¿Es suficiente la protección de datos en los Estados Unidos conforme al estándar europeo?
El Tribunal de Justicia declara inválida la Decisión de la Comisión que declaró que Estados Unidos garantiza un nivel de protección adecuado de los datos personales transferidos. Aunque el Tribunal de Justicia tiene competencia exclusiva para declarar la invalidez de un acto de la Unión, las autoridades nacionales de control a las que se haya presentado una solicitud pueden, aun cuando una Decisión de la Comisión declare que un país tercero ofrece un nivel de protección adecuado de los datos personales, examinar si la transferencia de los datos de una persona a ese país respeta las exigencias de la legislación de la Unión sobre la protección de esos datos así como acudir ante los tribunales nacionales, al igual que la persona interesada, con el fin de que éstos planteen una cuestión prejudicial sobre la validez de esa Decisión
La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, dispone que en principio sólo se pueden transferir dichos datos a un país tercero si éste garantiza un nivel de protección adecuado de dichos datos. También conforme a la Directiva, la Comisión puede declarar que un país tercero garantiza un nivel de protección adecuado en razón de su legislación interna o de sus compromisos internacionales. Por último, la Directiva determina que cada Estado miembro debe designar una o varias autoridades públicas encargadas de controlar la aplicación en su territorio de las disposiciones nacionales adoptadas sobre la base de la Directiva («autoridades nacionales de control»).
El Sr. Maximillian Schrems, ciudadano austriaco, es usuario de Facebook desde 2008. Como ocurre con los demás usuarios que residen en la UE, los datos proporcionados por el Sr. Schrems a Facebook se transfieren total o parcialmente de la filial irlandesa de dicha red social a servidores situados en territorio de los Estados Unidos, donde son objeto de tratamiento. El Sr. Schrems presentó una denuncia ante la autoridad irlandesa de control, considerando que, a la luz de las revelaciones realizadas en 2013 por el Sr. Edward Snowden en relación con las actividades de los servicios de información de Estados Unidos (en particular, la National Security Agency o «NSA»), la normativa y la práctica de Estados Unidos no garantizaban una protección suficiente de los datos transferidos a ese país frente a las actividades de vigilancia por las autoridades públicas. La autoridad irlandesa desestimó esa reclamación debido en particular a que, en su Decisión 2000/520/CE, de 26 de julio de 2000, con arreglo a la Directiva 95/46, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América, la Comisión había considerado que, en el marco del régimen denominado de «puerto seguro», Estados Unidos garantiza un nivel adecuado de protección de los datos personales transferidos. Este régimen de puerto seguro (safe harbor) incluye una serie de principios relativos a la protección de datos personales a los que las empresas estadounidenses pueden suscribirse voluntariamente.
La High Court de Irlanda (Tribunal Supremo irlandés), que conoce del asunto, desea saber si esa decisión de la Comisión impide a una autoridad nacional de control investigar una denuncia en la que se alega que un país tercero no garantiza un nivel de protección adecuado y, en su caso, suspender la transferencia de datos denunciada.
En su sentencia, el Tribunal de Justicia estima que la existencia de una Decisión de la Comisión que declara que un país tercero garantiza un nivel de protección adecuado de los datos personales transferidos no puede dejar sin efecto ni limitar las facultades de las que disponen las autoridades nacionales de control en virtud de la Carta de los Derechos Fundamentales de la Unión Europea y de la Directiva. El Tribunal de Justicia destaca en ese sentido el derecho a la protección de los datos personales garantizado por la Carta y la función que ésta atribuye a las autoridades nacionales de control.
El Tribunal de Justicia considera ante todo que ninguna disposición de la Directiva impide que las autoridades nacionales controlen las transferencias de datos personales a terceros países que hayan sido objeto de una decisión de la Comisión. Por tanto, incluso ante una Decisión de la Comisión, las autoridades nacionales de control, ante las que se haya presentado una solicitud, deben poder apreciar con toda independencia si la transferencia de los datos de una persona a un país tercero cumple las exigencias establecidas por la Directiva. No obstante, el Tribunal de Justicia recuerda que es exclusivamente competente para declarar la invalidez de un acto de la Unión –como una decisión de la Comisión. Por consiguiente, cuando una autoridad nacional de control o bien la persona que haya presentado una solicitud a ésta consideren que una decisión de la Comisión es inválida, esa autoridad o esa persona deben poder acudir ante los tribunales nacionales para que, en caso de que éstos también duden de la validez de la decisión de la Comisión, puedan plantear una cuestión prejudicial al Tribunal de Justicia. Así pues, corresponde en último término al Tribunal de Justicia decidir si una decisión de la Comisión es válida o no.
