#PrivacyShield - El tribunal europeu declara no vàlid l'acord de compartició de dades UE-EUA

Max Schrems està fora de l’oficina del comissari irlandès de protecció de dades

Per segona vegada en menys de cinc anys, el Tribunal de Justícia de la Unió Europea ha constatat que un acord de compartir dades de la UE / EUA no compleix els estàndards de protecció de dades de la UE. L'acord sobre el port segur va ser anul·lat el 2015 i es va substituir ràpidament pel "protector de protecció", que ara també es troba en els desgavell. 

El tribunal governat que per ser vàlid, l’acord UE / Estats Units hauria de proporcionar proteccions equivalents a les garantides en el Reglament general de protecció de dades de la UE i protegir el dret a la privacitat i la protecció de dades recollit als articles 7 i 8 de la Carta fonamental de la UE. Drets.

#ECJ: la decisió sobre l'adequació de la protecció proporcionada per l'Escut de protecció de dades UE-EUA no és vàlida, però @EU_Commission La decisió sobre les clàusules contractuals estàndard per a la transferència de dades personals als processadors establerts en països tercers és vàlida #facebook #Schrems pic.twitter.com/BgxGAvuq3T

- Tribunal de Justícia de la UE (@EUCourtPress) 16 juliol, 2020

En una nota més positiva, el tribunal va considerar que la decisió de la Comissió sobre clàusules contractuals estàndard (SCC) per transferir dades personals a processadors establerts en tercers països (fora de la UE) és vàlida, sempre que hi hagi un acord previ que el nivell correcte de es proporciona protecció. 

anunci

Tot el problema sorgeix del dret intern als Estats Units. Schrems, el litigant homònim darrere de la sentència coneguda com a Schrems II, va dir: "El Tribunal va aclarir per segona vegada que hi ha un xoc entre la legislació de privadesa de la UE i la legislació de vigilància dels EUA. Com que la UE no canviarà els seus drets fonamentals per complaure a la NSA, l'única manera de superar aquest xoc és que els EUA introdueixin sòlids drets de privadesa per a totes les persones, inclosos els estrangers. Per tant, la reforma de la vigilància esdevé crucial per als interessos empresarials de Silicon Valley ".

TRENCAMENT: El Tribunal de Justícia de la UE acaba d’invalidar el sistema d’intercanvi de dades “Privacy Shield” entre la UE i els Estats Units, a causa de la vigilància excessiva dels Estats Units. Tots els detalls disponibles aquí: https://t.co/xN4HKhZaBT #PRISME # FISA702 # Privadesa #PrivacyShield #SCC #GDPR #TJUE

— Max Schrems ???? (@maxschrems) Juliol 16, 2020

La UE ja es va advertir que la CJUE va ser susceptible de fer fora l'escut de la privadesa i que la decisió es va impedir amb les primeres discussions amb els homòlegs nord-americans de la UE. La vicepresidenta de la Comissió, Valora, Věra Jourová dit: "Tant Didier com jo hem estat en contacte amb el secretari de comerç dels Estats Units, Wilbur Ross, els últims dies."

El comissari de Justícia, Didier Reynders, va afegir que havia parlat amb el fiscal general William Barr al desembre i que esperava una discussió constructiva demà (17 de juliol) amb Wilbur Ross pel camí a seguir.

El secretari d’Estat nord-americà, Wilbur Ross, va dir: “Esperem poder limitar les conseqüències negatives a la relació econòmica transatlàntica de 7.1 bilions de dòlars tan vital per als nostres respectius ciutadans, empreses i governs. Els fluxos de dades són fonamentals no només per a les empreses de tecnologia, sinó per a empreses de totes les mides de tots els sectors. A mesura que les nostres economies continuen recuperant-se després del COVID-19, és fonamental que les empreses –entre les més de 5,300 participants actuals del Shield de Privacitat– puguin transferir dades sense interrupcions, de forma coherent amb les fortes proteccions que ofereix Private Shield. " 

A la declaració, el Departament de Comerç diu que continuarà administrant el programa de protecció de privadesa, incloent el processament d’enviaments d’autocertificació i re-certificació als marcs de protecció de privadesa i el manteniment de la llista de protecció de privadesa. Tot i això, Reynders va dir: "Mentrestant, els fluxos transatlàntics de dades entre les empreses poden continuar utilitzant altres mecanismes per a la transferència internacional de dades personals disponibles sota la GDPR."

Bridget Treacy, soci de privadesa de dades de Hunton Andrews Kurth LLP amb seu a Londres, va comentar el judici: “Els SCC, que s’utilitzen habitualment per a les transferències a tot el món, estaran sotmesos a un control molt més detallat pels exportadors de dades i pels reguladors de la UE. Les transferències de dades personals de la UE als EUA requeriran una atenció especial atesa les observacions del Tribunal sobre la vigilància nord-americana. Però totes les transferències de dades personals de la UE, ja sigui als Estats Units o en altres llocs (inclòs el Regne Unit després de l'1 de gener de 2021), ara requeriran un examen molt més proper ".

David Dumont, soci de privadesa de dades de Hunton Andrews Kurth LLP, amb seu a Brussel·les, va dir: “Les empreses que es basen en els SCC hauran d’avaluar cada destinatari de transferència de dades per determinar si el destinatari ofereix un nivell adequat de protecció. Això suposarà valorar quin tipus de dades personals s’estan transferint, com es processaran, si poden ser objecte d’accés de les agències governamentals amb finalitats de vigilància i, si és així, quines garanties hi ha disponibles. Si el destinatari no pot proporcionar un nivell adequat de protecció, les empreses de la UE han de suspendre aquestes transferències de dades, si no ho pot fer un regulador. Els reguladors de protecció de dades es requereixen orientació urgent sobre quin nivell pràctic d’escrutini esperen de les empreses que es basen en SCCs. "

Brexit

A mesura que el Regne Unit abandoni la UE a finals d’any, haurà de sol·licitar un acord d’adequació de dades. La vigilància massiva del Regne Unit, mitjançant la seva agència d’intel·ligència (GCHQ), revelada per Edward Snowden, va mostrar com el Regne Unit estava arrossegant les dades de milions de comunicacions privades i compartint les seves conclusions amb l'Agència de Seguretat Nacional dels Estats Units, així com amb les agències d'intel·ligència d'altres països. El Tribunal Europeu de Drets Humans va dictaminar il·legal aquesta vigilància. Atès que els registres del Regne Unit, el Parlament Europeu és probable que es faci una garantia de qualsevol acord de protecció de dades. 

Treacy va dir: "És probable que la sentència sobre el protector de la privadesa tingui implicacions en les esperances del Regne Unit per a una resolució adequada de protecció de dades post-Brexit de la Comissió Europea. El Regne Unit pot esperar que les seves lleis de vigilància siguin sotmeses a similars a les dels Estats Units, per avaluar si respecten els drets de privacitat dels ciutadans de la UE. "

Dumont va dir: "La majoria de les empreses de la UE tenen previst confiar en SCC per transferir dades personals al Regne Unit un cop finalitzi el període de transició de Brexit. Aquesta sentència assenyala que el mecanisme dels SCC estarà sotmès a nivells molt més grans d’escrutini i que les autoritats de protecció de dades de la UE hauran de ser més proactives a l’hora de fer complir aquests requisits, en suspendre les transferències si cal.

Fons

Entrevista amb Sophie Int'Veld del 2016

Entrevista amb Max Schrems el 2018

Comparteix aquest article: