I. Introducción
La Autoridad Turca de Protección de Datos Personales publicó a principios de enero las Directrices sobre Transferencias Internacionales de Datos Personales. A raíz de esta publicación, las transferencias internacionales de datos se han convertido en un tema importante en los ámbitos del Derecho y la ciberseguridad en el país. En este artículo, analizaremos la sentencia del Tribunal General del Tribunal de Justicia de la Unión Europea («Tribunal General») en el asunto Bindl contra Comisión , que se dio a conocer el mes pasado, relativa a la transferencia de datos a terceros países.
II. Alegaciones y pretensiones de la demandantellegations and Claims of the Applicant
En 2021 y 2022, Bindl, persona física de nacionalidad alemana, visitó en varias ocasiones el sitio web de la Conferencia sobre el Futuro de Europa, asociada a la Comisión Europea (“Comisión”). En particular, visitó el sitio web utilizando la opción “Iniciar sesión con Facebook” a través del servicio de autenticación de inicio de sesión en la UE de la Comisión (EU Login, anteriormente ECAS) para inscribirse en el evento “GoGreen”. El demandante alegó que sus datos personales, incluida su dirección IP y la información de su navegador y terminal, fueron transferidos a los Estados Unidos (EE.UU.) cuando utilizó el sitio web.
El demandante alegó en primer lugar que sus datos personales fueron transferidos a Amazon Web Services, el operador de Amazon CloudFront, la red de distribución de contenidos utilizada en el sitio web en cuestión.
Su segunda alegación era que cuando se inscribió en el evento GoGreen utilizando su cuenta de Facebook, sus datos fueron transferidos a Meta Platforms, Inc.
Según las alegaciones del demandante, Estados Unidos no tenía un nivel adecuado de protección de datos, y estas transferencias de datos suponían incluso un riesgo de que los servicios de seguridad e inteligencia estadounidenses pudieran acceder a sus datos personales. La Comisión no presentó garantías adecuadas para justificar estas transferencias.
El demandante solicitó que la Comisión le abonara 400 euros en concepto de indemnización por el perjuicio moral sufrido como consecuencia de dichas transferencias.
En segundo lugar, el demandante solicitó al Tribunal de Primera Instancia que anulara la transmisión de sus datos personales, que declarara que la Comisión se abstuvo ilegalmente de definir su posición sobre la solicitud de información y que condenara a la Comisión a abonarle una indemnización de 800 euros en concepto de daño moral derivado de la vulneración de su derecho de acceso a la información.
III. Observaciones y sentencia del Tribunal de Justicia de la Unión Europea
El Tribunal General desestimó el segundo grupo de pretensiones y la pretensión relativa a Amazon CloudFront.
La situación es distinta en el caso de la inscripción de la demandante en el evento GoGreen a través de EU Login con la opción “Sign in with Facebook”. El Tribunal General concluyó que la transferencia de la dirección IP de la demandante a Meta Platforms, una empresa establecida en los EE. En la fecha de la transferencia (30 de marzo de 2022), no existía ninguna decisión de la Comisión que reconociera que EE.UU. garantizaba un nivel adecuado de protección de datos.
Según la sentencia del Tribunal General, la Comisión tampoco alegó ni probó la existencia de una salvaguardia adecuada, como una cláusula tipo sobre protección de datos o una cláusula contractual . En este caso, la visualización del hipervínculo «Iniciar sesión con Facebook» en la página en cuestión estaba totalmente sujeta a las condiciones generales de la plataforma Facebook. Por lo tanto, la Comisión no cumplió las condiciones establecidas por la legislación de la UE para la transferencia de datos personales por una institución, órgano u organismo de la UE a un tercer país.
En consecuencia, el Tribunal General concluyó que la Comisión había cometido una infracción suficientemente caracterizada de una norma jurídica que confiere derechos a los particulares. Así, el Tribunal declaró que el demandante sufrió un perjuicio moral como consecuencia de la incertidumbre en relación con el tratamiento de sus datos personales, en particular su dirección IP. El Tribunal consideró asimismo que existía una relación de causalidad suficientemente directa entre la infracción cometida por la Comisión y el daño moral sufrido por el demandante. A raíz de estas observaciones, el Tribunal General condenó a la Comisión a pagar al demandante los 400 euros de daño moral que reclamaba, al cumplirse los requisitos de la responsabilidad extracontractual de la Unión Europea.
