El 6 de septiembre, el diputado francés y miembro de la CNIL Philippe Latombe presentó ante el Tribunal de Justicia de la UE una solicitud de anulación del Marco de Privacidad de Datos entre la UE y EE.UU., como informó en primer lugar Político.
La acción legal contra el Marco de Privacidad de Datos era de esperar. Sin embargo, la acción del Sr. Latombe podría durar poco, ya que existen obstáculos de procedimiento para llevar el caso ante el Tribunal.
Este blog explicará lo que está pasando con el Marco de Transferencia de Datos, y por qué los requisitos procesales pueden significar un pronto final para la batalla legal de Latombe.
- ¿Qué es el Marco de Transferencia de Datos?
- ¿Cuál es la historia detrás del Marco de Privacidad de Datos?
- ¿Conseguirá el Sr. Latombe invalidar el marco?
- ¿Cómo se desarrollarán los acontecimientos a largo plazo?
- Conclusiones
¿Qué es el Marco de Transferencia de Datos?
El Marco Transatlántico de Privacidad de Datos (MTPD) es un marco de transferencia de datos entre la UE y Estados Unidos. El DPF está en vigor desde julio y permite transferencias de datos personales sencillas y conformes con el GDPR entre la UE y Estados Unidos.
En otras palabras, el RGPD establece reglas y normas específicas para la transferencia de datos fuera de la UE, y el DPF ayuda a las organizaciones a cumplirlas. Sin el marco, algunas transferencias de datos entre la UE y EE.UU. serían imposibles o más complicadas.
El Marco no es un acuerdo de Derecho internacional, sino una combinación de actos jurídicos internos de los marcos jurídicos europeo y estadounidense. El año pasado, el Presidente de EE.UU., Joe Biden, publicó una Orden Ejecutiva(EO 14068) para limitar los poderes de las agencias de vigilancia para espiar los datos europeos. Y en julio, la Comisión Europea adoptó una decisión de adecuación, un acto que esencialmente "da luz verde" a un país como destino seguro para las transferencias de datos en virtud de la RGPD.
Para obtener más información sobre el DPF y los mecanismos de transferencia de datos en virtud del RGPD, no dude en visitar nuestro blog sobre el tema.
¿Cuál es la historia detrás del Marco de Privacidad de Datos?
Ya hemos escrito extensamente sobre este tema, así que esta es la versión resumida.
El DPF no es el primer marco de este tipo entre la UE y EE.UU.. Otros dos marcos -el Acuerdo de Puerto Seguro y el Escudo de Privacidad- cumplieron la misma función en el pasado. Sin embargo, ambos marcos fueron invalidados por el Tribunal de Justicia de la UE en las sentencias Schrems I y II. Las sentencias giraban en torno a la vigilancia estadounidense de datos extranjeros y ponían de manifiesto que los antiguos marcos no bastaban para salvaguardar los datos europeos frente a las agencias de inteligencia.
Tras la sentencia Schrems II, la ONG de defensa de la privacidad noyb impulsó una aplicación más estricta de Schrems II mediante un litigio estratégico contra Google Analytics, una herramienta de análisis web que procesa datos de visitantes en Estados Unidos. El litigio de noyb condujo a la prohibición de facto de Google Analytics en varios Estados miembros y desencadenó un acalorado debate sobre la legalidad de las transferencias de datos entre la UE y EE.UU. en virtud del RGPD.
El DPF pretende poner fin a esta situación de incertidumbre crónica estableciendo un equilibrio entre la privacidad individual y la necesidad de llevar a cabo una vigilancia electrónica para la defensa nacional.
El Gobierno estadounidense y la Comisión Europea trabajaron estrechamente para garantizar que el nuevo marco resistiera el escrutinio del Tribunal de Justicia de la UE (TJUE). La Orden Ejecutiva publicada por el Presidente de EE.UU. limita en cierta medida las agencias de vigilancia en cuanto a la medida en que pueden husmear en los datos europeos, e introduce un nuevo sistema de supervisión y reparación contra los abusos. EE.UU. y la Comisión Europea esperan que estas nuevas normas permitan al DPF sobrevivir a una sentencia "Schrems III".
¿Conseguirá el Sr. Latombe invalidar el marco?
Lo dudamos, porque los obstáculos procesales podrían impedir que se discutieran los méritos en primer lugar.
La mayoría de los casos acaban en el TJUE a través de una cuestión prejudicial. Es decir, primero se presenta el asunto ante el tribunal de un Estado miembro y luego el juez competente lo remite al TJUE para que aclare la interpretación del Derecho europeo. Así es como los asuntos Schrems I y II llegaron también al TJUE.
El caso del Sr. Latombe es diferente porque presentó su demanda como una acción directa: acudió directamente al Tribunal y pidió que se anulara el DPF.
Esta estrategia tiene sus pros y sus contras. Por un lado, la acción directa evita por completo los tribunales nacionales, acortando drásticamente el tiempo necesario para obtener una decisión del TJUE. Por otro lado, la legislación de la UE prescribe unos requisitos bastante estrictos para las acciones directas: el solicitante debe argumentar con éxito que el DPF le afecta directa e individualmente. Esto podría suponer un problema para el Sr. Latombe porque el DPF no le afecta más que a cualquier otro ciudadano de la UE.
Tradicionalmente, el TJUE se ha tomado muy en serio el requisito de la afectación directa e individual. Por eso es probable que el Tribunal desestime el recurso sin discutir su fundamento.
Esperamos que se demuestre lo contrario, porque el destino del DPF es fuente de mucha inseguridad jurídica, y muchas organizaciones se beneficiarían enormemente de la claridad que aportaría una decisión del TJUE.
¿Cómo se desarrollarán los acontecimientos a largo plazo?
Incluso si el recurso de Latombe se declara inadmisible, alguien más dará el paso. Noyb ya ha anunciado su intención de impugnar el marco, y es posible que otras organizaciones de defensa también tomen cartas en el asunto.
Así que, tarde o temprano, el TJUE decidirá el destino del DPF. Y es difícil saber cómo se desarrollarán los acontecimientos.
Las opiniones sobre el nuevo marco están bastante polarizadas en la comunidad de la privacidad. Algunos creen que el DPF es la solución que todo el mundo ha estado anhelando. Otros, entre los que se encuentra noyb, lo consideran una chapuza del Escudo de la privacidad y esperan que el TJUE lo derribe en cuanto la pelota caiga en su tejado.
La verdad probablemente se encuentre en algún punto intermedio: el DPF es un paso adelante respecto al pasado en general, pero algunos aspectos de la Orden Ejecutiva de Joe Biden siguen siendo motivo de preocupación y podrían ser un problema para el Tribunal de Justicia.
Las propias instituciones europeas están divididas sobre los méritos del marco. La Comisión es, por supuesto, una entusiasta defensora del DPF. Por otro lado, el Parlamento de la UE rechazó el DPF por amplia mayoría. El voto del Parlamento no es vinculante, pero podría influir en el tono del debate y ejercer cierta presión sobre el TJUE. Por último, el Consejo Europeo de Protección de Datos adoptó un dictamen algo prudente sobre el marco, posiblemente para evitar influir en un debate ya polarizado.
Conclusiones
Creemos que la privacidad concierne a todos y que las empresas deben ser responsables en la forma en que recopilan los datos. Por eso creamos Simple Analytics: la herramienta de análisis web que proporciona a las empresas toda la información que necesitan, sin tocar los datos personales. Si le parece bien, ¡pruébenos!