El Tribunal de Justicia examina seguidamente la validez de la Decisión de la Comisión de 26 de julio de 2000. En ese sentido, el Tribunal de Justicia recuerda que la Comisión estaba obligada a comprobar si Estados Unidos garantiza efectivamente, en razón de su legislación interna o de sus compromisos internacionales, un nivel de protección de los derechos fundamentales sustancialmente equivalente al garantizado en la Unión en virtud de la Directiva, interpretada a la luz de la Carta. El Tribunal de Justicia observa que la Comisión no llevó a cabo ese examen, sino que se limitó a analizar el régimen de puerto seguro.
Pues bien, sin que sea necesario que el Tribunal de Justicia compruebe si ese régimen garantiza un nivel de protección sustancialmente equivalente al garantizado en la Unión, el Tribunal de Justicia señala que éste únicamente es aplicable a las entidades estadounidenses que se han adherido a él, de modo que las autoridades públicas estadounidenses no están sometidas a dicho régimen. Además, las exigencias de seguridad nacional, interés público y cumplimiento de la ley de Estados Unidos prevalecen sobre el régimen de puerto seguro, de modo que las entidades estadounidenses están obligadas a dejar de aplicar, sin limitación, las reglas de protección previstas por ese régimen cuando entren en conflicto con las citadas exigencias. El régimen estadounidense de puerto seguro posibilita de ese modo injerencias por parte de las autoridades públicas estadounidenses en los derechos fundamentales de las personas, y la Decisión de la Comisión no pone de manifiesto que en Estados Unidos haya reglas destinadas a limitar esas posibles injerencias ni que exista una protección jurídica eficaz contra éstas.
El Tribunal de Justicia considera que ese análisis resulta corroborado por dos Comunicaciones de la Comisión, la Comunicación de la Comisión al Parlamento Europeo y al Consejo titulada «Restablecer la confianza en los flujos de datos entre la Unión Europea y los Estados Unidos de América» de 27 de noviembre de 2013, y Comunicación de la Comisión al Parlamento Europeo y al Consejo sobre el funcionamiento del puerto seguro desde la perspectiva de los ciudadanos de la Unión y las empresas establecidas en la Unión de 27 de noviembre de 2013. De estas Comunicaciones resulta que las autoridades estadounidenses podían acceder a los datos personales transferidos a partir de los Estados miembros a ese país y tratarlos de manera incompatible, concretamente, con las finalidades de esa transferencia, yendo más allá de lo que era estrictamente necesario y proporcionado para proteger la seguridad nacional. Del mismo modo, la Comisión consideró que las personas afectadas no disponían de vías jurídicas administrativas o judiciales que les permitieran acceder a los datos que les concernían y obtener, en su caso, su rectificación o supresión.
Por lo que se refiere a un nivel de protección de las libertades y derechos fundamentales sustancialmente equivalente al garantizado en la Unión, el Tribunal de Justicia observa que en el Derecho de la Unión una normativa no se limita a lo estrictamente necesario cuando autoriza de forma generalizada la conservación de la totalidad de los datos personales de todas las personas cuyos datos se hayan transferido desde la Unión a Estados Unidos, sin establecer ninguna diferenciación, limitación o excepción en función del objetivo perseguido y sin prever ningún criterio objetivo que permita circunscribir el acceso de las autoridades públicas a los datos y su utilización posterior. El Tribunal de Justicia añade que debe considerarse que una normativa que permite a las autoridades públicas acceder de forma generalizada al contenido de las comunicaciones electrónicas lesiona el contenido esencial del derecho fundamental al respeto de la vida privada.
Asimismo, el Tribunal de Justicia destaca que una normativa que no prevé posibilidad alguna de que el justiciable ejerza acciones en Derecho para acceder a los datos personales que le conciernen o para obtener su rectificación o supresión vulnera el contenido esencial del derecho fundamental a la tutela judicial efectiva, cuando esa posibilidad es inherente a la existencia del Estado de Derecho.
Finalmente, el Tribunal de Justicia declara que la Decisión de la Comisión de 26 de julio de 2000 priva a las autoridades nacionales de control de sus facultades, en el supuesto de que una persona impugne la compatibilidad de la Decisión con la protección de la vida privada y de las libertades y derechos fundamentales de las personas. El Tribunal de Justicia considera que la Comisión carecía de competencia para restringir de ese modo las facultades de las autoridades nacionales de control.
Por todas esas razones, el Tribunal de Justicia declara inválida la Decisión de la Comisión de 26 de julio de 2000. Como consecuencia de esta sentencia, la autoridad irlandesa de control está obligada a examinar la reclamación del Sr. Schrems con toda la diligencia exigible y, al término de su investigación, deberá decidir si, en virtud de la Directiva, debe suspenderse la transferencia de los datos de los usuarios europeos de Facebook a Estados Unidos porque ese país no ofrece un nivel de protección adecuado de los datos personales.
Fuente: Tribunal de Justicia de la Unión Europea