La Sentencia del Tribunal de Justicia de la Unión Europea en el asunto Schrems II o cómo los datos personales pueden terminar viajando sin equipaje
| Author | Susana Ruiz Tarrías |
| Position | Profesora Titular de Derecho Constitucional. Universidad de Granada |
| Pages | 111-162 |
Revista Española de Derecho Europeo
Núm. 76 | Octubre – Diciembre 2020
pp. 111-162
Madrid, 2020
DOI:10.37417/num_76_2020_532
© Marcial Pons Ediciones Jurídicas y Sociales
© Susana Ruiz Tarrías
ISSN: 2695-7191
Recibido: 10/11/2020 | Aceptado: 16/12/2020
LA SENTENCIA DEL TRIBUNAL DE JUSTICIA
DE LA UNIÓN EUROPEA EN EL ASUNTO SCHREMS II
O COMO LOS DATOS PERSONALES PUEDEN TERMINAR
VIAJANDO SIN EQUIPAJE
THE JUDGMENT OF THE COURT OF JUSTICE OF THE EUROPEAN
UNION IN THE SCHREMS II CASE, OR HOW PERSONAL DATA
CAN END UP TRAVELING WITHOUT BAGGAGE
Susana Ruiz Tarrías*
RESUMEN: El grado de interconexión de las sociedades actuales conlleva la necesi-
dad de realizar transferencias internacionales de datos personales que, en todo
caso, deben garantizar la protección de los derechos a la vida privada y a la pro-
Unión Europea ha articulado desde 1999 dos marcos normativos para las trans-
ferencias de datos personales UE-EE.UU, el sistema de Puerto Seguro (Safe Har-
bor) y el Escudo de Privacidad (Privacy Shield). En ambos casos, el Tribunal de
Justicia de la Unión Europea ha declarado la invalidez de la decisión de adecua-
ción que proporcionaba soporte jurídico en el ordenamiento de la Unión a las
transferencias de datos personales a uno y otro lado del Atlántico.
Sin embargo, tras la aplicación efectiva del RGPD en todos los Estados miembros,
la Sentencia del Tribunal de Justicia de 16 de julio 2020 en el asunto Schrems II,
parece extender en abstracto el nivel de garantía sustancialmente equivalente con
el proporcionado por el ordenamiento de la Unión Europea, tanto a las transfe-
* Profesora Titular de Derecho Constitucional. Universidad de Granada Correo-e:
starrias@ugr.es. ORCID: 0000-0002-8950-7072.
El presente trabajo no ha contado con ninguna financiación directa o indirecta
procedente de entidad alguna, pública o privada, con o sin ánimo de lucro.
112 SUSANA RUIZ TARRÍAS LA SENTENCIA DEL TRIBUNAL DE JUSTICIA DE LA UNIÓN EUROPEA… 113
Revista Española de Derecho Europeo 76 | Octubre – Diciembre 2020 Revista Española de Derecho Europeo 76 | Octubre – Diciembre 2020
tinto instrumento de licitud, pero idénticas garantías? 4.3. El cumplimiento por
el Escudo de Privacidad del nivel de protección sustancialmente equivalente al es-
tablecido en el Derecho de la Unión.—CONCLUSIONES.—FUENTES CITADAS.
INTRODUCCIÓN
El pasado 20 de septiembre, cuando este trabajo todavía se encontraba
en proceso de elaboración, se publicaba en The Sunday Business Post 1 la no-
ticia de que la red social Facebook había comunicado al Tribunal Superior
de Irlanda (High Court), la imposibilidad de seguir operando en la Unión
Europea si se le impide transferir datos a los EEUU. Una decisión que de
hacerse efectiva vendría determinada precisamente por el que constituye el
objeto de estudio de este artículo, la Sentencia del Tribunal de Justicia de la
Unión Europea (en adelante TJUE) de 16 de julio de 2020, en el conocido
como asunto Schrems II acerca de las transferencias de datos personales UE-
EEUU realizadas en el marco del conocido como Escudo de Privacidad o
Privacy Shield.
Según ha declarado el TJUE en diferentes ocasiones, la comunicación de
datos de carácter personal, junto a su conservación y acceso por autoridades
públicas constituyen una injerencia en los derechos fundamentales consagra-
Derechos Humanos (en adelante CEDH), sea cual fuere la utilización poste-
rior de los datos comunicados y con independencia del carácter o no sensible
de los datos o de que los interesados hayan sufrido o no inconvenientes deri-
vados de la injerencia.
