{"id":2274,"date":"2020-07-22T17:58:11","date_gmt":"2020-07-22T15:58:11","guid":{"rendered":"https:\/\/bamboo.legal\/el-tribunal-de-justicia-de-la-union-europea-invalida-el-privacy-shield-que-hacer-ahora\/"},"modified":"2026-02-04T06:32:16","modified_gmt":"2026-02-04T05:32:16","slug":"the-european-court-of-justice-invalidates-the-privacy-shield-what-should-be-done-now","status":"publish","type":"post","link":"https:\/\/bamboo.legal\/en\/blog\/el-tribunal-de-justicia-de-la-union-europea-invalida-el-privacy-shield-que-hacer-ahora\/","title":{"rendered":"The Court of Justice of the European Union invalidates the Privacy Shield: what now?"},"content":{"rendered":"

\u00bfCu\u00e1l ha sido la decisi\u00f3n del Tribunal de Justicia de la Uni\u00f3n Europea?<\/strong><\/p>\n

El pasado d\u00eda 16 de julio el Tribunal de Justicia de la Uni\u00f3n Europea (TJUE) dict\u00f3 en el asunto C-311\/18 la sentencia<\/strong><\/a> conocida como Schrems 2<\/strong>, con graves repercusiones para la transferencia internacional de datos personales a Estados Unidos.<\/p>\n

En ella el Tribunal de Justicia invalida, con efectos inmediatos, el llamado Escudo de Privacidad (Privacy Shield<\/strong>), que no es m\u00e1s que el marco legal que permit\u00eda las transferencias internacionales a EE.UU., pero \u00fanicamente a aquellas entidades norteamericanas adheridas y que cumplieran los principios de ese esquema de seguridad, al amparo de la Decisi\u00f3n de Ejecuci\u00f3n (UE) 2016\/1250 de la Comisi\u00f3n, de 12 de julio de 2016.<\/p>\n

<\/p>\n

La decisi\u00f3n de invalidar el Escudo de Privacidad (tal y como en 2015 se invalid\u00f3 \u00a0su predecesor, el Safe Harbor o Puerto Seguro), trae causa de la constataci\u00f3n por el TJUE de la imposibilidad de proporcionar a los ciudadanos europeos un nivel de protecci\u00f3n de sus derechos a la privacidad y a la protecci\u00f3n de datos equivalente al que disfrutan en la Uni\u00f3n.<\/p>\n

En concreto, se incide en la posibilidad de que las autoridades p\u00fablicas estadounidenses puedan, por motivos de seguridad p\u00fablica, acceder y tratar los datos personales<\/strong> de ciudadanos europeos en bloque, lo que ser\u00eda contrario al principio de proporcionalidad, sin ning\u00fan control judicial<\/strong>, lo que vulnera el derecho a la tutela judicial efectiva establecido por el art\u00edculo 47 de la Carta de Derechos Fundamentales de la UE<\/strong><\/a>.<\/p>\n

En este sentido, el TJUE considera que la supervisi\u00f3n que puede ejercer el llamado Defensor del Pueblo (Ombudsman<\/strong>) en el \u00e1mbito de la protecci\u00f3n de datos, previsto en la Decisi\u00f3n del Escudo de Privacidad, no equivale a la tutela judicial, pues el Defensor del pueblo no es un \u00f3rgano independiente<\/strong> (forma parte del Departamento de Estado, es nombrado por el Secretario de Estado y no se prev\u00e9n garant\u00edas sobre su posible destituci\u00f3n) y, adem\u00e1s, no existe garant\u00eda legal alguna del car\u00e1cter vinculante de sus decisiones.<\/p>\n

Ahora bien, aunque el TJUE invalida el Privacy Shield, en cambio, salva las cl\u00e1usulas contractuales tipo<\/strong> (art.46.2 c) RGPD<\/strong>), respecto de las cuales afirma que proporcionan un nivel de protecci\u00f3n de los datos personales equivalente al dispensado por el RGPD dentro de la UE.<\/p>\n

