Schrems 2.0: El Abogado General del Tribunal de Justicia de las Comunidades Europeas emite sus conclusiones

On December 19, 2019, the European Court of Justice (ECJ) Advocate General, Henrik Saugmandsgaard ØE, provided his opinion on the validity of Standard Contractual Clauses (SCCs) adopted by the European Commission for the transfer of personal data from controllers to processors. The rendered opinion confirms that companies relying upon SCCs do not need to consider changing their approach at this time.

en flag
nl flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Nota del editor: El 19 de diciembre de 2019, el Abogado General del Tribunal de Justicia de las Comunidades Europeas (TJCE), Henrik Saugmandsgaard ØE, presentó su dictamen sobre la validez de las cláusulas contractuales tipo (SCC) adoptadas por la Comisión Europea para la transferencia de datos personales de los responsables del tratamiento a los encargados del tratamiento. El dictamen emitido confirma que las empresas que se basan en SCC no necesitan considerar la posibilidad de cambiar su enfoque en este momento. En este post se proporciona una recopilación de extractos informativos que pueden ser útiles para aquellos que buscan entender el contenido y el contexto de esta opinión reciente sobre las prácticas de transferencia de datos.

Un extracto de un artículo de Laura Song de Alston y Bird

Schrems 2.0: Cláusulas contractuales tipo declaradas válidas por el Abogado General de la UE

Antecedentes de la opinión: Max Schrems presentó por primera vez una denuncia contra las prácticas de transferencia de datos de Facebook ante la autoridad irlandesa de protección de datos (Comisión de Protección de Datos o DPC) en 2013, lo que llevó a la invalidación del marco de Puerto Seguro U.S.-UE por el Tribunal Europeo de Justicia (TJCE), el tribunal supremo de la UE, en octubre de 2015. Como resultado, muchas empresas que anteriormente dependían de Safe Harbor para las transferencias de datos adoptaron SCC para transferir datos a procesadores fuera de la UE, ya que el reemplazo de Safe Harbor, Privacy Shield, no estaba operativo hasta agosto de 2016.

A raíz de la decisión del Tribunal, el Sr. Schrems presentó una nueva denuncia ante el DPC centrada en la transferencia de datos personales de Facebook de la UE a los Estados Unidos basados en SCC. En respuesta, el DPC pidió claridad a través de los tribunales no sólo sobre la validez de los SCC sino también sobre el Escudo de la Privacidad. El DPC presentó una demanda ante el Tribunal Superior de Irlanda, que posteriormente remitió el caso al TJCE junto con 11 preguntas. El 9 de julio de 2019, el TJCE escuchó argumentos orales en el caso (Schrems 2.0).

El 19 de diciembre de 2019, el Abogado General del Tribunal de Justicia Henrik Saugmandsgaard Øe presentó sus conclusiones sobre Schrems 2.0.

Lea el artículo completo en Schrems 2.0: Cláusulas contractuales estándar declaradas válidas por el Abogado General de la UE

Introducción y conclusión del dictamen del Tribunal de Justicia de las Comunidades Europeas

Conclusiones del Abogado General Sr. S. Saugmandsgaard ØE, presentadas el 19 de diciembre de 2019 (asunto C-311/18)

Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems, interveners: Estados Unidos de América, Electronic Privacy Information Centre, BSA Business Software Alliance, Inc., Digitaleurope (solicitud de decisión prejudicial presentada por el Tribunal Superior de Irlanda).

Introducción

A falta de garantías comunes de protección de datos personales a nivel mundial, los flujos transfronterizos de estos datos suponen un riesgo de violación de la continuidad del nivel de protección garantizado en la Unión Europea. Deseoso de facilitar esos flujos y limitar al mismo tiempo ese riesgo, el legislador de la UE ha establecido tres mecanismos por los que los datos personales pueden transferirse de la Unión Europea a un tercer Estado.

En primer lugar, dicha transferencia puede tener lugar sobre la base de una decisión por la que la Comisión Europea considere que el tercer Estado en cuestión garantiza un «nivel adecuado de protección» de los datos que se le transfieren. En segundo lugar, a falta de tal decisión, la transferencia se autoriza cuando vaya acompañada de «salvaguardias adecuadas». Dichas garantías podrán adoptar la forma de un contrato entre el exportador y el importador de los datos que contengan cláusulas tipo de protección adoptadas por la Comisión. El RGPD prevé, en tercer lugar, ciertas excepciones, basadas en particular en el consentimiento del interesado, que permiten la transferencia de los datos a un tercer país, incluso en ausencia de una decisión de adecuación o de garantías adecuadas.

