Schrems 2.0: El Abogado General del Tribunal de Justicia de las Comunidades Europeas emite sus conclusiones

On December 19, 2019, the European Court of Justice (ECJ) Advocate General, Henrik Saugmandsgaard ØE, provided his opinion on the validity of Standard Contractual Clauses (SCCs) adopted by the European Commission for the transfer of personal data from controllers to processors. The rendered opinion confirms that companies relying upon SCCs do not need to consider changing their approach at this time.

en flag
nl flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Nota del editor: El 19 de diciembre de 2019, el Abogado General del Tribunal de Justicia de las Comunidades Europeas (TJCE), Henrik Saugmandsgaard ØE, presentó su dictamen sobre la validez de las cláusulas contractuales tipo (SCC) adoptadas por la Comisión Europea para la transferencia de datos personales de los responsables del tratamiento a los encargados del tratamiento. El dictamen emitido confirma que las empresas que se basan en SCC no necesitan considerar la posibilidad de cambiar su enfoque en este momento. En este post se proporciona una recopilación de extractos informativos que pueden ser útiles para aquellos que buscan entender el contenido y el contexto de esta opinión reciente sobre las prácticas de transferencia de datos.

Un extracto de un artículo de Laura Song de Alston y Bird

Schrems 2.0: Cláusulas contractuales tipo declaradas válidas por el Abogado General de la UE

Antecedentes de la opinión: Max Schrems presentó por primera vez una denuncia contra las prácticas de transferencia de datos de Facebook ante la autoridad irlandesa de protección de datos (Comisión de Protección de Datos o DPC) en 2013, lo que llevó a la invalidación del marco de Puerto Seguro U.S.-UE por el Tribunal Europeo de Justicia (TJCE), el tribunal supremo de la UE, en octubre de 2015. Como resultado, muchas empresas que anteriormente dependían de Safe Harbor para las transferencias de datos adoptaron SCC para transferir datos a procesadores fuera de la UE, ya que el reemplazo de Safe Harbor, Privacy Shield, no estaba operativo hasta agosto de 2016.

A raíz de la decisión del Tribunal, el Sr. Schrems presentó una nueva denuncia ante el DPC centrada en la transferencia de datos personales de Facebook de la UE a los Estados Unidos basados en SCC. En respuesta, el DPC pidió claridad a través de los tribunales no sólo sobre la validez de los SCC sino también sobre el Escudo de la Privacidad. El DPC presentó una demanda ante el Tribunal Superior de Irlanda, que posteriormente remitió el caso al TJCE junto con 11 preguntas. El 9 de julio de 2019, el TJCE escuchó argumentos orales en el caso (Schrems 2.0).

El 19 de diciembre de 2019, el Abogado General del Tribunal de Justicia Henrik Saugmandsgaard Øe presentó sus conclusiones sobre Schrems 2.0.

Lea el artículo completo en Schrems 2.0: Cláusulas contractuales estándar declaradas válidas por el Abogado General de la UE

Introducción y conclusión del dictamen del Tribunal de Justicia de las Comunidades Europeas

Conclusiones del Abogado General Sr. S. Saugmandsgaard ØE, presentadas el 19 de diciembre de 2019 (asunto C-311/18)

Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems, interveners: Estados Unidos de América, Electronic Privacy Information Centre, BSA Business Software Alliance, Inc., Digitaleurope (solicitud de decisión prejudicial presentada por el Tribunal Superior de Irlanda).

Introducción

A falta de garantías comunes de protección de datos personales a nivel mundial, los flujos transfronterizos de estos datos suponen un riesgo de violación de la continuidad del nivel de protección garantizado en la Unión Europea. Deseoso de facilitar esos flujos y limitar al mismo tiempo ese riesgo, el legislador de la UE ha establecido tres mecanismos por los que los datos personales pueden transferirse de la Unión Europea a un tercer Estado.

En primer lugar, dicha transferencia puede tener lugar sobre la base de una decisión por la que la Comisión Europea considere que el tercer Estado en cuestión garantiza un «nivel adecuado de protección» de los datos que se le transfieren. En segundo lugar, a falta de tal decisión, la transferencia se autoriza cuando vaya acompañada de «salvaguardias adecuadas». Dichas garantías podrán adoptar la forma de un contrato entre el exportador y el importador de los datos que contengan cláusulas tipo de protección adoptadas por la Comisión. El RGPD prevé, en tercer lugar, ciertas excepciones, basadas en particular en el consentimiento del interesado, que permiten la transferencia de los datos a un tercer país, incluso en ausencia de una decisión de adecuación o de garantías adecuadas.