Sin embargo, el TJUE hace notar que las cl\u00e1usulas tipo incluidas en el contrato que regule la transferencia internacional de datos vincular\u00e1n a los firmantes de dicho contrato, pero no obligan a las autoridades p\u00fablicas del estado de destino<\/strong>, que no son parte contratante. Por tanto, lo previsto en dichas cl\u00e1usulas puede resultar in\u00fatil, pues las mencionadas autoridades podr\u00edan tratar los datos sin m\u00e1s restricci\u00f3n que las que les imponga su propia ley nacional<\/strong>.<\/p>\n

En consecuencia, para evaluar el nivel de protecci\u00f3n de cada concreta transferencia de datos deber\u00e1 tenerse en cuenta no s\u00f3lo las cl\u00e1usulas tipo incluidas en el contrato entre el responsable o encargado europeo y el destinatario de la transferencia de datos, sino tambi\u00e9n las circunstancias se\u00f1aladas por el art\u00edculo 45.2 RGPD<\/a><\/strong>, que incluyen la posibilidad de acceso a los datos por parte de las autoridades p\u00fablicas del pa\u00eds de destino y la posibilidad de ejercer, por los ciudadanos europeos, acciones judiciales efectivas en defensa de sus derechos.<\/p>\n

Y ahora, \u00bfqu\u00e9?<\/strong><\/p>\n

Ahora que el Privacy Shield, el marco legal que permit\u00eda las transferencias internacionales de datos a EE. UU., ha sido invalidado, es normal que surjan m\u00faltiples dudas acerca de c\u00f3mo proceder<\/strong> en el futuro inmediato. Especialmente, teniendo en cuenta las graves sanciones<\/strong> que podr\u00edan afrontar los responsables o encargados del tratamiento de los datos personales si realizan transferencias internacionales ilegales, responsabilidades que pueden alcanzar los 20 millones de euros o el 4% del volumen de negocio anual<\/strong>.<\/p>\n

Adem\u00e1s, la sentencia del TJUE no s\u00f3lo tiene efectos respecto de las transferencias dirigidas a los Estados Unidos, sino que sus repercusiones se extienden a todas las transferencias internacionales amparadas en cl\u00e1usulas contractuales tipo<\/strong>, ya se dirijan a los EE.UU. o a otro pa\u00eds.<\/p>\n

La primera recomendaci\u00f3n que ha de hacerse es la de prestar atenci\u00f3n a cualquier consejo u orientaci\u00f3n que hagan la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos (AEPD)<\/a><\/strong> o el Comit\u00e9 Europeo de Protecci\u00f3n de Datos (CEPD)<\/a><\/strong> en relaci\u00f3n con la reciente sentencia. Teniendo en cuanta la experiencia de la anterior sentencia Schrems<\/strong><\/a> (la que invalid\u00f3 el Safe Harbor), parece probable que estas instituciones se pronuncien en los pr\u00f3ximos d\u00edas aclarando las consecuencias de esta \u00faltima resoluci\u00f3n del Tribunal de Justicia.<\/p>\n

Entretanto, conviene determinar con precisi\u00f3n todas las transferencias internacionales<\/strong> de datos personales que se llevan a cabo en cada organizaci\u00f3n. Respecto de cada una de ellas deber\u00e1 identificarse su pa\u00eds de destino y su base legitimadora<\/strong>. Conforme al Reglamento General de Protecci\u00f3n de Datos (RGPD), tres son las posibles bases legitimadoras de una transferencia internacional de datos personales: una decisi\u00f3n de adecuaci\u00f3n de la Comisi\u00f3n (como el Privacy Shield, ahora invalidado), el ofrecimiento de garant\u00edas adecuadas (como las cl\u00e1usulas tipo o la adopci\u00f3n de normas corporativas vinculantes), o la inclusi\u00f3n en alguno de los supuestos excepcionales contemplados por el art\u00edculo 49 RGPD.<\/p>\n

Respecto a las transferencias amparadas por decisiones de adecuaci\u00f3n<\/strong>, las que tengan por destino los EE.UU.<\/strong> y se realicen en el marco del Privacy Shield, l\u00f3gicamente, ya no podr\u00e1n ser realizadas<\/strong>, al haber sido invalidada esta concreta decisi\u00f3n de adecuaci\u00f3n.<\/p>\n

