El TJUE ha
declarado inválida la Decisión de la Comisión que declaró que Estados Unidos
garantiza un nivel de protección adecuado de los datos personales transferidos.
La decisión del
TJUE tiene su origen en la denuncia de un ciudadano austriaco sobre la
transferencia de datos personales a Facebook en Estados Unidos, datos que
conserva en sus servidores.
La Sentencia del
TJUE en el asunto C?362/14, de fecha 6 de octubre de 2015, declara que la
normativa sobre protección de datos de la UE (Directiva 95/46/CE), debe
interpretarse en el sentido de que la existencia de una Decisión de la
Comisión, que constata que un tercer país garantiza un nivel de protección
adecuado en la transferencia de datos personales, no impide a una autoridad de
control de un Estado miembro evaluar una solicitud de una persona relativa a la
protección de sus derechos y libertades, frente al tratamiento de los datos personales
que la conciernen que se hayan transferido desde un Estado miembro a ese tercer
país, cuando esa persona alega que el Derecho y las prácticas en vigor en éste
no garantizan un nivel de protección adecuado.
Esta
importante sentencia en el conocido como “caso Facebook” habilita a las
agencias nacionales de protección de datos para que impidan las transferencias
de datos de ciudadanos europeos a terceros países (incluido EE UU) si
consideran que no existen garantías en el tratamiento de estos datos en el país
destino de los mismos.
La sentencia del
TJUE incorpora el criterio del abogado general del Tribunal, Yves Bot, que
se hizo público el pasado 23 de septiembre.
Los hechos
El actor, sr.
Schrems, es un ciudadano austríaco, usuario de Facebook desde 2008. Como ocurre
con los demás usuarios que residen en la UE, los datos proporcionados por el
actor a Facebook se transfieren total o parcialmente de la filial irlandesa de
dicha red social a servidores situados en territorio de los Estados Unidos,
donde se conservan.
El actor presentó
una denuncia ante la autoridad irlandesa de protección de datos, considerando
que, a la luz de las revelaciones realizadas en 2013 por el Sr. Edward Snowden
en relación con las actividades de los servicios de información de Estados
Unidos (en particular, la National Security Agency o «NSA»), la normativa y la
práctica de Estados Unidos no ofrecen protección real alguna frente a la
supervisión, por parte del Estado americano, de los datos transferidos a ese
país.
La autoridad
irlandesa desestimó la denuncia debido en particular a que, en su Decisión
2000/520/CE, de 26 de julio de 2000, la Comisión había considerado que, en el
marco del régimen denominado de «puerto seguro», Estados Unidos garantiza un
nivel adecuado de protección de los datos personales transferidos.
La High Court of
Ireland, que conoce del asunto, planteó al Tribunal si esta decisión de la
Comisión impide a una autoridad nacional de control investigar una denuncia en
la que se alega que un país tercero no garantiza un nivel de protección
adecuado y, en su caso, suspender la transferencia de datos denunciada.
El marco
normativo europeo
La Directiva
95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995,
relativa a la protección de las personas físicas en lo que respeta al
tratamiento de datos personales y a la libre circulación de estos datos,
establece que la transferencia de tales datos a un país tercero puede
efectuarse cuando el país tercero de que se trate garantice un nivel de
protección adecuado de dichos datos. Según la Directiva, la Comisión puede
declarar que un país tercero garantiza un nivel de protección adecuado. La
transferencia de datos personales al país tercero puede tener lugar desde el
momento en que la Comisión adopta una decisión en este sentido.
A través de la
Decisión 2000/520/CE de la Comisión, de 26 de julio de 2000, la Comisión había
considerado que, en el marco del régimen denominado de «puerto
seguro», Estados Unidos garantiza un nivel adecuado de protección
de los datos personales transferidos.
La Sentencia del
TJUE
En su sentencia
dictada hoy, el TJUE estima que la existencia de una Decisión de la
Comisión que declara que un país tercero garantiza un nivel de
protección adecuado de los datos personales transferidos no puede dejar
sin efecto ni limitar las facultades de las que disponen las
autoridades nacionales de control en virtud de la Carta de los
Derechos Fundamentales de la Unión Europea y de la Directiva.
El TJUE destaca
en ese sentido el derecho a la protección de los datos personales garantizado
por la Carta y la función que ésta atribuye a las autoridades nacionales de
control.
El Tribunal de
Justicia considera ante todo que ninguna disposición de la Directiva impide que
las autoridades nacionales controlen las transferencias de datos personales a
terceros países que hayan sido objeto de una decisión de la Comisión.
Por tanto,
incluso ante una Decisión de la Comisión, las autoridades nacionales de
control, ante las que se haya presentado una solicitud, deben poder apreciar
con toda independencia si la transferencia de los datos de una persona a un
país tercero cumple las exigencias establecidas por la Directiva.
No obstante, el
Tribunal de Justicia recuerda que es exclusivamente competente para
declarar la invalidez de un acto de la Unión –como una decisión de la
Comisión. Por consiguiente, cuando una autoridad nacional de control o bien la
persona que haya presentado una solicitud a ésta consideren que una decisión de
la Comisión es inválida, esa autoridad o esa persona deben poder acudir ante
los tribunales nacionales para que, en caso de que éstos también duden de la
validez de la decisión de la Comisión, puedan plantear una cuestión prejudicial
al Tribunal de Justicia. Así pues, corresponde en último término al Tribunal de
Justicia decidir si una decisión de la Comisión es válida o no.
