CE, ord. ref., 12 de marzo de 2021, Doctolib, req. N° 450163 – Decisión provisional interina

En su decisión Doctolib, el Consejo de Estado reconoce la incompatibilidad del derecho estadounidense con la protección de datos personales en la Unión Europea

Por lo que respecta a Estados Unidos, la sentencia Schrems II (TJUE de 16 de julio de 2020, asunto C-311/18) invalidó el Privacy Shield, equivalente a una decisión de adecuación, que permitía a las empresas que se sometieran a él exportar datos personales a Estados Unidos. La legislación estadounidense autoriza a las autoridades públicas a acceder a los datos personales sin proporcionar a las personas interesadas recursos efectivos.

La empresa Doctolib, que ofrece un servicio de citas médicas en línea, aloja sus datos en los servidores de una subsidiaria de Amazon Web Services (AWS), una empresa constituida bajo la ley estadounidense. Como parte de la campaña de vacunación contra el covid-19, Doctolib ha sido designado por el Ministerio de Solidaridad y Salud para gestionar las citas relacionadas.

El juez de salas del Consejo de Estado conoce de una solicitud de suspensión de esta asociación en la medida en que se infringiría el Reglamento general en protección de datos (UE) 2016/679, de 27 de abril de 2016 (RGPD).

El juez rechaza que:

AWS Sarl, una subsidiaria en Luxemburgo de AWS Inc., es "host de datos de salud" certificado (CSP, art. L. 1111-8). Los datos están alojados en centros ubicados en Francia. y en Alemania y no hay disposición en el contrato para ninguna transferencia de datos a los Estados Unidos por razones técnicas. Dado que AWS Sarl es una subsidiaria de una empresa estadounidense, puede estar sujeto a una solicitud de acceso por parte de las autoridades públicas estadounidenses, según los solicitantes.

Datos en cuestión. – El Consejo de Estado señala que “los datos impugnados incluyen datos de identificación personal y datos de la cita pero sin datos de salud sobre ningún motivo médico para la elegibilidad para la vacunación”, las personas simplemente deben justificar su elegibilidad con una declaración jurada.

Duración de la conversación. - Los datos " se eliminan al final de un período de tres meses a más tardar a partir de la fecha de concertación de una cita, cada persona interesada que haya creado una cuenta en la plataforma con fines de vacunación puede eliminarla directamente en línea”.

Solicitud de acceso por parte de las autoridades públicas de EE.UU. – Para asegurar sus relaciones, se estipula en el contrato queAWS tendrá que impugnar “cualquier solicitud que sea general o no cumpla con la normativa europea ". Esta medida va acompañada de un "dispositivo de aseguramiento de datos alojado por la empresa AWS a través de un procedimiento de cifrado basado en un tercero de confianza ubicado en Francia para impedir la lectura de los datos por parte de terceros”.

> el nivel de protección establecido por las partes “no puede considerarse manifiestamente insuficiente con respecto al riesgo de violación del RGPD”.

 

El alcance de la decisión es relativo en cuanto que se trata de una decisión cautelar provisional que sanciona lo “manifiestamente antijurídico” y que por tanto podría ser subsanable. A seguir.

 
V.también
CNIL, delib. n° 2020-044 del 20 de abril de 2020 y comunicado de prensa del 14 de octubre de 2020
CE, ord. ref., 13 oct. 2020, n° 444937
 
 
es_ESSpanish