De hecho, según reconoció en el asunto Parlamento/Consejo y Comisión
(2006) (par. 56) y reitera en la Sentencia de 6 de octubre de 2015 en el asunto
Schrems I (2015) (par. 45), la operación consistente en transferir datos per-
sonales de un Estado miembro a un tercer país “constituye en sí misma un
tratamiento de datos personales” en el sentido de la normativa europea.
Las páginas que siguen pretenden dar a conocer los avatares por los que
han atravesado las transferencias de datos personales entre la Unión Europea
y los EEUU desde 1999 en el contexto de la derogación de la Directiva 95/46/
CE por el Reglamento (UE) 2016/679 (RGPD). Una nueva regulación europea
en materia de protección de datos personales en virtud de la cual se lleva a
cabo una reforma “de gran calado” en lo que Ortega Giménez y Gonzalo Do-
menech (2018) denominan la “sociedad del dato” (p. 4).
Un relato —una “historia de nudos gordianos” en palabras de Svantesson
(2016, p. 39)—, en el que los aspectos jurídicos aparecen relacionados con la
cial-media-platforms-from-eu-00644da4.
rencias internacionales basadas en decisiones de adecuación como a aquellas fun-
dadas en cláusulas contractuales tipo. Una equiparación de las garantías a las que
se une la prohibición de otorgar primacía con carácter general a las exigencias de
seguridad pública, defensa o seguridad del Estado por las autoridades públicas
del tercer país respecto de los datos de los ciudadanos europeos que son objeto de
transferencia internacional.
PALABRAS CLAVE: UE-EEUU; transferencia datos personales; RGPD; Schrems II.
ABSTRACT: The degree of interconnection of today’s societies entails the need to
carry out international transfers of personal data which, in any case, must gua-
rantee the protection of European citizens’rights to privacy and personal data
protection (Articles 7 and 8 CFREU). The European Union has articulated since
1999 two regulatory frameworks for the transfer of personal data EU-US, the Safe
Harbor system and the Privacy Shield. In both cases, the European Union Court
of Justice has declared the invalidity of the decision of adequacy that provided
legal support in the European Union system to the transfers of personal data to
both sides of the Atlantic.
However, after the effective application of the RGPD in all Member States, the
Court of Justice’s Ruling of 16 July 2020 in the Schrems II case seems to extend
in the abstract the level of guarantee substantially equivalent to the European
Union system, both to international transfers based on adequacy decisions and
those based on standard contractual clauses. An equalization of the guarantees to
which is added the prohibition to grant primacy with a general character to the
requirements of public security, defense or state security by the public authorities
of the third country with respect to the data of European citizens who are subject
of international transfer.
KEYWORDS: EU-US; personal data transfer; GDPR; Schrems II.
SUMARIO: INTRODUCCIÓN.—1. ASPECTOS GENERALES DE LAS TRANSFE-
RENCIAS INTERNACIONALES DE DATOS EN EL MARCO DE LA UE: 1.1.
Aproximación al concepto de transferencia internacional de datos personales.
1.2. Instrumentos de licitud de las transferencias internacionales de datos en el
ordenamiento europeo: 1.2.1. Transferencias mediante decisiones de adecuación.
1.2.2. Otros instrumentos lícitos de transferencias internacionales de datos per-
sonales.-1.2.3. Excepciones para las transferencias internacionales de datos en
situaciones específicas.—2. EL PRIMER INSTRUMENTO DE ADECUACIÓN DE
LAS TRANSFERENCIAS TRANSATLÁNTICAS UE-EEUU: EL PUERTO SEGU-
RO (SAFE HARBOR): 2.1. Las carencias originales del sistema de Puerto Segu-
ro. 2.2. El Puerto Seguro (Safe Harbor) ante el Tribunal de Justicia: la Sentencia
Schrems I.—3. EL NUEVO MARCO DE ADECUACIÓN O EL FUNAMBULISMO
JURÍDICO-POLITICO: EL ESCUDO DE PRIVACIDAD (PRIVACY SHIELD).—4.
LA SENTENCIA SCHREMS II Y LA INVALIDEZ DEL ESCUDO DE PRIVACIDAD
(PRIVACY SHIELD): 4.1. La aplicación del RGPD a las transferencias objeto de
tratamiento con fines de seguridad nacional. 4.2. Decisiones de adecuación vs.
cláusulas tipo de protección de datos: 4.2.1. Distintas facultades de las autorida-
des de control independientes atendiendo al instrumento de licitud. 4.2.2. ¿Dis-
To continue reading
Request your trial