La solicitud de decisión prejudicial presentada por el Tribunal Superior de Irlanda (en lo sucesivo, «el Tribunal Superior») se refiere al segundo de dichos mecanismos. Se refiere, más concretamente, a la validez de la Decisión 2010/87/UE, por la que la Comisión estableció cláusulas contractuales tipo para determinadas categorías de transferencias, a la luz de los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «la Carta»).

La solicitud se presentó en el marco de un procedimiento incoado por el Comisario de Protección de Datos de Irlanda («DPC») contra Facebook Ireland Ltd y el Sr. Maximillian Schrems en relación con una denuncia presentada por el Sr. Schrems ante el DPC relativa a la transferencia de datos personales que le conciernen por Facebook Ireland a Facebook. Inc., su empresa matriz, establecida en los Estados Unidos de América («Estados Unidos»). El DPC considera que la evaluación de dicha denuncia está supeditada a la validez de la Decisión 2010/87. A este respecto, solicitó al órgano jurisdiccional remitente que solicitara aclaraciones al Tribunal de Justicia sobre este punto.

Permítanme señalar, en primer lugar, que el examen de las cuestiones prejudiciales no ha revelado, en mi opinión, nada que afecte a la validez de la Decisión 2010/87.

Por otra parte, el órgano jurisdiccional remitente ha puesto de relieve ciertas dudas relativas, en esencia, a la adecuación del nivel de protección garantizado por los Estados Unidos con respecto a las injerencias de las autoridades de inteligencia norteamericanas en el ejercicio de los derechos fundamentales de las personas cuyos datos se transfieren a los Estados Unidos. Estas dudas cuestionaron indirectamente las evaluaciones realizadas por la Comisión a este respecto en la Decisión de Ejecución 2016/1250. (Aunque la resolución de la controversia en el litigio principal no exige que la Corte resuelva esa cuestión, y aunque yo, por tanto, sugiero que se abstenga de hacerlo, expondré, con carácter subsidiario, las razones que me llevan a cuestionar la validez de dicha decisión.

Mi análisis en su conjunto se guiará por el deseo de encontrar un equilibrio entre, por un lado, la necesidad de mostrar un «grado razonable de pragmatismo para permitir la interacción con otras partes del mundo» y, por otro, la necesidad de afirmar los valores fundamentales reconocidos en los ordenamientos jurídicos de la Unión y sus Estados miembros, y en particular en la Carta.

Conclusión

Propongo que el Tribunal de Justicia responda a las cuestiones prejudiciales planteadas por el Tribunal Superior de Irlanda, de la siguiente manera:

El análisis de las cuestiones prejudiciales no ha revelado nada que afecte a la validez de la Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados establecidos en terceros países en virtud de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, modificada por la Decisión de Ejecución (UE) 2016/2297 de la Comisión, de 16 de diciembre de 2016.

Lea las conclusiones completas en las conclusiones del Abogado General Sr. S. Saugmandsgaard ØE, presentadas el 19 de diciembre de 2019 (asunto C-311/18)

Comentario informativo de la Comisión de Protección de Datos (DPC) Irlanda

Declaración del DPC sobre la opinión de AG sobre el asunto #C -311/18 TJUE

El CPD celebra la publicación del dictamen del AG sobre el asunto #C -311/18 TJUE. El dictamen ilustra los niveles de complejidad asociados a los tipos de cuestiones que surgen cuando las leyes de protección de datos de la UE interactúan con las leyes de terceros países, para incluir las leyes de los Estados Unidos. Del mismo modo, la sección inicial del dictamen reconoce las importantes tensiones que surgen entre, por un lado, la necesidad de mostrar pragmatismo y, por otro, «la necesidad de afirmar los valores fundamentales reconocidos en los ordenamientos jurídicos de la Unión y de sus Estados miembros y, en particular, en la Carta».

Algunos de los puntos de complejidad involucrados aquí se refieren a cuestiones de fondo. Por citar sólo tres ejemplos: ¿se aplica la legislación de la UE cuando los datos personales del interesado son tratados por autoridades públicas de un tercer país (el AG cree que sí)? ¿Facilitan la legislación y las prácticas estadounidenses las interferencias en los derechos de protección de datos de las personas que son incompatibles con la legislación de la UE? la opinión del AG); y son esos problemas resueltos por Privacy Shield (no, en opinión del AG).