Ahora bien, las restantes decisiones de adecuaci\u00f3n<\/strong> que han venido siendo dictadas por la Comisi\u00f3n contin\u00faan vigentes<\/strong> y, por consiguiente, es perfectamente posible transferir datos personales a los pa\u00edses a los que se refieren sin sujeci\u00f3n a requisito adicional alguno. Aqu\u00ed<\/a><\/strong> puede encontrarse la lista de los pa\u00edses respecto de los que la Comisi\u00f3n ha dictado decisiones de adecuaci\u00f3n.<\/p>\n

En cuanto a las garant\u00edas adecuadas, frente a la pretensi\u00f3n del demandante en el caso Schrems 2, la sentencia del TJUE salva la validez de las cl\u00e1usulas contractuales tipo<\/strong>. \u00c9stas son unas cl\u00e1usulas contractuales previamente adoptadas por la Comisi\u00f3n<\/strong><\/a> cuya inclusi\u00f3n en el contrato firmado entre el responsable o el encargado del tratamiento de los datos personales en la Uni\u00f3n y el destinatario de los datos en el extranjero legitima su transferencia internacional.<\/p>\n

Ahora bien, el Tribunal de Justicia se\u00f1ala que la inclusi\u00f3n de cl\u00e1usulas contractuales tipo no es suficiente, por s\u00ed sola<\/strong>, para asegurar la legalidad de la transferencia internacional. Debe garantizarse que los derechos de los interesados cuyos datos son transferidos gozan en el pa\u00eds de destino de un nivel de protecci\u00f3n equivalente al que disfrutan en la Uni\u00f3n Europea. Ello implica que ser\u00e1 igualmente obligado valorar el garantismo de las instituciones del pa\u00eds de destino <\/strong>y, en particular, las posibilidades de acceso a los datos personales por sus autoridades p\u00fablicas, y la existencia de acciones judiciales que permitan a los ciudadanos europeos hacer valer sus derechos.<\/p>\n

Debe tenerse en cuenta, no obstante, que no toda restricci\u00f3n de derechos bastar\u00e1 para negar la legalidad de la transferencia internacional. Se tolera que la ley del pa\u00eds de destino imponga ciertas limitaciones a fin de salvaguardar la seguridad p\u00fablica y la defensa<\/strong>, siempre y cuando tales restricciones no vayan m\u00e1s all\u00e1 de lo necesario en una sociedad democr\u00e1tica. Del texto de la sentencia se desprende que ser\u00e1 admisible la intervenci\u00f3n restrictiva de las autoridades p\u00fablicas del pa\u00eds de destino de los datos siempre que, primero, sea proporcionada<\/strong>, es decir, que la restricci\u00f3n a los derechos de los interesados resulte necesaria para proteger los intereses generales antes indicados y, segundo, que est\u00e9 sometida a un control judicial independiente<\/strong>, pudiendo los interesados ejercer acciones efectivas en defensa de sus derechos.<\/p>\n

Esta obligaci\u00f3n<\/strong> de valorar si la legislaci\u00f3n del pa\u00eds de destino ofrece las suficientes garant\u00edas recae tanto en el exportador de los datos personales<\/strong> (el responsable o encargado del tratamiento establecido en la UE), como en su destinatario<\/strong>. La valoraci\u00f3n deber\u00e1 hacerse antes<\/strong> de que la transferencia internacional tenga lugar.<\/p>\n

Si una vez realizada la transferencia de datos personales se produjera una modificaci\u00f3n legislativa en el pa\u00eds de destino<\/strong> que impida proporcionar una protecci\u00f3n a los derechos de los interesados equivalente a la que disfrutan en la Uni\u00f3n, el destinatario tiene la obligaci\u00f3n de notific\u00e1rselo al exportador. \u00c9ste, a su vez, estar\u00e1 obligado a rescindir el contrato o, al menos, a suspender la transferencia de datos personales<\/strong>.<\/p>\n

Evidentemente, las referidas obligaciones introducen un elemento de incertidumbre<\/strong> en las transferencias internacionales de datos realizadas al amparo de cl\u00e1usulas tipo, ya que la responsabilidad de verificar que las instituciones del pa\u00eds de destino brindan la suficiente protecci\u00f3n a los derechos de los interesados recae sobre responsables y destinatarios.<\/p>\n

