La justícia invalida l'acord de protecció de dades entre la UE i els EUA

El Tribunal de Justícia de la Unió Europea (TJUE) va invalidar aquest dijous l’acord de protecció de dades personals entre la UE i els Estats Units, però va recolzar el sistema general de privacitat de dades europees amb tercers països a través de la normativa RGPD, que s’ha d’analitzar cas per cas.

En una resposta a una qüestió prejudicial, la cort amb seu a Luxemburg entén que el Reglament General de Protecció de Dades (RGDP) s’ha d’interpretar en el sentit que les persones les dades personals de les quals es transfereixen a un país tercer han de gaudir d’un nivell de protecció substancialment equivalent al garantit dins de la Unió.

Escut de protecció

L’anomenat «escut de protecció» és un mecanisme, segons el qual, les dades provinents de la UE i tractades als Estats Units han d’estar sotmeses a un alt nivell de protecció, és a dir, que l’empresa en qüestió les processi amb un robust sistema de normes i salvaguardes en matèria de protecció de dades.

Això implica que l’empresa estigui donada d’alta en aquest sistema en el Departament de Comerç dels Estats Units i respecti certs compromisos, com informar del dret l’amo de les dades si pretén transferir-les a terceres parts i els motius o l’obligació de no utilitzar mai les dades amb una finalitat diferent de l’original, entre altres clàusules.

Segons el Tribunal de Justícia, les limitacions de la protecció de dades personals de la normativa interna dels EUA sobre l’accés i la utilització d’aquestes dades per les autoritats nord-americanes «no estan regulades conforme a exigències substancialment equivalents a les requerides [...] en la mesura que els programes de vigilància basats en aquesta normativa no es limiten a l’estrictament necessari».

Entre altres punts, el Tribunal de Justícia afegeix que, si bé la normativa «estableix exigències que les autoritats nord-americanes han de respectar a l’aplicar els programes de vigilància de què es tracta, no confereix als interessats drets exigibles a les autoritats nord-americanes davant dels tribunals».

En canvi, el TJUE va recolzar el sistema general de privacitat de dades europees amb tercers països a través del Reglament General de Protecció de Dades (RGPD) ja que entén que s’ha d’interpretar en el sentit que les persones les dades personals de les quals es transfereixen a un país tercer han de gaudir d’un nivell de protecció substancialment equivalent al garantit dins de la Unió.

L’avaluació ha de tenir en compte tant les condicions contractuals de la firma en qüestió com l’accés de les autoritats públiques a aquestes dades, en funció de la situació legal general al país en el qual hi ha establerta l’empresa, afegeix la cort.

Denúncia contra Facebook

La decisió del tribunal, amb jurisdicció en el conjunt de la Unió Europea, és una resposta al Tribunal Suprem irlandès que parteix de la denúncia d’un activista per la privacitat de les dades de la xarxa social nord-americana Facebook interposada a Irlanda per l’austríac Max Schrems.

Notícies relacionades

Guadalupe, restauradora de mobles antics: «Les deixalles d’alguns són els meus tresors»

L’app que avisa si hi ha un canvi en el teu vol molt abans que t’informi l’aerolínia: cofundada per un català

La multinacional de Mark Zuckerberg té a Irlanda la seva seu europea (Facebook Irlanda) i des d’allà es transfereixen les dades de l’empresa fins als Estats Units.

Schrems va sol·licitar a les autoritats irlandeses que prohibissin aquest flux de les seves dades personals, al considerar que la normativa nord-americana no oferia prou protecció davant de l’accés a les dades de les autoritats d’aquest país.