miércoles, 14 de octubre de 2015

LOS ESTADOS MIEMBROS DE LA UE PUEDEN BLOQUEAR EL ENVÍO DE DATOS DE LOS USUARIOS EUROPEOS DE FACEBOOK A ESTADOS UNIDOS


El TJUE ha declarado inválida la Decisión de la Comisión que declaró que Estados Unidos garantiza un nivel de protección adecuado de los datos personales transferidos.
La decisión del TJUE tiene su origen en la denuncia de un ciudadano austriaco sobre la transferencia de datos personales a Facebook en Estados Unidos, datos que conserva en sus servidores.
La Sentencia del TJUE en el asunto C?362/14, de fecha 6 de octubre de 2015, declara que la normativa sobre protección de datos de la UE (Directiva 95/46/CE), debe interpretarse en el sentido de que la existencia de una Decisión de la Comisión, que constata que un tercer país garantiza un nivel de protección adecuado en la transferencia de datos personales, no impide a una autoridad de control de un Estado miembro evaluar una solicitud de una persona relativa a la protección de sus derechos y libertades, frente al tratamiento de los datos personales que la conciernen que se hayan transferido desde un Estado miembro a ese tercer país, cuando esa persona alega que el Derecho y las prácticas en vigor en éste no garantizan un nivel de protección adecuado.
 Esta importante sentencia en el conocido como “caso Facebook” habilita a las agencias nacionales de protección de datos para que impidan las transferencias de datos de ciudadanos europeos a terceros países (incluido EE UU) si consideran que no existen garantías en el tratamiento de estos datos en el país destino de los mismos.
La sentencia del TJUE incorpora el criterio del abogado general del Tribunal, Yves Bot, que se hizo público el pasado 23 de septiembre.
Los hechos
El actor, sr. Schrems, es un ciudadano austríaco, usuario de Facebook desde 2008. Como ocurre con los demás usuarios que residen en la UE, los datos proporcionados por el actor a Facebook se transfieren total o parcialmente de la filial irlandesa de dicha red social a servidores situados en territorio de los Estados Unidos, donde se conservan.
El actor presentó una denuncia ante la autoridad irlandesa de protección de datos, considerando que, a la luz de las revelaciones realizadas en 2013 por el Sr. Edward Snowden en relación con las actividades de los servicios de información de Estados Unidos (en particular, la National Security Agency o «NSA»), la normativa y la práctica de Estados Unidos no ofrecen protección real alguna frente a la supervisión, por parte del Estado americano, de los datos transferidos a ese país.
La autoridad irlandesa desestimó la denuncia debido en particular a que, en su Decisión 2000/520/CE, de 26 de julio de 2000, la Comisión había considerado que, en el marco del régimen denominado de «puerto seguro», Estados Unidos garantiza un nivel adecuado de protección de los datos personales transferidos.
La High Court of Ireland, que conoce del asunto, planteó al Tribunal si esta decisión de la Comisión impide a una autoridad nacional de control investigar una denuncia en la que se alega que un país tercero no garantiza un nivel de protección adecuado y, en su caso, suspender la transferencia de datos denunciada.
El marco normativo europeo
La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos, establece que la transferencia de tales datos a un país tercero puede efectuarse cuando el país tercero de que se trate garantice un nivel de protección adecuado de dichos datos. Según la Directiva, la Comisión puede declarar que un país tercero garantiza un nivel de protección adecuado. La transferencia de datos personales al país tercero puede tener lugar desde el momento en que la Comisión adopta una decisión en este sentido.
A través de la Decisión 2000/520/CE de la Comisión, de 26 de julio de 2000, la Comisión había considerado que, en el marco del régimen denominado de «puerto seguro»,   Estados Unidos garantiza un nivel adecuado de protección de los datos personales transferidos.
La Sentencia del TJUE
En su sentencia dictada hoy, el TJUE estima que la existencia de una Decisión de la Comisión que declara que un país tercero garantiza un nivel de protección adecuado de los datos personales transferidos no puede dejar sin efecto ni limitar las facultades de las que disponen las autoridades nacionales de control en virtud de la Carta de los Derechos Fundamentales de la Unión Europea y de la Directiva.
El TJUE destaca en ese sentido el derecho a la protección de los datos personales garantizado por la Carta y la función que ésta atribuye a las autoridades nacionales de control.
El Tribunal de Justicia considera ante todo que ninguna disposición de la Directiva impide que las autoridades nacionales controlen las transferencias de datos personales a terceros países que hayan sido objeto de una decisión de la Comisión.
Por tanto, incluso ante una Decisión de la Comisión, las autoridades nacionales de control, ante las que se haya presentado una solicitud, deben poder apreciar con toda independencia si la transferencia de los datos de una persona a un país tercero cumple las exigencias establecidas por la Directiva.
No obstante, el Tribunal de Justicia recuerda que es exclusivamente competente para declarar la invalidez de un acto de la Unión –como una decisión de la Comisión. Por consiguiente, cuando una autoridad nacional de control o bien la persona que haya presentado una solicitud a ésta consideren que una decisión de la Comisión es inválida, esa autoridad o esa persona deben poder acudir ante los tribunales nacionales para que, en caso de que éstos también duden de la validez de la decisión de la Comisión, puedan plantear una cuestión prejudicial al Tribunal de Justicia. Así pues, corresponde en último término al Tribunal de Justicia decidir si una decisión de la Comisión es válida o no.