IV. Situación general entre la UE y EE.UU.
El punto de inflexión en relación con las transferencias de datos de la UE a los EE.UU. fue la sentencia Schrems II de la Gran Sala de 16 de julio de 2020 . En esa decisión, el Tribunal General invalidó el marco del «Escudo de la privacidad» que regulaba la transferencia de datos entre la UE y EE.UU. basándose en que EE.UU. no podía proteger los datos al nivel exigido por Europa. Esta decisión significaba que no existía una decisión de adecuación válida que regulara las transferencias de datos con EE.UU. Dado que no se adoptó ninguna decisión de adecuación posteriormente (hasta julio de 2023), se exigió a las empresas y organizaciones que desearan transferir datos a EE.UU. que adoptaran medidas de seguridad adicionales. El 4 de junio de 2021, la Comisión publicó las cláusulas contractuales tipo de la UE. Así, las antiguas cláusulas contractuales tipo quedaron invalidadas para las transferencias de datos a terceros países a partir del 27 de diciembre de 2022. La transferencia a la que se refiere la sentencia Bindl se produjo cuando no había acuerdo ni decisión de adecuación entre la UE y EE.UU. En 2022 comenzó a negociarse un nuevo marco transatlántico, y el 10 de julio de 2023 se adoptó una decisión de adecuación para el Marco de Privacidad de Datos UE-EE.UU..
V. Análisis y conclusión
En conclusión, la transferencia segura de datos a terceros países requiere comprobar primero si esos países cumplen los criterios de seguridad de los datos y están cubiertos por una decisión de adecuación. En los países para los que no existe una decisión de adecuación, es importante utilizar instrumentos jurídicos, como cláusulas contractuales tipo adoptadas por la Comisión, cláusulas contractuales sujetas a la aprobación del Supervisor Europeo de Protección de Datos y normas empresariales vinculantes notificadas a la autoridad de protección de datos del país correspondiente, y adoptar salvaguardias adicionales (medidas técnicas como el cifrado o la anonimización de los datos). Llegados a este punto, hay que subrayar que Türkiye figura entre los países que carecen de decisión de adecuación.
Aunque el importe de la indemnización concedida al final no es muy elevado, la decisión es importante porque pone de relieve la necesidad de que no sólo las empresas privadas, sino también las instituciones estatales, actúen en el marco de las salvaguardias adecuadas para la protección de los datos personales. La decisión también es útil para subrayar el cuidado que la administración debe prestar a la legislación sobre protección de datos personales, la necesidad de proteger los derechos de los particulares frente a la administración mediante mecanismos judiciales eficaces y la importancia de las decisiones indemnizatorias de los tribunales a este respecto. Aun así, la decisión es interesante hasta cierto punto. Al abrir una cuenta en Facebook y utilizar la opción «Iniciar sesión con Facebook» en cualquier sitio web, el solicitante ya está expuesto a transferencias de datos basadas en las condiciones generales de la plataforma Facebook. Por lo tanto, la transferencia de datos a Meta Platforms, que según afirma le ha causado un perjuicio moral (y el riesgo de que las fuerzas de seguridad e inteligencia estadounidenses puedan acceder a sus datos si sus alegaciones reflejan la verdad) ya se produce aunque nunca acceda a un sitio web de la Comisión por ser usuario de esta plataforma por elección propia.
La legislación turca también prevé la indemnización por daños y perjuicios si no se protegen los datos personales, de conformidad con la Ley nº 6698 de Protección de Datos Personales y otras disposiciones generales. En consecuencia, dada la estrecha relación entre la protección de los datos personales y la protección de los derechos de la persona, es posible reclamar daños y perjuicios morales cuando existe un nexo causal. Sin embargo, este tipo de reclamaciones no son habituales en la actualidad, especialmente en los procedimientos administrativos, y no tienen eco entre el público. Esto puede estar relacionado con la larga duración de los procedimientos judiciales y la escasa cuantía de los daños inmateriales que pueden obtenerse al final del proceso.
İdil Aşkın, Asociado
