El caso Schrems II está suponiendo un reto de adaptación para los países europeos en materia de protección de datos personales.
En julio de 2020 el Tribunal de Justicia de la Unión Europea, le dió la razón a Maximilian Schrems. Este, había presentado un segundo caso (llamado Schrems II por la prensa) respecto al tratamiento de datos personales de ciudadanos europeos en países no miembros de la UE.
La sentencia consideraba no ajustado al Derecho de la UE al régimen de transferencia de datos personales de Europa a Estados Unidos llamado Privacy Shield. Este había constituido la base del trabajo de procesamiento de datos de empresas como Facebook desde que, en 2015, el caso Schrems I, eliminara el régimen previo, llamado Safe Harbour.
El fundamento detrás de la decisión del TJUE fue que dicho mecanismo se adecuaba más a las estructuras legales de protección de datos del país de destino -en este caso EEUU- que a las europeas. Y, por ejemplo, si un ciudadano europeo quería hacer una solicitud respecto al uso de sus datos, no podría hacerlo conforme a los estándares europeos, ni siquiera ante las autoridades estadounidenses.
No obstante, la sentencia señalaba como alternativa a este régimen la implementación de salvaguardias apropiadas, tales como las Cláusulas Contractuales Tipo y las Reglas Corporativas Vinculantes.
El análisis de la sentencia Schrems II
Frente a estas nuevas condiciones en el tratamiento de datos para las empresas de otros países que operan en la UE o reciben datos del EEE, ya ha habido tiempo para que la opinión pública las evalúe y el sector empresarial se adapte. Y así, teniendo como contexto el Brexit, ha venido a suponer un nuevo paradigma en las transferencias internacionales de datos de carácter personal. Más aún, si tenemos en cuenta que la mayoría de empresas tecnológicas que procesan datos de ciudadanos europeos tienen su sede en el Reino Unido.
Por ejemplo, este artículo de Lvcentinvs realiza un análisis muy acertado sobre las consecuencias de las sentencias Schrems I y II. Indica que la sentencia Schrems I, efectivamente no había resuelto los problemas relativos al acceso a datos de carácter personal del gobierno de EEUU para la vigilancia sistemática de las personas.
Está por ver si, tras el Brexit, Reino Unido mantiene el paradigma europeo o si se acabará aproximando a la posición americana respecto a este tema.
Así, por ejemplo, el portal Ku Leuven señala que ambos países forman parte de una alianza de inteligencia, llamada “Five Eyes”. Esta les comprometería a transferir información “relevante” por motivos de inteligencia entre los países miembros (Canadá, Israel y Nueva Zelanda también) de cualquier parte del globo.
Medidas divergentes en la UE
Por otro lado, el término “salvaguardas apropiadas” resulta impreciso y susceptible de distintas interpretaciones por las autoridades de protección de datos. Esto puede llevar a que las autoridades de control de cada estado de la UE puedan establecer interpretaciones divergentes respecto de las transferencias internacionales.
Esto ya está sucediendo, en cierta medida: como consecuencia de Schrems II, por ejemplo, Portugal ha prohibido totalmente la transferencia de datos del censo a EEUU.
En tanto, en Francia, se ha considerado que es una salvaguarda suficiente el encriptado de las datos transferidos a las empresas estadounidenses, siempre y cuando la clave de encriptación la controle y almacene una entidad dentro de la UE. Todo esto se comenta en este artículo de Lexology.
Mientras tanto, el medio Dirigentes Digital, comenta que será necesario que los especialistas en gestión de la información se adapten a esta nueva realidad. Corresponderá promover medidas como la creación de smart clouds, el cifrado en reposo, las evaluaciones de riesgo, entre otras.