La solicitud de decisión prejudicial presentada por el Tribunal Superior de Irlanda (en lo sucesivo, «el Tribunal Superior») se refiere al segundo de dichos mecanismos. Se refiere, más concretamente, a la validez de la Decisión 2010/87/UE, por la que la Comisión estableció cláusulas contractuales tipo para determinadas categorías de transferencias, a la luz de los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «la Carta»).

La solicitud se presentó en el marco de un procedimiento incoado por el Comisario de Protección de Datos de Irlanda («DPC») contra Facebook Ireland Ltd y el Sr. Maximillian Schrems en relación con una denuncia presentada por el Sr. Schrems ante el DPC relativa a la transferencia de datos personales que le conciernen por Facebook Ireland a Facebook. Inc., su empresa matriz, establecida en los Estados Unidos de América («Estados Unidos»). El DPC considera que la evaluación de dicha denuncia está supeditada a la validez de la Decisión 2010/87. A este respecto, solicitó al órgano jurisdiccional remitente que solicitara aclaraciones al Tribunal de Justicia sobre este punto.

Permítanme señalar, en primer lugar, que el examen de las cuestiones prejudiciales no ha revelado, en mi opinión, nada que afecte a la validez de la Decisión 2010/87.

Por otra parte, el órgano jurisdiccional remitente ha puesto de relieve ciertas dudas relativas, en esencia, a la adecuación del nivel de protección garantizado por los Estados Unidos con respecto a las injerencias de las autoridades de inteligencia norteamericanas en el ejercicio de los derechos fundamentales de las personas cuyos datos se transfieren a los Estados Unidos. Estas dudas cuestionaron indirectamente las evaluaciones realizadas por la Comisión a este respecto en la Decisión de Ejecución 2016/1250. (Aunque la resolución de la controversia en el litigio principal no exige que la Corte resuelva esa cuestión, y aunque yo, por tanto, sugiero que se abstenga de hacerlo, expondré, con carácter subsidiario, las razones que me llevan a cuestionar la validez de dicha decisión.

Mi análisis en su conjunto se guiará por el deseo de encontrar un equilibrio entre, por un lado, la necesidad de mostrar un «grado razonable de pragmatismo para permitir la interacción con otras partes del mundo» y, por otro, la necesidad de afirmar los valores fundamentales reconocidos en los ordenamientos jurídicos de la Unión y sus Estados miembros, y en particular en la Carta.

Conclusión

Propongo que el Tribunal de Justicia responda a las cuestiones prejudiciales planteadas por el Tribunal Superior de Irlanda, de la siguiente manera:

El análisis de las cuestiones prejudiciales no ha revelado nada que afecte a la validez de la Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados establecidos en terceros países en virtud de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, modificada por la Decisión de Ejecución (UE) 2016/2297 de la Comisión, de 16 de diciembre de 2016.

Lea las conclusiones completas en las conclusiones del Abogado General Sr. S. Saugmandsgaard ØE, presentadas el 19 de diciembre de 2019 (asunto C-311/18)

Comentario informativo de la Comisión de Protección de Datos (DPC) Irlanda

Declaración del DPC sobre la opinión de AG sobre el asunto #C -311/18 TJUE

El CPD celebra la publicación del dictamen del AG sobre el asunto #C -311/18 TJUE. El dictamen ilustra los niveles de complejidad asociados a los tipos de cuestiones que surgen cuando las leyes de protección de datos de la UE interactúan con las leyes de terceros países, para incluir las leyes de los Estados Unidos. Del mismo modo, la sección inicial del dictamen reconoce las importantes tensiones que surgen entre, por un lado, la necesidad de mostrar pragmatismo y, por otro, «la necesidad de afirmar los valores fundamentales reconocidos en los ordenamientos jurídicos de la Unión y de sus Estados miembros y, en particular, en la Carta».

Algunos de los puntos de complejidad involucrados aquí se refieren a cuestiones de fondo. Por citar sólo tres ejemplos: ¿se aplica la legislación de la UE cuando los datos personales del interesado son tratados por autoridades públicas de un tercer país (el AG cree que sí)? ¿Facilitan la legislación y las prácticas estadounidenses las interferencias en los derechos de protección de datos de las personas que son incompatibles con la legislación de la UE? la opinión del AG); y son esos problemas resueltos por Privacy Shield (no, en opinión del AG).

