Resumen de Schrems I y Schrems II

Este resumen fue escrito para el Observatorio de Derecho Informatico Argentino (ODIA)

Este es Maximilian Schrems, más conocido como @MaxSchrems, un activista austríaco en materia de protección de Datos Personales y autor intelectual de una de las sentencias más importante en la materia. “¿Por qué te aparece en el Feed? ¿Quién es este Schrems? ¿Por qué es importante conocerlo? Arghhh ¿porque me hace esto ODIA?” Si algunas de estas preguntas se te cruzan por la cabeza no te pierdas el siguiente hilo.

Max Schrems era un estudiante de derecho por allá en los primeros años de la década del 2010 (en un mundo pre-GDPR) que hizo algo que nadie estaba haciendo en aquellos tiempos. Se puso a leer los términos y condiciones de las innumerables empresas que ofrecen sus servicios a través de internet y que el usuario promedio no se detiene a pensar más de 2 segundos antes de aceptar.

Cuenta la historia que Max se encontraba haciendo un intercambio en una universidad de California cuando se sorprendió de la falta de conocimiento en materia de normativa de privacidad europea que tenían los profesores de privacidad. Ante esta situación, al volver a su país de origen, Max decidió pedirles a empresas como Facebook, Apple, y otras, toda la información que las mismas tenían sobre su persona basándose en lo que era la Directiva 95/46/EC.

 Finalmente, recibió respuesta de Facebook que contenía aproximadamente 1200 páginas de información. LOL

Con toda esa información, Max pudo averiguar que tipo de información se archivaba sobre el y de que manera se transferían sus datos personales a Facebook. Con toda esta información el joven estudiante arrancaría con toda una serie de reclamos administrativos, auditorías y juicios, que le cambiarían su vida.

Asimismo, en el comienzo de su quijotesco viaje, en el año 2013, sucede algo inesperado: La filtración de los documentos secretos compartidos por Edward Snowden (@snowden) -pronto tendrá su propio hilo- que, entre otras cosas, mostraban como la NSA del gobierno de los estados unidos recolectaba ilegalmente una inmensa cantidad de datos obtenidos directamente de las empresas tecnológicas y de telecomunicaciones, cables submarinos y de otras fuentes. Todo esto, bajo el amparo de la ley FISA (Foreign Intelligence Surveillance Act).

Ante esta situación Schrems presenta una demanda en Irlanda, donde se encuentra la sede central de Facebook, y basándose en la Directiva 95/46/EC de protección de datos europea y la Carta de Derechos Fundamentales de la Unión Europea le solicita a Facebook que no transfiera su información a los servidores de la empresa que se encontraban en los Estados Unidos. Siendo el argumento principal que, dada las revelaciones de Snowden, sus datos estaban siendo provistos a la NSA violando su derecho fundamental a la privacidad, a la protección de datos personales y su derecho de acceso a la justicia.

Específicamente, la Directiva 95/46/EC establece la prohibición de transferir datos personales a países que no tienen “legislación adecuada”. Pero acá surge la pregunta, ¿Qué es legislación adecuada? Básicamente, para que un país tenga legislación adecuada tiene que brindarles a lxs usuarixs europexs los mismos derechos y protecciones que lxs europexs tienen en sus países de origen.

Para determinar si un país puede recibir datos personales de europexs es necesario que la Comisión otorgue una especie de certificado de adecuación. Este certificado había sido otorgado por la Comisión en el marco de ciertos acuerdos que los EEUU había suscripto con la UE llamados coloquialmente “Puerto Seguro”. Marco que se encontraba vigente hasta que Schrems presentó su demanda.

Después de una serie de eventos procesales, el caso de nuestro Don Quijote digital llegó a la Corte de Justicia de la Unión Europea que se debió expedir sobre si este “Puerto Seguro” era legítimo o no. El 6 de octubre de 2015, la CJEU determinó en un fallo, que se conocería como “Fallo Schrems I”, que no lo era y que toda transferencia de datos entre ambas regiones era inválido argumentando básicamente que los EEUU podían interferir ilegítimamente en los derechos de lxs europexs, que lxs europexs no tenían acceso a la justicia para corregir dichos datos o eliminarlos y que básicamente no se podía seguir haciendo transferencia de datos en esos términos.

Ante esta apabullante victoria por parte de Max, Facebook muy hábilmente recalcula su estrategia y sale a decir que, si bien las transferencias se hacían bajo el amparo brindado por el marco de “puerto seguro”, Facebook también usaba las SCC (Standard Contractual Clauses) permitidas por la norma europea. Schrems, sin darles espacio para respirar, modifica su demanda adaptándola a estas nuevas prescripciones de Facebook presentando una ampliación el 2 de diciembre de 2015.

En el interín, autoridades de la Comisión Europea y de los Estados Unidos rápidamente intentaron llegar a un nuevo acuerdo entre ambas regiones que se llamó “Privacy Shield” o “Escudo de la Privacidad”, el cual permitiría las transferencias internacionales de datos personales entre los EEUU y la UE. Este acuerdo se terminó aprobando en el año 2016. Justo cuando se presentó el GDPR que reemplazaría la Directiva 95/46/EC y que robusteció los derechos de lxs ciudadanxs europexs.

Finalmente, la demanda ampliada por parte de Schrems llega nuevamente a la CJEU en donde esta analizó la adecuación de las SCCs previamente mencionadas, y además, la adecuación del Privacy Shield al GDPR. Es decir, la CJEU tenía que resolver quien había ganado el 2do round. Un verdadero David contra Goliat. La sentencia, que sería conocida como “Schrems II”, finalmente fue publicada el 16 de julio del 2020. La misma estableció que si bien las Clausulas Contractuales Standard eran válidas, el exportador de datos debía necesariamente evaluar con objetividad si el país importador del dato le puede ofrecer protección adecuada a esos datos que recibe por parte de ciudadanxs europexs.

Es decir, no se pueden transferir datos personales en el marco de un acuerdo contractual si en el país receptor no existen mecanismos adecuados de protección.

Por el otro lado, también se determinó la invalidez del “Privacy Shield” basándose en que las normas de espionaje (FISA, EO 12333 y PPD-28) de los EEUU violaban los derechos fundamentales de lxs europexs. En el mismo sentido se determinó que las autoridades de aplicación del GDPR de los correspondientes países de la región debían ordenar la prohibición de la transferencia de los datos personales a los países que no tuvieran legislación adecuada como, por ejemplo, los EEUU.

Enorme victoria para el héroe de esta historia.

No obstante, a partir de esta sentencia surgen muchas preguntas. ¿No obligaría esta sentencia a que se fragmente internet? (lo que algunos autores llaman su “balcanización”) ¿Es factible esperar que las empresas dejen de enviar datos a los EEUU donde se procesa la mayor cantidad de nuestra información? ¿Cuáles pueden ser las consecuencias económicas de esta decisión?

Hay muchas posturas que tomar y más preguntas que respuestas. De todas maneras, esto no le quita nada de brillo a esta historia donde un mero estudiante de derecho austriaco logró poner de rodillas a una de las empresas más grandes y poderosas del mundo.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: