LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

29/03/2024. 07:44:19

LegalToday

Por y para profesionales del Derecho

El TJUE invalida la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EEUU

Legal Today
Mazo UE

En cambio, declara que la Decisión 2010/87 de la Comisión, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, es válida

El Reglamento general de protección de datos [1] («RGPD») dispone que la transferencia de esos datos a un país tercero solo puede llevarse a cabo, en principio, si el país tercero en cuestión garantiza un nivel de protección adecuado a dichos datos. Según el referido Reglamento, la Comisión puede hacer constar que un país tercero, a la vista de su legislación interna o de sus compromisos internacionales, garantiza un nivel de protección adecuado. [2] A falta de esa decisión de adecuación, la mencionada transferencia solo podrá  realizarse si el  exportador  de datos personales, establecido en la Unión, ofrece garantías adecuadas, que pueden derivar, en particular, de cláusulas tipo de protección de datos adoptadas por la Comisión, y si los interesados cuentan con derechos exigibles y acciones legales efectivas. [3]  Asimismo, el RGPD establece, de modo preciso, bajo qué condiciones puede tener lugar esa transferencia en ausencia de una decisión de adecuación o de garantías adecuadas. [4]

El Sr. Maximiliam Schrems, nacional austriaco residente en Austria, es usuario de Facebook desde 2008. Como ocurre con el resto de usuarios residentes en la Unión, los datos personales del Sr. Schrems son transferidos, total o parcialmente, por Facebook Ireland a servidores pertenecientes a Facebook Inc., situados en el territorio de Estados Unidos, donde son objeto de tratamiento. El Sr. Schrems presentó una reclamación ante la autoridad irlandesa de control en la que solicitaba, esencialmente, que se prohibiesen esas transferencias. Alegó que el Derecho y las prácticas de los Estados Unidos no ofrecían suficiente protección frente al acceso, por parte de las autoridades públicas, a los datos transferidos a ese país.  Esa reclamación fue desestimada basándose en que, en particular, en su Decisión 2000/520 («Decisión de puerto seguro») [5], la Comisión había declarado que los Estados Unidos ofrecían un nivel adecuado de protección. Mediante sentencia de 6 de octubre de 2015, el Tribunal de Justicia, en respuesta a una cuestión prejudicial planteada por la High Court (Tribunal Superior, Irlanda), declaró inválida la referida Decisión (en lo sucesivo, «sentencia Schrems I»). [6]

A raíz de la sentencia Schrems I y de la subsiguiente anulación, por parte del órgano jurisdiccional irlandés, de la decisión por la que se desestimaba la reclamación del Sr. Schrems, la autoridad de control irlandesa instó a este a que modificase su reclamación, habida cuenta de la invalidación por el Tribunal de Justicia de la Decisión de puerto seguro. En su reclamación modificada, el Sr. Schrems sostiene que los Estados Unidos no ofrecen una protección suficiente de los datos que se transfieren a ese país. Solicita la suspensión o prohibición, de cara al futuro, de las transferencias de sus datos personales desde la Unión a los Estados Unidos que Facebook Ireland lleva a cabo actualmente sobre la base de las cláusulas tipo de protección recogidas en la Decisión 2010/87. [7] Al considerar que la tramitación de la reclamación del Sr. Schrems depende, en particular, de la validez de la Decisión 2010/87, la autoridad de control irlandesa inició un procedimiento ante la High Court para que esta plantease al Tribunal de Justicia una petición de decisión prejudicial. Tras el inicio de ese procedimiento, la Comisión adoptó la Decisión (UE) 2016/1250 sobre la adecuación de la protección conferida por el Escudo de  la  privacidad UE-EE. UU («Decisión Escudo de la privacidad») [8].

[1] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (DO 2016, L 119, p. 1).
[2] Artículo 45 del RGPD.
[3] Artículo 46, apartado 1 y apartado 2, letra c), del RGPD.
[4] Artículo 49 del RGPD.
[5] Decisión de la Comisión, de 26 de julio, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes publicadas por el Departamento de Comercio de Estados Unidos de América (DO 2000, L 215, p. 7).
[6] Sentencia del Tribunal de Justicia de 6 de octubre de 2015, Schrems, C-362/14 (véase también CP no 117/15).