Por otra parte, el dictamen señala asimismo que, en casos individuales, las cláusulas contractuales tipo tampoco pueden dar respuesta a los problemas que surgen cuando las transferencias de datos llevan los datos de los ciudadanos de la UE al ámbito de competencia de las autoridades públicas estadounidenses. En este punto, también se ven las complejidades de procedimiento. Concretamente, ¿quién debería intervenir cuando, en el contexto de una transferencia individual, no se puede mantener el nivel de protección exigido por la legislación de la UE? En este caso, si bien reconoce sus imperfecciones y las dificultades prácticas que presenta, y pese al riesgo de fragmentación entre las autoridades de supervisión de los Estados miembros, el GC concluye que el enfoque adoptado por la UE en el contexto de los SCC alcanza un equilibrio adecuado entre el pragmatismo y los principios. Este enfoque es un enfoque en el que la responsabilidad de garantizar la protección de los derechos de protección de datos de los ciudadanos de la UE recae en primer lugar en los responsables del tratamiento y, en opinión del AG, en las autoridades nacionales de supervisión cuando el responsable del tratamiento no cumple sus obligaciones.

Aunque observa que el Tribunal aún no ha determinado estas cuestiones, el CPD acoge con satisfacción la claridad del análisis contenido en el dictamen del GC.

Lea el anuncio de noticias original en la declaración de DPC sobre la opinión de la AG sobre el caso # C-311/18 TJUE

Lectura adicional

Tribunal de Justicia de la Unión Europea (TJUE)

La Comisión de Protección de Datos (DPC) Irlanda

Fuente: ComplexDiscovery

¿Un pilar de empoderamiento? Evaluación y revisión de la protección de datos del RGPD

The general view is that two years after it started to...

Conectando los puntos: considerar la eDiscovery desde los iniciadores al ecosistema

From a macro perspective, connecting the dots in eDiscovery is to...

XDD adquiere RVM

According to XDD CEO Bob Polus, “Merging forces with RVM further...

Ipro adquiere NetGovern

According to Dean Brown, CEO at Ipro Tech, “We are thrilled...

A Running List: Top 100+ eDiscovery Providers

Based on a compilation of research from analyst firms and industry...

Guía de compradores de eDisclosure Systems — Edición 2020 (Andrew Haslam)

Authored by industry expert Andrew Haslam, the eDisclosure Buyers Guide continues...

¿La carrera a la línea de salida? Anuncios recientes de revisión remota segura

Not all secure remote review offerings are equal as the apparent...

¿Activando la exhibición remota de documentos electrónicos? Una instantánea de DaaS

Desktop as a Service (DaaS) providers are becoming important contributors to...

¿A casa o a distancia? Consideraciones sobre el tamaño del mercado y los precios de la colección eDiscovery

One of the key home (onsite) or away (remote) decisions that...

Revisiones y decisiones? Nuevas consideraciones para eDiscovery Secure Remote Reviews

One of the key revision and decision areas that business, legal,...

Una mirada macro al tamaño del mercado de eDiscovery pasado y proyectado de 2012 a 2024

From a macro look at past estimations of eDiscovery market size...

Un Mashup de tamaño de mercado de eDiscovery: 2019-2024 Visión general de software y servicios en todo el mundo

While the Compound Annual Growth Rate (CAGR) for worldwide eDiscovery software...

¿Una cuestión de precios? Una actualización en ejecución de las respuestas semestrales de la encuesta de precios de eDiscovery

First administered in December of 2018 and conducted four times during...

¿Un indicador pandemeconómico? Resultados de la encuesta sobre precios de eDiscovery de verano de 2020

Based on the complexity of data and legal discovery, it is...

¿Covid-19 restringido? El impacto de seis problemas en el negocio de eDiscovery

In the spring of 2020, 51.2% of respondents viewed budgetary constraints...

¿Una causa para pausar? Métricas Operacionales de eDiscovery en la Primavera de 2020

In the spring of 2020, 150 eDiscovery Business Confidence Survey participants...

XDD adquiere RVM

According to XDD CEO Bob Polus, “Merging forces with RVM further...

Ipro adquiere NetGovern

According to Dean Brown, CEO at Ipro Tech, “We are thrilled...

Morae adquiere Asesoría Legal en Gestión Janders Dean

According to Janders Dean founder Justin North, "Now more than ever,...

Fusiones, adquisiciones e inversiones de eDiscovery en el segundo trimestre de 2020

From UnitedLex to Onna, ComplexDiscovery findings, data points, and tracking information...

Cinco grandes lecturas sobre eDiscovery para junio de 2020

From collection market size updates to cloud outsourcing guidelines, the June...

Cinco grandes lecturas sobre eDiscovery para mayo de 2020

From review market sizing revisions to pandemeconomic pricing, the May 2020...

Cinco grandes lecturas sobre eDiscovery para abril de 2020

From business confidence to the boom of Zoom, the April 2020...

Cinco grandes lecturas sobre descubrimiento de datos y descubrimiento legal para marzo de 2020

From business continuity considerations to cybersecurity attacks, the March 2020 edition...