacy Shield
Fruto de esas negociaciones, Estados Unidos se comprometió a introducir una serie de cambios, que se plasmaron en una orden ejecutiva de la Administración Biden que se conoció en octubre de 2022.
Tal y como indico Economist & Jurist el pasado mes de agosto, tras un largo proceso de negociaciones se anunciaba la tan esperada decisión de adecuación que permite el flujo de datos entre la Unión Europea y Estados Unidos. Esta decisión llega tres años después de que el Tribunal de Justicia de la Unión Europea invalidase la decisión de adecuación anterior (conocida como Privacy Shield).
Esta decisión, según comentaron algunos expertos entonces, facilitaba un marco comparable al de la Unión Europea para la transferencia de datos con empresas de Estados Unidos y, por tanto, supone un gran paso para garantizar la seguridad de los datos que circulen entre ambos territorios.
Según apuntó la Comisión Europea la decisión de adecuación adoptada introduce nuevas salvaguardas vinculantes que servirán para dar respuesta a todas las preocupaciones planteadas en su momento por el Tribunal de Justicia de la Unión Europea. Entre ellas hay que citar la limitación del acceso a los datos por parte de los servicios de inteligencia estadounidenses a lo estrictamente necesario y proporcionado, o la habilitación para los ciudadanos de la UE de varias vías de recurso en caso de que sus datos sean tratados indebidamente por empresas estadounidenses, como mecanismos independientes y gratuitos de resolución de litigios y arbitraje.
Desestimación del TGUE
Ahora, el Tribunal General de la Unión Europea ha fallado en contra de la solicitud de un ciudadano francés de suspender la decisión de adecuación en el Marco de Privacidad de Datos UE-EEUU, Data Privacy Framework (DPF).
El ciudadano francés solicitó como medida cautelar la suspensión del DPF por considerar que sus datos personales serían transferidos a EEUU y utilizados por organizaciones adheridas al DPF, sin que sea necesario ningún control adicional para respetar el Derecho de la Unión.
Considera que la decisión de adecuación infringe sus derechos en la medida en que no cumple ni con el RGPD ni con la Carta de los Derechos Fundamentales de la Unión Europea.
Mediante escrito separado, presentado en la Secretaría del Tribunal el 8 de septiembre de 2023, el denunciante presentó esta demanda de medidas provisionales, en la que solicita que el presidente del Tribunal debería ordenar la suspensión de la ejecución de la decisión impugnada y condenar en costas a la Comisión
En este sentido, la normativa comunitaria establece que para la concesión de las medidas cautelares se debe especificar el objeto del litigio, las circunstancias que demuestran la urgencia de la adopción de la medida, así como los motivos de hecho y de derecho que justifican la adopción de dicha medida cautelar.
Mientras que el reclamante considera que la urgencia surge de que la Decisión le causa un daño grave e irreparable, la Comisión considera que el reclamante se limita a describir, en términos generales, los efectos y aspectos negativos de la decisión impugnada, sin explicar la naturaleza del daño que sufriría personalmente.
En la resolución que se dio a conocer el pasado 12 de octubre, el demandante sostiene que la Decisión impugnada le causa un daño grave e irreparable. Esta decisión le afectaría como usuario de las plataformas informáticas Microsoft 365, Google y Doctolib, esta última utilizada para concertar citas médicas.
Así, en primer lugar, alega que, en virtud de la decisión impugnada, sus datos personales pueden ser transferidos y utilizados por organizaciones establecidas en Estados Unidos que figuran en la lista CPD, sin que sea necesario ningún control adicional para respetar el Derecho de la Unión.
Sin embargo, contrariamente a lo que se afirma en el artículo 1 de la Decisión impugnada, Estados Unidos no garantiza un nivel adecuado de protección de los datos personales. Además, expone, argumentos destinados a demostrar que la decisión impugnada vulnera sus derechos por no respetar ni el RGPD ni la Carta de los Derechos Fundamentales de la Unión Europea.
