Según la instancia más alta de la justicia europea, las empresas de terceros países que gestionan información personal de ciudadanos de la Unión Europea deben proporcionar "un nivel de protección esencialmente equivalente al garantizado en la UE por la GDPR". Sin embargo, "las limitaciones a la protección de datos personales que aparecen a raíz de la ley doméstica de los Estados Unidos que rige el acceso y uso [a dichos datos] por parte de las autoridades" no se alinean con la GDPR.
De forma más concreta, el Tribunal de Justicia señala que los programas de vigilancia de los Estados Unidos son excesivamente intrusivos en relación a la información de usuario procedente de la Unión Europea, proporcionando un mayor acceso del que sería posible si se siguiera la GDPR o un marco regulatorio equivalente. Así, "respecto a algunos programas de vigilancia, de la referida normativa no se desprende en modo alguno que existan limitaciones a la habilitación que otorga para la ejecución de esos programas, ni tampoco que existan garantías para las personas no nacionales de los Estados Unidos que sean potencialmente objeto de esos programas.".
La anulación del acuerdo es consecuencia de la batalla legal entablada por Max Schrems, un activista austriaco implicado en asuntos de privacidad online que quería evitar que organizaciones como la NSA pudieran capturar información de internautas europeos almacenada en Facebook ampárandose en la sección 702 de la polémica ley FISA (Foreign Intelligence Surveillance Act).
Según la decisión del Tribunal, "a no ser que exista una decisión de adecuación válidamente adoptada por la Comisión, esas autoridades están obligadas, en particular, a suspender o a prohibir una transferencia de datos personales a un país tercero cuando consideren, a la luz de las circunstancias específicas de la referida transferencia, que las cláusulas tipo de protección de datos no se respetan o no pueden respetarse en ese país y que las protección de los datos transferidos, exigida por el Derecho de la Unión, no puede garantizarse mediante otros medios, si el propio exportador establecido en la Unión no ha suspendido esa transferencia o no le ha puesto fin".
Como señala TechCrunch, la decisión afecta al procesamiento en masa de datos deslocalizados y no a las transferencias consideradas como "necesarias", tal pudiera ser un intercambio de direcciones para realizar una reserva o hacer una compra online. Tampoco afecta al mecanismo conocido como Standard Contractual Clauses (SCC), acuerdos individuales para transferir datos a terceros países, pero que pueden ser invalidados por las agencias de protección de datos de cada país si consideran que no se respeta la ley. Basándose en el marco las SCC, por ejemplo, Microsoft podrá seguir ofreciendo servicios que implican procesamiento en Estados Unidos.
Aunque la decisión ha sorprendido a buena parte de la industria, muchas compañías llevan tiempo ampliando el tamaño y número de sus centros de datos en Europa ante el endurecimiento de las leyes de privacidad con la GDPR, particularmente aquellas implicadas en procesamiento y almacenamiento en la nube. La anulación de Privacy Shield abre ahora un periodo de incertidumbre en lo que se refiere a las operaciones de datos transatlánticas, por lo que no sería de extrañar que aumentara el número de centros europeos para evitar posibles disrupciones en el servicio en caso de que hubiera problemas con las autoridades locales.