El Tribunal General de la UE rechaza el recurso presentado por un diputado francés, aunque los expertos prevén que se recurrirá la sentencia.

El controvertido acuerdo sobre el Marco de Protección de Datos (DPF) entre la UE y EE. UU. se ha mantenido después de que el Tribunal General del Tribunal de Justicia de la Unión Europea (TJUE) haya rechazado una impugnación legal de gran repercusión que lo habría anulado. “El Tribunal General desestima un recurso de anulación del nuevo marco para la transferencia de datos personales entre la Unión Europea y los Estados Unidos”, dictamina el Tribunal. “En la fecha de adopción de la decisión impugnada, los Estados Unidos de América garantizaban un nivel adecuado de protección de los datos personales transferidos desde la Unión Europea a organizaciones de ese país”, añade.

Incluso con la posibilidad de una apelación, esto supondrá un gran alivio para la Comisión Europea (CE). Una derrota en esta fase la habría obligado a volver a empezar desde cero, sin nada que mostrar tras una década de dolorosas negociaciones, reelaboraciones y repetidos reveses legales.

Negociado en julio de 2023, el acuerdo DPF entre la UE y EE. UU. establece las normas que rigen la transferencia de datos personales de los ciudadanos de la UE entre la UE y EE. UU. Fue rápidamente rechazado por los activistas, que argumentaron que se trataba simplemente de una versión modificada de un anterior acuerdo de transferencia de datos defectuoso, The Privacy Shield o ‘Schrems II’, que el TJUE rechazó en 2020.

A las pocas semanas de la publicación del DPF, el diputado francés Philippe Latombe presentó un recurso judicial, argumentando que no ofrecía una protección adecuada de los datos personales de los ciudadanos de la UE ante la preocupación por la vigilancia del Gobierno estadounidense. Esto provocó un nuevo retraso y más incertidumbre para las empresas que transfieren datos a entidades estadounidenses, en una batalla cuyo origen se remonta a una denuncia presentada en 2013 por el estudiante de Derecho Max Schrems contra Facebook y la insuficiencia del acuerdo Safe Harbour de 2000 entre la UE y EE. UU.

En 2015, el TJUE declaró que no era válido el acuerdo Safe Harbour en un caso denominado ‘Schrems I’, continuando así una cadena de obstáculos legales que siguen surgiendo hasta el día de hoy.

Amigos sospechosos

Todo esto pone de relieve la sospecha en Europa de que el enfoque estadounidense de la vigilancia y la privacidad es profundamente incompatible con la legislación y los valores europeos. Sin embargo, en opinión del Tribunal, Estados Unidos ha abordado desde entonces estas preocupaciones introduciendo una mayor supervisión legal del DPF por su parte.

“En el presente caso, se desprende del expediente que, en virtud de la legislación estadounidense, las actividades de inteligencia de señales llevadas a cabo por los organismos de inteligencia estadounidenses están sujetas a la supervisión judicial ex post por parte del [Tribunal de Revisión de Protección de Datos de EE. UU.]”, se afirma en la sentencia.

Una cuestión clave es si el acuerdo logra la ‘adecuación’, es decir, la medida en que las leyes estadounidenses ofrecen el mismo nivel de protección que sus equivalentes de la UE. “La sentencia dictada hoy por el Tribunal General de la UE supondrá un alivio y una tranquilidad para las miles de empresas estadounidenses y sus socios europeos que dependen del Marco de Protección de Datos UE-EE. UU. para sus negocios transatlánticos y globales”, comentaba al respecto Caitlin Fennessy, directora de conocimiento de la Asociación Internacional de Profesionales de la Privacidad (IAPP), una organización comercial estadounidense.

“Esta sentencia se considerará una gran victoria para los flujos de datos y el comercio transatlánticos entre EE. UU. y la UE, así como una señal positiva para la longevidad del marco. En este tenso momento geopolítico, los funcionarios de la UE y EE. UU. sin duda acogerán con satisfacción la noticia”, según Fennessy. Sin embargo, cree que aún podría haber margen para una apelación con el fin de poner a prueba la cuestión de la adecuación.

Esta advertencia también la apunta Chris Linnell, director asociado de privacidad de datos de la consultora Bridewell, recordando el débil historial de la Comisión a la hora de conseguir que sus acuerdos con EE. UU. superen los tribunales de la UE. “Vale la pena recordar que tanto Safe Harbour como Privacy Shield fueron objeto de impugnaciones legales por motivos similares, y los activistas ya han señalado que es probable que se presenten más apelaciones. Eso significa que el marco puede no ser la última palabra en las transferencias de datos entre la UE y EE. UU.”, según Bridewell.

¿Supone una gran diferencia que haya un acuerdo con EE. UU.?

Sin este acuerdo, las empresas de la UE tendrían que redactar contratos complejos con los proveedores estadounidenses que imponen restricciones al tratamiento y la gestión de datos. Al exigir acuerdos para cada transferencia, esto resultaría caro y llevaría mucho tiempo, suponiendo que cumpliera con normas legales estrictas en condiciones reales.

A las empresas les encantaría dejar atrás esta confusa situación, pero quizá sea demasiado pronto para celebrar la sentencia. Max Schrems, el abogado que presentó la denuncia inicial, sigue haciendo campaña sobre este tema a través de una ONG que él mismo fundó, None of Your Business (NOYB). Considera que la sentencia del Tribunal aún puede ser recurrida.

“Se trataba de un recurso bastante limitado. Estamos convencidos de que una revisión más amplia de la legislación estadounidense, especialmente del uso de los decretos presidenciales por parte de la administración Trump, debería dar un resultado diferente”, afirma en una declaración de NOYB. “Estamos estudiando nuestras opciones para presentar dicho recurso. Aunque la Comisión haya ganado un año más, seguimos sin tener seguridad jurídica para los usuarios y las empresas”, añade.

Disponible en:

https://www.computerworld.es/article/4051187/aval-de-la-justicia-europea...