Privacy Shield fue la respuesta de la Unión Europea y Estados Unidos al fin de Safe Harbor, el sistema de transferencia de datos entre las empresas tecnológicas norteamericanas que operan en la Unión Europea. Privacy Shield venia a sustituir, de forma mucho más laxa, al anterior sistema para garantizar la privacidad de los datos de los usuarios europeos que se transferían a las sedes de las compañías norteamericanas, pero también está en extinción.

El Tribunal Superior de la Unión Europea acaba de invalidar la Decisión 2016/1250 sobre la adecuación de la protección proporcionada por el Escudo de Protección de Datos UE-EE. UU. o conocido por su nombre en inglés, EU-US Data Protection Shield.

Según detalla el alto tribunal, Privacy Shield no garantiza la seguridad de los datos dentro del marco de protección que exige el Reglamento general de protección de datos, comúnmente conocido como GDPR. En este setnido, menciona el Tribunal de la UE que si bien el reglamento autoriza la transferencia de dichos datos a un
un tercer país, solo puede hacerse si dicho tercer país en cuestión garantiza un adecuado nivel de protección de datos.

Privacy Shield no garantiza los derechos de los usuarios

Tal como está planteado, el actual Privacy Shield no proporciona a los interesados (los usuarios) ​​ninguna causa de acción y no ofrece garantías sustancialmente equivalentes a las exigidas por la legislación de la UE, como por ejemplo garantizar al Defensor del Pueblo herramientas para adoptar decisiones que sean vinculantes para los EE. UU. y sus servicios de inteligencia. Por todos estos motivos, el Tribunal declara inválida la Decisión 2016/1250.

Y es que todo parece indicar que el sistema de transferencias entre Europa y Estados Unidos no garantiza la supremacía de la GDPR, en tanto Privacy Shield sigue estando supeditado a los intereses y requisitos del tercer país, en este caso Estados Unidos, y por tanto, permite el acceso a los datos aun contraviniendo la regulación de la Unión Europea:

"Los requisitos de seguridad nacional, interés público y aplicación de la ley de EE. UU. tienen primacía, por lo que toleran una interferencia con los derechos fundamentales de las personas cuyos datos se transfieren a ese tercer país",

El caso original se planteó en base a unas cuestiones específicas sobre la legalidad del mecanismos de transferencia utilizado por Facebook (y muchas otras empresas) para procesar los datos de los usuarios europeos en los EE. UU., a través de las llamadas Cláusulas Contractuales Estándar (SCC), asunto sobre el que se ha basado la decisión que tenía que dirimir el Tribunal de la UE.

Todo el proceso está derivado tras una queja de Maximillian Schrems, ciudadano austriaco residente en Austria, que a través de una demanda puso en cuestión la legalidad de que Facebook Irlanda (subsidiara europea) pudiera transferir sus datos personales a servidores pertenecientes a Facebook Inc. dentro del marco normativo de la UE.
Schrems presentó una queja ante la autoridad supervisora ​​irlandesa con la intención de prohibir esas transferencias en base a la normativa de privacidad europea, apuntando a que el marco jurídico en los Estados Unidos no ofrece protección suficiente contra el acceso de las autoridades a los datos transferidos a ese país garantizado sus derechos fundamentales.

Ahora el Tribunal ha dado la razón al caso de Schrems invalidando la aplicación del Privacy Shield, aunque deja claro que las transferencias y el uso de datos terceros países en torno usando las mencionadas Cláusulas Contractuales Estándar (SCC) son muy usadas y alertan a los reguladores de la UE a intervenir cuando sospechen que las transferencias puedan entrar en conflicto con la privacidad jurídica de la Unión.