TJUE DENIEGA SUSPENSION CAUTELAR DEL NUEVO MARCO DE TRANSFERENCIA INTERNACIONAL DE DATOS ENTRE UE Y EE.UU.

   Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

 

cferreyros@hotmail.com

RESUMEN

 El diario "La Ley" publicó el 16 de octubre de 2023, el artículo que reproduzco luego, informando de la decisión del Tribunal de Justicia Europeo mediante la cual deniega la suspensión de la aplicación del nuevo marco de transferencia internacional de datos entre la Unión Europea y los Estados Unidos de Norteamérica.

El Tribunal considera que el demandante no ha logrado probar que la transferencia de sus datos personales, sobre la base de la decisión impugnada y el articulo 45 (1) del RGPD, a organizaciones establecidas en Estados Unidos, le causaría un perjuicio grave.

También incluyo, a continuación del artículo, el Comunicado de Prensa de la Comisión Europea publicado el 10 julio de 2023, en el cual esta institución adoptó su nueva decisión de adecuación para la circulación de datos entre la UE y los Estados Unidos.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@hotmail.com

____________________________________________________

El TJUE deniega la suspensión cautelar de la aplicación del nuevo marco de transferencia internacional de datos entr, en e la UE y los EE.UU.

• 16-10-2023 | Tribunal de Justicia de la Unión Europea

• El Tribunal considera que el demandante no ha explicado los motivos por los que la transferencia de sus datos personales, sobre la base de la decisión impugnada y el artículo 45(1) del RGPD, a organizaciones establecidas en Estados Unidos le causaría un perjuicio grave.

En una decisión de fecha 12 de octubre de 2023, dictada en el asunto T 553/23 R, el Tribunal General de la Unión Europea ha desestimado una solicitud de medida provisional consistente en la suspensión de ejecución de la Decisión de Ejecución (UE) 2023/1795 de la Comisión, de 10 de julio de 2023 (LA LEY 25403/2023), por la que se aprobaba el nuevo marco de transferencias internacionales de datos entre la Unión y los EEUU, planteada por un ciudadano francés.

La decisión se produce exactamente dos días después del plazo de entrada en vigor del nuevo marco.

Mediante su solicitud, presentado en la Secretaría del Tribunal el 8 de septiembre de 2023 y basada en los artículos 278 (LA LEY 6/1957) y 279 TFUE (LA LEY 6/1957), el demandante un ciudadano francés que utiliza diversas plataformas informáticas para recopilar y almacenar sus datos personales, presentó demanda de medidas provisionales, en la que solicita que el Presidente del Tribunal que ordene la suspensión de la ejecución de la decisión impugnada, sobre la base de que la misma le causa un daño grave e irreparable, como usuario de las plataformas informáticas Microsoft 365, Google y Doctolib, esta última utilizada para concertar citas médicas.

Las alegaciones del demandante

En concreto, el demandante alegó, en primer lugar, que, en virtud de la Decisión impugnada, sus datos personales pueden ser transferidos y utilizados por organizaciones establecidas en los Estados Unidos que figuran en la lista CPD, sin que sea necesario ningún control adicional para respetar el Derecho de la Unión. Y ello, pese a que Sin emba, contrariamente a lo que se afirma en el artículo 1 de la Decisión impugnada, los Estados Unidos de América no garantizan un nivel adecuado de protección de los datos personales.

En segundo lugar, según el demandante, la evaluación por la Comisión, para determinar si los Estados Unidos de América siguen garantizando un nivel adecuado de protección de los datos personales, sólo se llevará a cabo un año después de la notificación a los Estados miembros de la decisión impugnada.

En tercer lugar, alegó que la decisión impugnada tendría como consecuencia que ya no tendría derecho a ponerse en contacto con la autoridad de control mencionada en el artículo 4, punto 21, del RGPD para que pueda verificar si sus datos personales se transfieren legalmente a los Estados Unidos. Estados.

Las razones de la desestimación

La Comisión desestima las alegaciones de la demandante por las siguientes razones.

En primer lugar, y por lo que respecta al perjuicio alegado por el demandante, el Tribunal señala que éste no explica los motivos por los que, en su caso particular, el hecho de que se realicen transferencias de sus datos personales, sobre la base de la decisión impugnada y el artículo 45 (LA LEY 6637/2016)(1) del RGPD, a organizaciones establecidas en Estados Unidos que aparezcan en la lista CPD, le causaría un perjuicio grave. De hecho, se limita a describir, en términos generales, los efectos y aspectos negativos de la Decisión impugnada, sin explicar la naturaleza del daño que sufriría personalmente.

En este sentido, y como sostiene la Comisión, el demandante se limita a afirmar que utiliza determinadas herramientas informáticas, sin aportar elementos que permitan concluir que este uso da lugar posteriormente a la transferencia de sus datos a las organizaciones mencionadas, sin ninguna aclaración sobre la naturaleza o el tipo de datos personales a los que afectaría dicha transferencia.

En segundo lugar, el Tribunal acoge la alegación de la Comisión en el sentido de que ya es posible transferir, en determinadas condiciones, datos personales a organizaciones establecidas en los Estados Unidos con arreglo a los instrumentos de transferencia previstos en los artículos 46 (LA LEY 6637/2016) y 49 del RGPD (LA LEY 6637/2016).

Por un lado, el artículo 46 del RGPD (LA LEY 6637/2016) permite la transferencia de datos personales a un tercer país donde el exportador de los datos proporciona salvaguardias adecuadas, por ejemplo, adoptando normas corporativas vinculantes de conformidad con el artículo 47 del RGPD (LA LEY 6637/2016), y por el condición de que las personas interesadas tengan derechos exigibles y recursos legales efectivos. Por otro lado, el artículo 49 del RGPD (LA LEY 6637/2016) prevé exenciones que permiten la transferencia de datos personales a un tercer país en circunstancias específicas, en particular cuando la transferencia es necesaria por razones importantes de interés público.

Sin embargo, el demandante no puede explicar en qué medida la decisión impugnada, que amplía las posibilidades de transferencia previstas en el artículo 45 del RGPD (LA LEY 6637/2016), le pondría en desventaja con respecto a la situación que existía antes de dicha decisión. En efecto, el solicitante alega que ya no tiene derecho a ponerse en contacto con la autoridad de control para que pueda verificar si sus datos personales se transfieren legalmente a los Estados Unidos. Sin embargo, sigue siendo libre de presentar una reclamación ante una autoridad de control de conformidad con el artículo 77 del RGPD (LA LEY 6637/2016), si considera que el tratamiento de sus datos personales es contrario a esta normativa.

En tercer lugar, los argumentos del demandante relativos a la falta de un nivel adecuado de protección de los datos personales en los Estados Unidos y a la vulneración de sus derechos se refieren a la legalidad de la decisión impugnada, pero no permiten demostrar la existencia de un daño grave e irreparable que justifique la urgencia de las medidas provisionales solicitadas.

De hecho, la condición relativa al carácter grave e irreparable del daño invocado es diferente de la relativa al fumus boni iuris, aunque no se excluye que una suspensión de la ejecución u otras medidas provisionales se ordenen basándose únicamente en por la ilegalidad manifiesta del acto impugnado, por ejemplo cuando éste carece incluso de apariencia de legalidad y, por tanto, es necesario suspender inmediatamente su ejecución (el Tribunal cita, en este sentido, los autos de 7 de julio de 1981, IBM/Comisión, 60/81 R y 190/81 R, puntos 7 y 8, y de 26 de marzo de 1987, Hoechst/Comisión, 46/87 R, puntos 31 y 32) .

Sin embargo, si, como se desprende del apartado 110 del auto de 23 de febrero de 2001, Austria/Consejo (C-445/00), el carácter especialmente grave del fumus prima facie no Sin que ello influya en la apreciación de la urgencia, existen sin embargo, de conformidad con lo dispuesto en el artículo 156, apartado 4, del Reglamento de Procedimiento, dos condiciones distintas que rigen la obtención de una suspensión de la ejecución u otras medidas provisionales.

Por lo tanto, corresponde a la parte que solicita medidas provisionales demostrar la inminencia de un daño grave difícil de reparar, o incluso irreparable, y la sola demostración de la existencia de un caso prima facie, incluso uno particularmente grave, no puede compensar la ausencia total de demostración de urgencia, salvo en circunstancias muy específicas (véase, en este sentido, auto de 2 de mayo de 2007, IPK International – World Tourism Marketing Consultants/Comisión, T-97/05 R, inédito, apartado 52 y jurisprudencia citada).

En definitiva, el Tribunal aprecia que el demandante no ha demostrado que sufriría un perjuicio grave si no se suspendiera la ejecución de la Decisión impugnada, garantizado por el marco de protección de datos UE-EE.UU.

_____________________________________________________

Comunicado de prensa 10 de julio de 2023 Bruselas

Protección de datos: la Comisión Europea adopta una nueva decisión de adecuación para la circulación de datos UE-EE.UU. con seguridad y confianza

Hoy la Comisión Europea ha adoptado su decisión de adecuación relativa al Marco de Privacidad de Datos UE-EE.UU. La decisión concluye que los Estados Unidos garantizan un nivel de protección adecuado (equiparable al de la Unión Europea) de los datos personales transferidos de la UE a empresas estadounidenses al amparo del nuevo marco. En base a la nueva decisión de adecuación, los datos de carácter personal podrán circular de forma segura desde la UE a las empresas estadounidenses que participen en el Marco, sin la necesidad de establecer garantías adicionales de protección de datos.

El Marco de Privacidad de Datos UE-EE.UU. introduce nuevas garantías vinculantes al objeto de dar respuesta a cada uno de los motivos de inquietud puestos de manifiesto por el Tribunal de Justicia de la Unión Europea. Entre estas garantías se encuentran la limitación del acceso por parte de los servicios de inteligencia estadounidenses a los datos de la UE a lo necesario y proporcionado, y el establecimiento de un Tribunal de Recurso en Materia de Protección de Datos, al que los ciudadanos de la UE tendrán acceso. El nuevo marco introduce mejoras importantes respecto al mecanismo que existía en virtud del Escudo de la privacidad. Por ejemplo, si el Tribunal de Recurso en Materia de Protección de Datos concluye que se han recogido datos en contravención de las nuevas garantías, podrá requerir la supresión de los mismos. Las nuevas garantías en materia de acceso de los poderes públicos a los datos complementarán las obligaciones que las empresas estadounidenses que importen datos de la UE tendrán que asumir.

La presidenta Ursula von der Leyen ha declarado: «El nuevo Marco de Privacidad de Datos UE-EE.UU. asegurará a los europeos la circulación segura de sus datos y establecerá seguridad jurídica para las empresas a ambos lados del Atlántico. Desde que alcancé el acuerdo de principio con el presidente Biden el año pasado, los Estados Unidos han cumplido unos compromisos sin precedentes al objeto de establecer el nuevo marco. Hoy damos un paso importante con el objetivo de ofrecer a los ciudadanos la confianza en que sus datos estarán seguros, de profundizar la vinculación económica entre la UE y los Estados Unidos, y, de forma simultánea, de reafirmar nuestros valores compartidos. Demuestra que, cuando trabajamos juntos, somos capaces de abordar las cuestiones más complejas».

Las empresas estadounidenses podrán adherirse al Marco de Privacidad de Datos UE-EE.UU. si se comprometen a cumplir una serie de obligaciones detalladas de privacidad, por ejemplo, el requisito de borrar los datos personales cuando ya no sean necesarios para el fin que hubiera motivado su recogida, y a garantizar la continuidad de la protección en caso de compartir los datos de carácter personal con terceros.

En caso de tratamiento indebido de sus datos por parte de las empresas estadounidenses, los ciudadanos de la UE se beneficiarán de varias vías de reparación, entre ellas unos mecanismos de resolución independiente y gratuita de controversias, y un tribunal arbitral.

Además, el marco jurídico estadounidense establece una serie de garantías relativas al acceso por parte de las administraciones públicas estadounidenses a los datos transferidos al amparo del marco, en particular a efectos penales y de seguridad nacional: El acceso a los datos se limita a lo necesario y proporcionado para proteger la seguridad nacional.

En cuestiones relacionadas con la recogida y el uso de sus datos por parte de los servicios de inteligencia estadounidenses, los ciudadanos de la UE tendrán acceso a unos órganos independientes e imparciales de impugnación, entre ellos el nuevo Tribunal de Recurso en Materia de Protección de Datos, que investigará y resolverá las reclamaciones de forma independiente y podrá imponer medidas reparatorias de fuerza vinculante.

Las garantías establecidas por los Estados Unidos también facilitarán la circulación transatlántica de datos de forma más general, ya que también serán de aplicación a la transferencia de datos mediante otras herramientas como las cláusulas contractuales tipo o la normativa societaria vinculante.

Próximas etapas

La Comisión Europea, junto con representantes de las autoridades de protección de datos europeas y de las autoridades competentes estadounidenses, realizará una revisión periódica del funcionamiento del Marco de Privacidad de Datos UE-EE.UU.

La primera revisión se llevará a cabo antes de que se cumpla un año de la entrada en vigor de la decisión de adecuación, con objeto de verificar si todos los elementos pertinentes se han implantado plenamente y funcionan eficazmente en la práctica.

Contexto

El artículo 45, apartado 3, del Reglamento general de protección de datos (RGPD) otorga a la Comisión la facultad de decidir, mediante un acto de ejecución, que un país no perteneciente a la UE garantiza «un nivel de protección adecuado», es decir, un nivel de protección de los datos personales esencialmente equivalente al existente en la UE. Las decisiones de adecuación producen el efecto de permitir la circulación libre de los datos de carácter personal desde la UE (y Noruega, Liechtenstein e Islandia) a un país tercero, sin más obstáculos.

Tras la invalidación de la decisión de adecuación anterior sobre el Escudo de la privacidad UE-EE.UU. por parte del Tribunal de Justicia de la UE, la Comisión Europea y el Gobierno estadounidense se sentaron a negociar un nuevo marco que resolviera los problemas puestos de manifiesto por el Tribunal.

En marzo de 2022, la presidenta Von der Leyen y el presidente Biden anunciaron que habían llegado a un acuerdo de principio sobre el nuevo marco transatlántico de circulación de datos, a raíz de las negociaciones entre el comisario Reynders y la secretaria Raimondo. En octubre de 2022, el presidente Biden firmó el Decreto Presidencial sobre el «Refuerzo de las garantías en las actividades de inteligencia de señales de los Estados Unidos», que se complementa con normativa emitida por el fiscal general de los Estados Unidos, Merrick Garland. Los compromisos que los Estados Unidos habían asumido en el acuerdo de principio se incorporaron al ordenamiento jurídico estadounidense mediante estos dos instrumentos, que complementan las obligaciones de las empresas estadounidenses fijadas en el Marco de Privacidad de Datos UE-EE.UU.

Un elemento esencial del marco jurídico estadounidense que consagra estas garantías es el Decreto Presidencial de los Estados Unidos titulado «Refuerzo de las garantías en las actividades de inteligencia de señales de los Estados Unidos» (Enhancing Safeguards for US Signals Intelligence Activities), que da respuesta a las reservas manifestadas por el Tribunal de Justicia de la Unión Europea en su sentencia de julio de 2020 en el asunto «Schrems II».

El Departamento de Comercio estadounidense es responsable de la administración y la supervisión del Marco. La Comisión Federal de Comercio de los Estados Unidos se encargará de hacerlo cumplir por parte de las empresas estadounidenses.

Más información

Decisión de adecuación sobre el Marco de Privacidad de Datos UE-EE.UU.

Preguntas y respuestas: Marco de Privacidad de Datos UE-EE.UU.

Ficha informativa – Marco Transatlántico de Privacidad de Datos

Transferencias de datos UE-EE.UU. (europa.eu)

Dimensión internacional de la protección de datos (europa.eu)

Decisiones de adecuación (europa.eu)

Declaración conjunta relativa al Marco Transatlántico de Privacidad de Datos (europa.eu)

 

Cita(s)

La protección adecuada de nuestros datos de carácter personal es un derecho fundamental, cuya importancia no para de crecer en nuestras vidas cotidianas. La decisión de hoy es el resultado de una cooperación intensa con nuestros socios de los Estados Unidos, con quienes hemos trabajado para garantizar que los datos de los europeos viajen de forma segura, vayan donde vayan. La nueva decisión de adecuación aportará seguridad jurídica a las empresas y ayudará a consolidar aún más la posición de la UE como actor importante en los mercados transatlánticos, sin renunciar a nuestro compromiso firme por el respeto del derecho fundamental de los europeos a que sus datos se protejan en todo momento.

Věra Jourová, vicepresidenta responsable de Valores y Transparencia - 10/07/2023

La adopción de esta decisión de adecuación es el último paso para garantizar la seguridad y libertad en la transferencia transatlántica de datos. Asegura la protección de los derechos individuales en nuestro mundo digital intangible e interconectado, donde las fronteras físicas ya importan poco. Desde que se dictó la sentencia «Schrems II» hace unos años, he trabajado infatigablemente con mis homólogos estadounidenses para dar respuesta a las reservas manifestadas por el Tribunal de Justicia y garantizar que el desarrollo tecnológico no sea a costa de la confianza de los europeos. Siendo socios cercanos de perspectivas afines, la UE y los Estados Unidos han podido encontrar soluciones, basadas en sus valores compartidos, que se ajustan a la ley y son practicables en sus respectivos ordenamientos.

Didier Reynders, comisario responsable de Justicia - 10/07/2023

Medios de comunicación relacionados

• 
  DPF Presser

  © Copyright iStock / Getty Images Plus - Tero Vesalainen

PDF apto para impresión

Decisión de adecuación para una circulación segura de datos UE-EE.UU.

español (52.382 kB - PDF)

Descarg