El Tribunal de Justicia de la Unión Europea, en su sentencia de 16 de julio de 2020 (asunto C-311/18), invalida la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE.UU. o conocido por su nombre en inglés, EU-US Data Protection Shield.

El Reglamento general de protección de datos (RGPD) dispone que la transferencia de esos datos a un país tercero solo puede llevarse a cabo, en principio, si el país tercero en cuestión garantiza un nivel de protección adecuado a dichos datos.  Según detalla el TJUE , Privacy Shield no garantiza la seguridad de los datos dentro del marco de protección que exige el Reglamento General de Protección de Datos (RGPD), en cuanto a la equivalencia a la norma europea se refiere.

Uno de los motivos principales de la invalidación del Escudo de la privacidad UE-EE.UU. es debido al sistema de transferencias entre Europa y Estados Unidos, puesto que Privacy Shield está sometida a los intereses nacionales y la aplicación de la ley de EE. UU., lo que en ciertos casos, y desde su punto de vista, puede llevar a permitir el acceso a los datos transferidos, incumpliendo así la regulación de la Unión Europea.

El origen de la polémica se dio cuando de Maximillian Schrems, ciudadano austriaco residente en Austria, puso en cuestión la legalidad de Facebook Irlanda (subsidiara europea) a la hora de transferir sus datos personales a servidores pertenecientes a Facebook Inc. dentro del marco normativo de la UE.

En su reclamación alegaba que el Derecho y las prácticas de los Estados Unidos no ofrecían suficiente protección frente al acceso, por parte de las autoridades públicas, a los datos transferidos a ese país. La cuestión fue resuelta mediante sentencia del TJUE de 6 de octubre de 2015, donde el Tribunal de Justicia declaró inválida la referida Decisión 2000/520, de Puerto Seguro (Safe Harobur). 

Schrems presentó una queja ante la autoridad supervisora ​​irlandesa con la intención de prohibir esas transferencias en base a la normativa de privacidad europea, puesto que el marco jurídico de EE.UU. no otorga la protección necesaria contra el acceso de las autoridades a los datos transferidos. El Tribunal irlandés recurrió al Tribunal de Justicia de la Unión Europea, que finalmente dio la razón a Schrems, lo que conllevó la invalidación del Privacy Shield.

Pincha aquí para leer el comunicado emitido por el Tribunal de Justicia de la Unión Europea.