El Tribunal de Justicia de la Unión Europea ("TJUE") ha dictado una sentencia, hecha pública el día 16 de julio de 2020, por medio de la cual ha dejado sin efecto la Decisión de la Comisión Europea 2016/1250, sobre la adecuación de la protección conferida por el denominado "Privacy Shield", que es el acuerdo entre Estados Unidos y la Unión Europea que venía legitimando la transferencia de datos personales desde Europa a aquellas sociedades de Estados Unidos que se hubieran adherido al programa de certificación incluido en el propio acuerdo.
Esta sentencia trae causa de un proceso judicial iniciado ante la autoridad de control irlandesa contra Facebook, proceso que derivó inicialmente en la anulación del anterior acuerdo que también regulaba el régimen de transferencias internacionales de datos de carácter personal entre Estados Unidos y la Unión Europea, conocido como "Safe Harbour".
Tras la anulación del "Safe Harbour" se aprobó el "Privacy Shield", buscando con ello seguir dando plena cobertura legal a las transferencias internacionales de datos con destino a Estados Unidos. Sin embargo, este otro acuerdo fue también impugnado judicialmente, impugnación ésta que ha sido ahora acogida por el TJUE, anulando así el "Privacy Shield".
Los motivos de dicha anulación son, a grandes rasgos, dos: por un lado, que los programas de vigilancia que llevan a cabo las autoridades estadounidenses sobre los datos personales que se transferían a Estados Unidos no eran proporcionados, sino excesivos, algo que contraviene el Reglamento General de Protección de Datos. Por otro lado, que la legislación americana no otorgaba, a las personas cuyos datos personales se transferían a Estados Unidos, mecanismos suficientemente eficaces para hacer valer sus derechos.
El TJUE mantiene, sin embargo, la validez de las cláusulas contractuales-tipo aprobadas en su momento por la Comisión Europea, cuya validez también se había impugnado.
De este modo, y hasta tanto Estados Unidos y la Unión Europea alcancen un nuevo acuerdo, a partir de ahora se abre un periodo transitorio en el que las empresas deberán buscar una alternativa jurídicamente suficiente y viable, para legitimar las trasferencias internacionales que venían llevando a cabo con destino a Estados Unidos. Esto deberá llevarse a cabo, no sólo en el caso de tratarse de una cesión entre dos empresas responsables del tratamiento, sino también para los proveedores encargados del tratamiento situados en Estados Unidos y adheridos al citado "Privacy Shield".
En cualquier caso, el Reglamento General de Protección de Datos contempla otras garantías para llevar a cabo tales transferencias internacionales, por lo que las empresas deberán analizar esta cuestión y optar por aquellas que resulten más convenientes.
