El Tribunal de Justicia de la Unión Europea ha seguido las conclusiones del Abogado General Yves Bot en el caso Maximillian Schrems contra Data Protection Comissioner, que enfrenta a un ciudadano austriaco y a la máxima autoridad en materia de protección de datos en Irlanda. Con su sentencia de 6 de octubre (C-362/14) ha invalidado la Decisión 2000/520 de la Comisión Europea, conocida como Safe Harbor, acordada con Estados Unidos, a fin de impedir que Facebook y otras empresas puedan exportar sistemáticamente datos personales de ciudadanos de la Unión Europea a este país y ponerlos a disposición de los servicios de inteligencia estadounidenses a través del programa PRISM, sin obtener antes mejores garantías.
El asunto Maximillian Schrems contra Data Protection Comissioner ha adquirido máxima relevancia en los últimos días dando un giro radical a la actual política comunitaria en materia de protección de datos, especialmente, en aquellos casos en los que éstos se transfieren a EE.UU. siendo susceptibles, entre otros, de acabar en manos de los servicios de inteligencia de ese país, como la Agencia de Seguridad Nacional (National Security Agency – NSA) a través del sistema PRISM.
El acuerdo alcanzado entre la Unión Europea y Estados Unidos para esta transmisión quedó plasmado en los términos recogidos en la Decisión 2000/520, más conocida como Safe Harbor (puerto seguro), que desde el año 2000 regula la transferencia de datos personales de los ciudadanos europeos hacia servidores alojados en aquel país por parte de empresas como Google, Facebook, Amazon, Twitter o Apple.
El texto contempla que se debe garantizar un nivel de protección de datos equivalente y adecuado, de forma similar al esquema que prevalece en la UE en el artículo 25 de la Directiva 95/46/CE de 24 octubre de 1995, que sigue constituyendo hoy en día, a la espera del futuro Reglamento europeo, el fundamento de la protección de datos en Europa.
Sin embargo, desde que salió a la luz el caso Edward Snowden, han surgido serias dudas sobre la legalidad de algunas prácticas en el tratamiento de dichos datos, particularmente a través de grandes programas de recopilación de los mismos.
En este contexto, se sitúa la cuestión prejudicial planteada al TJUE a raíz de una denuncia de un ciudadano austriaco ante la Comisión de Protección de Datos de Irlanda, quien solicitó en 2013 la apertura de una investigación para averiguar si Facebook Ireland Ltd mantiene los datos personales de los usuarios europeos en servidores ubicados en EE.UU. y, de ser así, si éstos se ponían a disposición de los servicios de inteligencia norteamericanos.
En este punto, el Tribunal Supremo gaélico decidió plantear una cuestión prejudicial al TJUE para solicitar orientación sobre este caso ya que, a su parecer, podrían existir elementos suficientes como para considerar que la citada Decisión ya no resulta válida para cumplir su propósito inicial, además de clarificar si las autoridades nacionales competentes podrían iniciar "su propia investigación".
Un asunto jurídico y político
El Tribunal de Luxemburgo argumenta, en primer lugar, que la existencia de la Decisión 2000/520 no impide llevar a cabo investigaciones nacionales en caso de detectarse posibles infracciones de la legislación de la Unión Europea en el ámbito de la transferencia de datos personales a EE.UU. Es más, la sentencia insta a la autoridad irlandesa de control a examinar la reclamación del Sr. Schrems con toda la diligencia exigible para, al término de su investigación, decidir si, en virtud de la Directiva, debe suspenderse la transferencia de los datos de los usuarios europeos de Facebook a Estados Unidos porque ese país no ofrece un nivel de protección adecuado de los datos personales.
Y es que, de acuerdo con el contenido de la Directiva 95/46/CE, tanto las autoridades nacionales, como la Comisión Europea deben considerar el principio de prohibición de transmisión de datos personales a un tercer país que no asegure un nivel adecuado de protección de los mismos. En esta situación, es clave aclarar cómo deben hacerse valer ciertos principios de la Carta de los Derechos Fundamentales de la Unión Europea (CDFUE), y cómo pueden articularse e interactuar con el contenido del artículo 25 de la citada Directiva y con la Decisión Safe Harbor, máxime, después del reciente pronunciamiento del TJUE.
En este caso, el Tribunal de la Unión Europea considera que las interceptaciones que llevan a cabo los servicios de información estadounidenses son masivas e indiferenciadas, constituyendo así una acción contraria al principio de proporcionalidad, y en consecuencia, no se ajusta a las exigencias derivadas tanto de los artículos 7 (respeto de la vida privada) y 8 (protección de los datos personales) de la CDFUE. Así, el TJUE incide en el hecho de que el régimen de puerto seguro posibilita injerencias por parte de las autoridades públicas estadounidenses en los derechos fundamentales de los europeos, y la Decisión de la Comisión no pone de manifiesto que en Estados Unidos haya reglas destinadas a limitar esas posibles intervenciones, ni que exista una protección jurídica eficaz contra éstas.
Asimismo, señala que una normativa que no prevé la posibilidad de que "el justiciable ejerza acciones en Derecho para acceder a los datos personales que le conciernen o para obtener su rectificación o supresión, vulnera el contenido esencial del derecho fundamental a la tutela judicial efectiva" (artículo 47 de la Carta), pues dicha posibilidad resulta inherente a la existencia del Estado de Derecho.
Por todo ello, la sentencia declara invalidada la Decisión de la Comisión de 26 de julio de 2000 en tanto ya no demuestra un nivel adecuado de protección para los ciudadanos de la UE en su territorio.
Esta sentencia contiene multitud de puntos interesantes y legalmente razonables que deberán ser objeto de seguimiento en las próximas semanas. Así las cosas, el asunto ha derivado en términos políticos al tiempo que ha planteado un reto para el propio TJUE a la hora de mantener la defensa de los derechos fundamentales de sus ciudadanos con el alto nivel de protección que ha venido demostrando en sentencias recientes, como la sentencia C-293/12 (en la que la Corte europea invalidó la Directiva sobre conservación de datos basándose en la no conformidad con el principio de proporcionalidad de la UE, si bien la razón subyacente era el derecho a la intimidad consagrado en la Carta de Derechos Fundamentales).
El fallo resulta pues crucial, en tanto encierra las preocupaciones de muchos europeos sobre Safe Harbor, una Decisión que, durante años, "dio lugar a la violación continuada de los derechos fundamentales de las personas cuyos datos de carácter personal fueron y siguen siendo transferidos en el marco del régimen de puerto seguro" según las conclusiones del Abogado general del TJUE, Yves Bot. Una preocupación compartida por los propios eurodiputados que, en la primavera de 2014, ya solicitaron su suspensión mientras que, la Comisión Europea, por su parte, ha decidido proponer una revisión en la que todavía trabaja.