Datos Personales – Decisorio sobre transferencias internacionales desde Europa hacia Estados Unidos

Datos Personales – Decisorio sobre transferencias internacionales desde Europa hacia Estados Unidos

El 16 de julio de 2020 el Tribunal de Justicia de la Unión Europea (“TJUE”) emitió un relevante decisorio sobre la transferencia internacional de datos personales desde la Unión Europea hacia los Estados Unidos. En el fallo, conocido como “Schrems II”, el TJUE (i) declaró la invalidez del “Privacy Shield”, un mecanismo que actualmente permite a las empresas de la Unión Europea transferir datos personales a empresas de Estados Unidos que estuvieran certificadas bajo el mismo; y (ii) ratificó, con ciertas reservas, la validez de las cláusulas contractuales modelo, el otro mecanismo comúnmente utilizado en la Unión Europea (y en el mundo) para realizar transferencias internacionales de datos personales.

Bajo el GDPR y al igual que en Argentina, las transferencias internacionales de datos personales desde la Unión Europea sólo pueden realizarse si el país de destino cuenta con una protección adecuada. Estados Unidos es un país que no ofrece esa condición, principalmente a causa de sus normas de vigilancia y la ausencia de una normativa federal de privacidad. Por ello, para realizar transferencias internacionales de datos personales a Estados Unidos bajo el GDPR es necesario (i) que el destinatario de los datos personales localizado en Estados Unidos esté certificado bajo el Privacy Shield, o (ii) implementar un contrato de transferencia internacional de datos personales utilizando cláusulas contractuales modelo (también es posible implementar “normas corporativas vinculantes” si la transferencia es entre compañías del mismo grupo económico, pero dicho mecanismo no fue analizado en este fallo).

El caso en cuestión surge a raíz de un reclamo de Maximillian Schrems, un ciudadano austríaco que en 2013 cuestionó a Facebook Irlanda por transferir sus datos personales a su filial de Estados Unidos, alegando que dicho país no proveía una protección adecuada. En ese entonces, las transferencias internacionales realizadas por Facebook Irlanda a su filial americana eran realizadas bajo el mecanismo Safe Harbor (antecesor del Privacy Shield). En 2015, el TJUE falló en favor de Schrems y declaró la invalidez del Safe Harbor, lo que generó la creación del Privacy Shield. A raíz del fallo, muchas entidades europeas comenzaron a ampararse en el Privacy Shield o en las cláusulas contractuales modelo para transferir datos personales a Estados Unidos. Ello generó un nuevo reclamo de Schrems, que readecuó su pretensión y derivó en el presente decisorio.

La decisión del TJUE es relevante ya que actualmente más de 5.300 empresas se encuentran adheridas al Privacy Shield (entre las cuales se encuentran las principales empresas tecnológicas de Silicon Valley), las cuales deberán ampararse en otros mecanismos para realizar la transferencia internacional de datos personales desde la Unión Europea hacia los Estados Unidos.

Por otro lado, si bien el fallo confirma la validez de la utilización de las cláusulas contractuales modelo, establece a cargo de las autoridades de aplicación de cada país y de los exportadores de los datos la obligación de verificar caso por caso si la normativa de cada país de destino es susceptible de afectar los derechos de los titulares de los datos personales (en particular, ante eventuales accesos a los datos personales por autoridades públicas del país de destino), aun habiéndose implementado el contrato modelo de transferencia internacional.

El fallo establece que los contratos de transferencia internacional no deben funcionar como una protección y validación automática de la transferencia, debiendo las autoridades de aplicación locales prohibir las transferencias internacionales cuando determinen que las cláusulas contractuales no se podrán cumplir en el país de destino.

Resultará interesante ver si la normativa argentina recepta estas cuestiones. Actualmente, bajo la Disposición E-60/2016 de la Dirección Nacional de Protección de Datos Personales, la implementación de un contrato de transferencia internacional siguiendo el modelo previsto por dicha norma permite automáticamente la transferencia internacional a países que no presten protección adecuada, sin requerir la autorización ni la intervención de la autoridad de aplicación.

Para acceder al fallo completo (disponible únicamente en inglés) ingresar aquí.

Para más información comunicarse con Adrián Furman y/o Francisco Zappa.