El Tribunal de Justicia examina seguidamente la validez de la Decisión de la Comisión de 26 de julio de 2000. En ese sentido, el Tribunal de Justicia recuerda que la Comisión estaba obligada a comprobar si Estados Unidos garantiza efectivamente, en razón de su legislación interna o de sus compromisos internacionales, un nivel de protección de los derechos fundamentales sustancialmente equivalente al garantizado en la Unión en virtud de la Directiva, interpretada a la luz de la Carta. El Tribunal de Justicia observa que la Comisión no llevó a cabo ese examen, sino que se limitó a analizar el régimen de puerto seguro.
Pues bien, sin que sea necesario que el TJUE compruebe si ese régimen garantiza un nivel de protección sustancialmente equivalente al garantizado en la Unión, el Tribunal de Justicia señala que éste únicamente es aplicable a las entidades estadounidenses que se han adherido a él, de modo que las autoridades públicas estadounidenses no están sometidas a dicho régimen.
Además, las exigencias de seguridad nacional, interés público y cumplimiento de la ley de Estados Unidos prevalecen sobre el régimen de puerto seguro, de modo que las entidades estadounidenses están obligadas a dejar de aplicar, sin limitación, las reglas de protección previstas por ese régimen cuando entren en conflicto con las citadas exigencias. El régimen estadounidense de puerto seguro posibilita de ese modo injerencias por parte de las autoridades públicas estadounidenses en los derechos fundamentales de las personas, y la Decisión de la Comisión no pone de manifiesto que en Estados Unidos haya reglas destinadas a limitar esas posibles injerencias ni que exista una protección jurídica eficaz contra éstas.
El Tribunal de Justicia considera que ese análisis resulta corroborado por dos Comunicaciones de la Comisión,  de las que resulta que las autoridades estadounidenses podían acceder a los datos personales transferidos a partir de los Estados miembros a ese país y tratarlos de manera incompatible, concretamente, con las finalidades de esa transferencia, yendo más allá de lo que era estrictamente necesario y proporcionado para proteger la seguridad nacional. Del mismo modo, la Comisión consideró que las personas afectadas no disponían de vías jurídicas administrativas o judiciales que les permitieran acceder a los datos que les concernían y obtener, en su caso, su rectificación o supresión.
Por lo que se refiere a un nivel de protección de las libertades y derechos fundamentales sustancialmente equivalente al garantizado en la Unión, el Tribunal de Justicia observa que en el Derecho de la Unión una normativa no se limita a lo estrictamente necesario cuando autoriza de forma generalizada la conservación de la totalidad de los datos personales de todas las personas cuyos datos se hayan transferido desde la Unión a Estados Unidos, sin establecer ninguna diferenciación, limitación o excepción en función del objetivo perseguido y sin prever ningún criterio objetivo que permita circunscribir el acceso de las autoridades públicas a los datos y su utilización posterior. El Tribunal de Justicia añade que debe considerarse que una normativa que permite a las autoridades públicas acceder de forma generalizada al contenido de las comunicaciones electrónicas lesiona el contenido esencial del derecho fundamental al respeto de la vida privada.
Asimismo, el Tribunal de Justicia destaca que una normativa que no prevé posibilidad alguna de que el justiciable ejerza acciones en Derecho para acceder a los datos personales que le conciernen o para obtener su rectificación o supresión vulnera el contenido esencial del derecho fundamental a la tutela judicial efectiva, cuando esa posibilidad es inherente a la existencia del Estado de Derecho.
Finalmente, el Tribunal de Justicia declara que la Decisión de la Comisión de 26 de julio de 2000 priva a las autoridades nacionales de control de sus facultades, en el supuesto de que una persona impugne la compatibilidad de la Decisión con la protección de la vida privada y de las libertades y derechos fundamentales de las personas. El Tribunal de Justicia considera que la Comisión carecía de competenciapara restringir de ese modo las facultades de las autoridades nacionales de control.
Por todas esas razones, el Tribunal de Justicia declara inválida la Decisión de la Comisión de 26 de julio de 2000.
Como consecuencia de esta sentencia, la autoridad irlandesa de control está obligada a examinar la reclamación del Sr. Schrems con toda la diligencia exigible y, al término de su investigación, deberá decidir si, en virtud de la Directiva, debe suspenderse la transferencia de los datos de los usuarios europeos de Facebook a Estados Unidos porque ese país no ofrece un nivel de protección adecuado de los datos personales.
Comunicado de la Agencia Española de Protección de Datos
La Agencia Española de Protección de Datos, en un comunicado, hecho público con motivo de la decisión del TJUE, considera que las implicaciones de la sentencia marcan un punto de inflexión sobre la forma en la que se realizan las transferencias internacionales de datos a EEUU.
Estas implicaciones, señala el comunicado, "reafirman la importancia de la intimidad y la protección de datos, derechos fundamentales que deben gozar de las mayores garantías posibles".
La Agencia señala que las Autoridades europeas de protección de datos, que ya observaron deficiencias en el Puerto Seguro y las plasmaron en varias cartas y dictámenes, han planificado actuaciones de coordinarse en el análisis de las implicaciones de la sentencia y en las actuaciones nacionales que deban llevarse a cabo, garantizando una aplicación consistente de la misma en todos los países de la UE.


No hay comentarios:

Publicar un comentario