El Tribunal de
Justicia examina seguidamente la validez de la Decisión de la Comisión
de 26 de julio de 2000. En ese sentido, el Tribunal de Justicia recuerda
que la Comisión estaba obligada a comprobar si Estados Unidos garantiza
efectivamente, en razón de su legislación interna o de sus compromisos
internacionales, un nivel de protección de los derechos fundamentales
sustancialmente equivalente al garantizado en la Unión en virtud de la
Directiva, interpretada a la luz de la Carta. El Tribunal de Justicia observa
que la Comisión no llevó a cabo ese examen, sino que se limitó a analizar el
régimen de puerto seguro.
Pues bien, sin
que sea necesario que el TJUE compruebe si ese régimen garantiza un nivel de
protección sustancialmente equivalente al garantizado en la Unión, el Tribunal
de Justicia señala que éste únicamente es aplicable a las entidades
estadounidenses que se han adherido a él, de modo que las autoridades públicas
estadounidenses no están sometidas a dicho régimen.
Además, las
exigencias de seguridad nacional, interés público y cumplimiento de la ley de
Estados Unidos prevalecen sobre el régimen de puerto seguro, de modo que las
entidades estadounidenses están obligadas a dejar de aplicar, sin limitación,
las reglas de protección previstas por ese régimen cuando entren en conflicto
con las citadas exigencias. El régimen estadounidense de puerto seguro
posibilita de ese modo injerencias por parte de las autoridades públicas
estadounidenses en los derechos fundamentales de las personas, y la
Decisión de la Comisión no pone de manifiesto que en Estados Unidos haya reglas
destinadas a limitar esas posibles injerencias ni que exista una protección
jurídica eficaz contra éstas.
El Tribunal de
Justicia considera que ese análisis resulta corroborado por dos
Comunicaciones de la Comisión, de las que resulta que las
autoridades estadounidenses podían acceder a los datos personales transferidos
a partir de los Estados miembros a ese país y tratarlos de manera incompatible,
concretamente, con las finalidades de esa transferencia, yendo más allá de lo
que era estrictamente necesario y proporcionado para proteger la seguridad
nacional. Del mismo modo, la Comisión consideró que las personas
afectadas no disponían de vías jurídicas administrativas o judiciales que
les permitieran acceder a los datos que les concernían y obtener, en su caso,
su rectificación o supresión.
Por lo que se
refiere a un nivel de protección de las libertades y derechos fundamentales sustancialmente
equivalente al garantizado en la Unión, el Tribunal de Justicia observa que en
el Derecho de la Unión una normativa no se limita a lo estrictamente necesario
cuando autoriza de forma generalizada la conservación de la totalidad de los
datos personales de todas las personas cuyos datos se hayan transferido desde
la Unión a Estados Unidos, sin establecer ninguna diferenciación, limitación o
excepción en función del objetivo perseguido y sin prever ningún criterio
objetivo que permita circunscribir el acceso de las autoridades públicas a los
datos y su utilización posterior. El Tribunal de Justicia añade que debe
considerarse que una normativa que permite a las autoridades públicas acceder
de forma generalizada al contenido de las comunicaciones electrónicas lesiona
el contenido esencial del derecho fundamental al respeto de la vida privada.
Asimismo, el
Tribunal de Justicia destaca que una normativa que no prevé posibilidad
alguna de que el justiciable ejerza acciones en Derecho para acceder a
los datos personales que le conciernen o para obtener su rectificación o
supresión vulnera el contenido esencial del derecho fundamental a la
tutela judicial efectiva, cuando esa posibilidad es inherente a la
existencia del Estado de Derecho.
Finalmente, el Tribunal
de Justicia declara que la Decisión de la Comisión de 26 de
julio de 2000 priva a las autoridades nacionales de control de sus
facultades, en el supuesto de que una persona impugne la compatibilidad de
la Decisión con la protección de la vida privada y de las libertades y derechos
fundamentales de las personas. El Tribunal de Justicia considera que la
Comisión carecía de competenciapara restringir de ese modo las
facultades de las autoridades nacionales de control.
Por todas esas
razones, el Tribunal de Justicia declara inválida la Decisión de la
Comisión de 26 de julio de 2000.
Como consecuencia
de esta sentencia, la autoridad irlandesa de control está obligada a examinar
la reclamación del Sr. Schrems con toda la diligencia exigible y, al término de
su investigación, deberá decidir si, en virtud de la Directiva, debe
suspenderse la transferencia de los datos de los usuarios europeos de Facebook
a Estados Unidos porque ese país no ofrece un nivel de protección adecuado de
los datos personales.
Comunicado de la
Agencia Española de Protección de Datos
La Agencia
Española de Protección de Datos, en un comunicado, hecho público con motivo de
la decisión del TJUE, considera que las implicaciones de la sentencia marcan
un punto de inflexión sobre la forma en la que se realizan las
transferencias internacionales de datos a EEUU.
Estas
implicaciones, señala el comunicado, "reafirman la importancia de la
intimidad y la protección de datos, derechos fundamentales que deben gozar de
las mayores garantías posibles".
La Agencia señala
que las Autoridades europeas de protección de datos, que ya observaron
deficiencias en el Puerto Seguro y las plasmaron en varias cartas y dictámenes,
han planificado actuaciones de coordinarse en el análisis de las
implicaciones de la sentencia y en las actuaciones nacionales que
deban llevarse a cabo, garantizando una aplicación consistente de
la misma en todos los países de la UE.
No hay comentarios:
Publicar un comentario