En su petición de decisión prejudicial, la High Court pregunta al Tribunal de Justicia acerca de la aplicabilidad del RGPD a las transferencias de datos personales basadas en las cláusulas tipo de protección recogidas en la Decisión 2010/87, acerca del nivel de protección exigido en dicho Reglamento en el marco de una transferencia de esas características y acerca de las obligaciones que incumben a las autoridades de control en ese contexto. Asimismo, la High Court plantea la cuestión de la validez de la Decisión 2010/87, sobre las cláusulas contractuales tipo, y de la Decisión Escudo de la privacidad.

En su sentencia de hoy, el Tribunal de Justicia señala que el examen de la Decisión 2010/87 a la luz de la Carta de los Derechos Fundamentales de la Unión Europea («Carta») no ha puesto de manifiesto la existencia de ningún elemento que pueda afectar a su validez. En cambio, declara que la Decisión Escudo de la privacidad es inválida.

Para empezar, el Tribunal de Justicia considera que el Derecho de la Unión y, en particular, el RGPD, se aplica a una transferencia de datos personales realizada con fines comerciales por un operador económico establecido en un Estado miembro a otro operador económico establecido en un país tercero incluso si, en el transcurso de dicha transferencia o tras ella, esos datos pueden ser tratados con fines de seguridad nacional, defensa y seguridad del Estado por las autoridades del país tercero en cuestión. El Tribunal de Justicia precisa que ese tipo de tratamiento por parte de las autoridades de un país tercero no puede significar que la referida transferencia quede fuera del ámbito de aplicación del RGPD.

Por lo que atañe al nivel de protección exigido en el marco de esa transferencia, el Tribunal de Justicia declara que las exigencias establecidas a este efecto por las disposiciones del RGPD, referentes a las garantías adecuadas, los derechos exigibles y las acciones legales efectivas, deben interpretarse en el sentido de que las personas cuyos datos personales se transfieren a un país tercero sobre la base de cláusulas tipo de protección de datos deben gozar de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión por el antedicho Reglamento, interpretado a la luz de la Carta. En este contexto, el Tribunal de Justicia precisa que la evaluación de ese nivel de protección debe tener en cuenta tanto las estipulaciones contractuales acordadas entre el exportador de datos establecido en la Unión y el destinatario de la transferencia establecido en el país tercero de que se trate, como, por lo que se refiere a un posible acceso de las autoridades públicas de ese país tercero a los datos personales transferidos de ese modo, los elementos pertinentes del sistema jurídico de dicho país.

Por lo que respecta a las obligaciones que incumben a las autoridades de control en el contexto de una transferencia de esas características, el Tribunal de Justicia declara que, a no ser que exista una decisión de adecuación válidamente adoptada por la Comisión, esas autoridades están obligadas , en particular, a suspender o a prohibir una transferencia de datos personales a un país tercero cuando consideren, a la luz de las circunstancias específicas de la referida transferencia, que las cláusulas tipo de protección de datos no se respetan o no pueden respetarse en ese país y que las protección de los datos transferidos, exigida por el Derecho de la Unión, no puede garantizarse mediante otros medios, si el propio exportador establecido en la Unión no ha suspendido esa transferencia o no le ha puesto fin.

[7] Decisión de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo (DO 2010, L 39, p. 5), en su versión modificada por la Decisión de Ejecución (UE) 2016/2297 de la Comisión, de 16 de diciembre de 2016 (DO 2016, L 344, p. 100).
[8] Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU. (DO 2016, L 207, p. 1).