Por otra parte, el dictamen señala asimismo que, en casos individuales, las cláusulas contractuales tipo tampoco pueden dar respuesta a los problemas que surgen cuando las transferencias de datos llevan los datos de los ciudadanos de la UE al ámbito de competencia de las autoridades públicas estadounidenses. En este punto, también se ven las complejidades de procedimiento. Concretamente, ¿quién debería intervenir cuando, en el contexto de una transferencia individual, no se puede mantener el nivel de protección exigido por la legislación de la UE? En este caso, si bien reconoce sus imperfecciones y las dificultades prácticas que presenta, y pese al riesgo de fragmentación entre las autoridades de supervisión de los Estados miembros, el GC concluye que el enfoque adoptado por la UE en el contexto de los SCC alcanza un equilibrio adecuado entre el pragmatismo y los principios. Este enfoque es un enfoque en el que la responsabilidad de garantizar la protección de los derechos de protección de datos de los ciudadanos de la UE recae en primer lugar en los responsables del tratamiento y, en opinión del AG, en las autoridades nacionales de supervisión cuando el responsable del tratamiento no cumple sus obligaciones.

Aunque observa que el Tribunal aún no ha determinado estas cuestiones, el CPD acoge con satisfacción la claridad del análisis contenido en el dictamen del GC.

Lea el anuncio de noticias original en la declaración de DPC sobre la opinión de la AG sobre el caso # C-311/18 TJUE

Lectura adicional

Tribunal de Justicia de la Unión Europea (TJUE)

La Comisión de Protección de Datos (DPC) Irlanda

Fuente: ComplexDiscovery

¿Compartir es cuidar? ayfie Group Listas en Merkur Market de la Bolsa de Oslo

According to Johannes Stiehler, CEO of ayfie Group, in a July...

XDD adquiere Anexsys

According to David Moran, XDD President and COO, “Complementing our recent...

¿Te falta algo? Modelado de temas en eDiscovery

The basic idea behind topic modeling, according to eDiscovery expert and...

HayStackID y NightOWL Global Fusionar

According to today's announcement, the NightOwl merger is HaystackID's fourth major...

A Running List: Top 100+ eDiscovery Providers

Based on a compilation of research from analyst firms and industry...

Guía de compradores de eDisclosure Systems — Edición 2020 (Andrew Haslam)

Authored by industry expert Andrew Haslam, the eDisclosure Buyers Guide continues...

¿La carrera a la línea de salida? Anuncios recientes de revisión remota segura

Not all secure remote review offerings are equal as the apparent...

¿Activando la exhibición remota de documentos electrónicos? Una instantánea de DaaS

Desktop as a Service (DaaS) providers are becoming important contributors to...

¿A casa o a distancia? Consideraciones sobre el tamaño del mercado y los precios de la colección eDiscovery

One of the key home (onsite) or away (remote) decisions that...

Revisiones y decisiones? Nuevas consideraciones para eDiscovery Secure Remote Reviews

One of the key revision and decision areas that business, legal,...

Una mirada macro al tamaño del mercado de eDiscovery pasado y proyectado de 2012 a 2024

From a macro look at past estimations of eDiscovery market size...

Un Mashup de tamaño de mercado de eDiscovery: 2019-2024 Visión general de software y servicios en todo el mundo

While the Compound Annual Growth Rate (CAGR) for worldwide eDiscovery software...

¿Negocios tan inusuales? Dieciocho observaciones sobre la confianza empresarial de eDiscovery en el verano de 2020

Based on the aggregate results of nineteen past eDiscovery Business Confidence...

¿Una preocupación creciente? Restricciones presupuestarias y el negocio de eDiscovery

In the summer of 2020, 56% of respondents viewed budgetary constraints...

¿Un cambio en el tempo? Métricas Operacionales de eDiscovery en el Verano de 2020

In the summer of 2020, 91 eDiscovery Business Confidence Survey participants...

Resultados de la encuesta de confianza empresarial de eDiscovery — Verano 2020

This is the nineteenth quarterly eDiscovery Business Confidence Survey conducted by...

¿Compartir es cuidar? ayfie Group Listas en Merkur Market de la Bolsa de Oslo

According to Johannes Stiehler, CEO of ayfie Group, in a July...

XDD adquiere Anexsys

According to David Moran, XDD President and COO, “Complementing our recent...

HayStackID y NightOWL Global Fusionar

According to today's announcement, the NightOwl merger is HaystackID's fourth major...

Mitratech adquiere Tracker Corp

The acquisition supports Mitratech’s mission to provide legal and compliance solutions...

Cinco grandes lecturas sobre eDiscovery para julio de 2020

From business confidence and operational metrics to data protection and privacy...

Cinco grandes lecturas sobre eDiscovery para junio de 2020

From collection market size updates to cloud outsourcing guidelines, the June...

Cinco grandes lecturas sobre eDiscovery para mayo de 2020

From review market sizing revisions to pandemeconomic pricing, the May 2020...

Cinco grandes lecturas sobre eDiscovery para abril de 2020

From business confidence to the boom of Zoom, the April 2020...