A la vista de lo anterior, y teniendo en cuenta que la sentencia del Tribunal de Justicia ha declarado inv\u00e1lido el Privacy Shield, precisamente porque la legislaci\u00f3n norteamericana permite a las autoridades p\u00fablicas, por motivos de seguridad, el acceso a los datos de los interesados europeos en bloque, es decir, de forma desproporcionada, y porque no les reconoce el derecho de ejercer acciones judiciales en defensa de sus derechos, parece claro que el nivel de protecci\u00f3n de los derechos de los interesados en los Estados Unidos no es equivalente al europeo <\/strong>y, por consiguiente, no podr\u00e1n realizarse transferencias de datos personales a EE.UU. sobre la base de cl\u00e1usulas contractuales tipo<\/strong>.<\/p>\n

Por otro lado, en principio las cl\u00e1usulas tipo siguen siendo base legal suficiente para la realizaci\u00f3n las transferencias de datos personales a otros pa\u00edses distintos de los Estados Unidos<\/strong>, pero con todas las cautelas que impone la obligaci\u00f3n del responsable de cerciorarse de que el pa\u00eds de destino ofrece un nivel de protecci\u00f3n de los derechos de los interesados an\u00e1logo al europeo.<\/p>\n

As\u00ed pues, cuando se plantee la posibilidad de realizar transferencias internacionales amparadas en cl\u00e1usulas contractuales tipo, el responsable del tratamiento (o el encargado, en su caso) deber\u00e1n preguntarse si en el pa\u00eds de destino existen leyes que permiten el acceso de las autoridades p\u00fablicas a los datos y en qu\u00e9 forma<\/strong>: \u00bfse trata de un acceso puntual o en bloque? Igualmente, habr\u00e1 que examinar si en dicho pa\u00eds los interesados europeos podr\u00e1n defender sus derechos ejerciendo acciones ante autoridades judiciales verdaderamente independientes. S\u00f3lo cumpli\u00e9ndose estos requisitos, y en tanto sigan cumpli\u00e9ndose, podr\u00e1n llevarse a cabo las transferencias de datos personales.<\/p>\n

Otro de los instrumentos que han venido emple\u00e1ndose para legitimar la transferencia internacional de datos es la adhesi\u00f3n a normas corporativas vinculantes<\/strong>. La sentencia Schrems 2 no se refiere a ellas, pero, teniendo en cuenta que se tratan de garant\u00edas adecuadas reguladas en el art\u00edculo 46 RGPD junto con las cl\u00e1usulas tipo, parece que su tratamiento debe ser an\u00e1logo al de \u00e9stas \u00faltimas<\/strong>. Es decir, no ser\u00eda suficiente la adhesi\u00f3n a dichas normas, sino que responsables y encargados deber\u00e1n asegurarse de que el pa\u00eds de destino ofrece un nivel de garant\u00eda de los derechos de los interesados equivalente al europeo.<\/p>\n

Como \u00faltima opci\u00f3n legitimadora de las transferencias internacionales quedan los supuestos excepcionales del art\u00edculo 49 RGPD<\/strong> (consentimiento expl\u00edcito, necesidad para la ejecuci\u00f3n de un contrato\u2026). Sin embargo, debe tenerse en cuenta que, precisamente al tratarse de excepciones, su interpretaci\u00f3n debe ser restrictiva<\/strong> y el cumplimiento de las condiciones para su aplicaci\u00f3n estricto.<\/p>\n

Conclusiones<\/strong><\/p>\n

La \u00faltima sentencia del TJUE abre un tiempo de incertidumbre que aconseja prudencia<\/strong>, especialmente teniendo en cuenta el calibre de las responsabilidades que se derivar\u00edan de una hipot\u00e9tica transferencia ilegal de datos personales.<\/p>\n

En primer lugar, la sentencia del TJUE no s\u00f3lo invalida el Privacy Shield, sino que lo hace porque entiende que el marco legal estadounidense resulta inapropiado para ofrecer el nivel de protecci\u00f3n exigido para los derechos de los interesados europeos. As\u00ed pues, este marco legal tambi\u00e9n ser\u00e1 insuficiente para ofrecer el nivel de protecci\u00f3n equivalente al europeo que exigen las transferencias amparadas en cl\u00e1usulas contractuales tipo o en normas corporativas vinculantes. Por consiguiente, la primera consecuencia de la sentencia Schrems 2 parece ser la imposibilidad de realizar<\/strong> transferencias de datos personales a los Estados Unidos<\/strong>.<\/p>\n