A continuación, el Tribunal de Justicia examina la validez de la Decisión 2010/87. Según el Tribunal de Justicia, la validez de dicha Decisión no queda puesta en entredicho por el mero hecho de que, debido a su carácter contractual, las cláusulas tipo de protección de datos recogidas en ella no vinculen a las autoridades del país tercero al que podrían transferirse los datos. En cambio, el Tribunal de Justicia precisa que esa validez depende de si la referida Decisión incluye mecanismos efectivos que permitan garantizar en la práctica que el nivel de protección exigido por el Derecho de la Unión sea respetado y que las transferencias de datos personales basadas en esas cláusulas sean suspendidas o prohibidas en caso de que se incumplan dichas cláusulas o de que resulte imposible cumplirlas. El Tribunal de Justicia indica que la Decisión 2010/87 establece esos mecanismos. A este respecto, subraya, en particular, que la citada Decisión obliga al exportador de los datos y al destinatario de la transferencia a comprobar previamente que el mencionado nivel de protección se respete en el país tercero de que se trate y que obliga al antedicho destinatario a informar al exportador de los datos de que podría ser incapaz de cumplir las cláusulas tipo de protección, debiendo entonces el exportador suspender la transferencia de datos o rescindir el contrato celebrado con el primero.

Finalmente, el Tribunal de Justicia procede a examinar la validez de la Decisión Escudo de la privacidad conforme a las exigencias derivadas del RGPD, interpretado a la luz de las disposiciones de la Carta que garantizan el respeto de la vida privada y familiar, la protección de datos de carácter personal y el derecho a la tutela judicial efectiva. A este respecto, el Tribunal de Justicia señala que la referida Decisión reconoce, al igual que sucede con la Decisión de puerto seguro, la primacía de las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense, posibilitando de este modo injerencias en los derechos fundamentales de las personas cuyos datos personales se transfieren a ese país tercero. Según el Tribunal de Justicia, las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al  acceso y la utilización, por las autoridades estadounidenses, de los datos transferidos desde la Unión a ese país tercero, y que la Comisión evaluó en la Decisión Escudo de la privacidad, no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas, en el Derecho de la Unión, por el principio de proporcionalidad, en la medida en que los programas de vigilancia basados en la mencionada normativa no se limitan a lo estrictamente necesario. Fundándose en las constataciones contenidas en la antedicha Decisión,  el Tribunal de Justicia señala que, con respecto a algunos programas de vigilancia, de la referida normativa no se desprende en modo alguno que existan limitaciones a la habilitación que otorga para la ejecución de esos programas, ni tampoco que existan garantías para las personas no nacionales de los Estados Unidos que sean potencialmente objeto de esos programas. El Tribunal de Justicia añade que, si bien la misma normativa establece exigencias que las autoridades estadounidenses deben respetar al aplicar los programas de vigilancia de que se trata, no confiere a los interesados derechos exigibles a las autoridades estadounidenses ante los tribunales.

Por lo que atañe a la exigencia de tutela judicial, el Tribunal de Justicia declara que, contrariamente a lo que la Comisión consideró en la Decisión Escudo de la privacidad, el mecanismo del Defensor del Pueblo contemplado en dicha Decisión, no proporciona a esas personas ninguna vía de recurso ante un órgano que ofrezca garantías sustancialmente equivalentes a las exigidas en el  Derecho de la Unión, que puedan asegurar tanto la independencia del Defensor del Pueblo previsto en el antedicho mecanismo como la existencia de normas que faculten al referido Defensor del Pueblo para adoptar decisiones vinculantes con respecto a los servicios de inteligencia estadounidenses. Por todas esas razones, el Tribunal de Justicia declara inválida la Decisión Escudo de la privacidad.

NOTA: La remisión prejudicial permite que los tribunales de los Estados miembros, en el contexto de un litigio del que estén conociendo, interroguen al Tribunal de Justicia acerca de la interpretación del Derecho de la Unión o sobre la validez de un acto de la Unión. El Tribunal de Justicia no resuelve el litigio nacional, y es el tribunal nacional quien debe resolver el litigio de conformidad con la decisión del Tribunal de Justicia. Dicha decisión vincula igualmente a los demás tribunales nacionales que conozcan de un problema similar.

 

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.