Al mismo tiempo, en segundo lugar, según el demandante, la evaluación por la Comisión para determinar si Estados Unidos sigue garantizando un nivel adecuado de protección de los datos personales, sólo se llevará a cabo un año después de la notificación a los Estados miembros de la decisión impugnada.
Además, en la medida en que las organizaciones participantes aprovecharan un plazo hasta el 20 de octubre de 2023 para actualizar su política de privacidad, sus datos que aparecen en las plataformas informáticas Microsoft 365 y Doctolib se verían afectados.
En tercer lugar, la decisión impugnada tendría como consecuencia que ya no tendría derecho a ponerse en contacto con la autoridad de control mencionada en el artículo 4, punto 21, del RGPD para que pueda verificar si sus datos personales se transfieren legalmente a los Estados Unidos.
No se demuestra el perjuicio
Sin embargo, la Comisión, en su escrito de alegaciones, rebatía esas cuestiones. En el caso de autos, por lo que respecta al perjuicio alegado por el demandante, en primer lugar, subraya que éste no explica los motivos por los que, en su caso particular, se realizan transferencias de sus datos personales, sobre la base de la decisión impugnada. y el artículo 45(1) del RGPD, a organizaciones establecidas en Estados Unidos que aparezcan en la lista CPD le causaría un perjuicio grave.
De hecho, se limita a describir, en términos generales, los efectos y aspectos negativos de la decisión impugnada, sin explicar la naturaleza del daño que sufriría personalmente.
Además, como sostiene la Comisión, el demandante se limita a afirmar que utiliza determinadas herramientas informáticas, sin aportar, no obstante, elementos que permitan concluir que este uso da lugar posteriormente a la transferencia de sus datos a las organizaciones mencionadas en el punto 24 anterior. y sin ninguna aclaración sobre la naturaleza o el tipo de datos personales a los que afectaría dicha transferencia.
En segundo lugar, la Comisión observa que ya es posible transferir, en determinadas condiciones, datos personales a organizaciones establecidas en los Estados Unidos con arreglo a los instrumentos de transferencia previstos en los artículos 46 y 49 del RGPD.
Por un lado, el artículo 46 del RGPD permite la transferencia de datos personales a un tercer país donde el exportador de los datos proporciona salvaguardias adecuadas, por ejemplo, adoptando normas corporativas vinculantes de conformidad con el artículo 47 del RGPD, y por la condición de que las personas interesadas tengan derechos exigibles y recursos legales efectivos. Por otro lado, el artículo 49 del RGPD prevé exenciones que permiten la transferencia de datos personales a un tercer país en circunstancias específicas, en particular cuando la transferencia es necesaria por razones importantes de interés público.
En el fallo queda claro que el demandante no puede explicar en qué medida la decisión impugnada, que amplía las posibilidades de transferencia previstas en el artículo 45 del RGPD, le pondría en desventaja con respecto a la situación que existía antes de dicha decisión.
En efecto, el solicitante alega que ya no tiene derecho a ponerse en contacto con la autoridad de control para que pueda verificar si sus datos personales se transfieren legalmente a los Estados Unidos. Sin embargo, sigue siendo libre de presentar una reclamación ante una autoridad de control de conformidad con el artículo 77 del RGPD, si considera que el tratamiento de sus datos personales es contrario a esta normativa.
En tercer lugar, la Comisión Europea subraya que los argumentos del demandante relativos a la falta de un nivel adecuado de protección de los datos personales en los Estados Unidos y a la vulneración de sus derechos se refieren a la legalidad de la decisión impugnada, pero no permiten demostrar la existencia de un daño grave e irreparable. justificando la urgencia de las medidas provisionales solicitadas.
Al no cumplirse los requisitos establecidos para poder aceptar la solicitud de medidas cautelares, en concreto el requisito de urgencia, el Tribunal General UE ha denegado la suspensión.