Por otro lado, la obligaci\u00f3n de asegurarse de que el pa\u00eds de destino ofrece un nivel de protecci\u00f3n equivalente al europeo tambi\u00e9n es aplicable a las transferencias a otros pa\u00edses<\/strong> (distintos de EE.UU.). As\u00ed pues, esta obligaci\u00f3n constituye una nueva carga de la que deber\u00e1n responsabilizarse los exportadores e importadores de los datos personales.<\/p>\n

Es de esperar que, tal y como ocurri\u00f3 a ra\u00edz de la pasada sentencia Schrems 1, la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos (AEPD) y el Comit\u00e9 Europeo de protecci\u00f3n de Datos (CEPD) hagan p\u00fablicas recomendaciones acerca de c\u00f3mo pueden y c\u00f3mo no pueden realizarse las transferencias internacionales de datos personales, a la luz de la \u00faltima resoluci\u00f3n del TJUE.<\/p>\n

Hasta entonces, lo m\u00e1s prudente es evitar realizar transferencias que se dirijan a pa\u00edses respecto de los que no se haya dictado una decisi\u00f3n de adecuaci\u00f3n<\/strong>, lo cual puede conllevar la necesidad de cambiar los proveedores de determinados servicios.<\/p>\n

Si esto fuera imposible o muy dificultoso, a menos que se tenga la certeza de que las instituciones y la ley del pa\u00eds de destino proteger\u00e1n los derechos de los interesados de forma an\u00e1loga a la legislaci\u00f3n europea, lo m\u00e1s sensato ser\u00e1 consultar previamente a la AEPD<\/strong> la transferencia de datos que pretenda llevarse a cabo, y subordinar su efectiva realizaci\u00f3n a la autorizaci\u00f3n de dicha autoridad de control.<\/p>\n

En resumen, ante las consecuencias de la sentencia Schrems 2 lo aconsejable es que los responsables y encargados del tratamiento de datos personales adopten pol\u00edticas de minimizaci\u00f3n de riesgos como las indicadas, a la espera de que la previsible actuaci\u00f3n de las autoridades de control clarifique la situaci\u00f3n.<\/p>\n

[Art\u00edculo escrito por Luis M\u00aa Benito Cerezo]<\/p>\n","protected":false},"excerpt":{"rendered":"

\u00bfCu\u00e1l ha sido la decisi\u00f3n del Tribunal de Justicia de la Uni\u00f3n Europea? El pasado d\u00eda 16 de julio el Tribunal de Justicia de la Uni\u00f3n Europea (TJUE) dict\u00f3 en el asunto C-311\/18 la sentencia conocida como Schrems 2, con graves repercusiones para la transferencia internacional de datos personales a Estados Unidos. En ella el […]<\/p>\n","protected":false},"author":3,"featured_media":2275,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-2274","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sin-categoria"],"acf":[],"_links":{"self":[{"href":"https:\/\/bamboo.legal\/en\/wp-json\/wp\/v2\/posts\/2274","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bamboo.legal\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/bamboo.legal\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/bamboo.legal\/en\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/bamboo.legal\/en\/wp-json\/wp\/v2\/comments?post=2274"}],"version-history":[{"count":1,"href":"https:\/\/bamboo.legal\/en\/wp-json\/wp\/v2\/posts\/2274\/revisions"}],"predecessor-version":[{"id":3178,"href":"https:\/\/bamboo.legal\/en\/wp-json\/wp\/v2\/posts\/2274\/revisions\/3178"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/bamboo.legal\/en\/wp-json\/wp\/v2\/media\/2275"}],"wp:attachment":[{"href":"https:\/\/bamboo.legal\/en\/wp-json\/wp\/v2\/media?parent=2274"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/bamboo.legal\/en\/wp-json\/wp\/v2\/categories?post=2274"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/bamboo.legal\/en\/wp-json\/wp\/v2\/tags?post=2274"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}