JPEG - 37.1 KB

El Reglamento General de Protección de Datos [1] («RGPD») dispone que la transferencia de esos datos a un tercer país solo puede llevarse a cabo, en principio, si el tercer país en cuestión garantiza un nivel de protección adecuado a dichos datos. Según el referido Reglamento, la Comisión puede hacer constar que un tercer país, a la vista de su legislación interna o de sus compromisos internacionales, garantiza un nivel de protección adecuado [2]. A falta de esa decisión de adecuación, la mencionada transferencia solo podrá realizarse si el exportador de datos personales, establecido en la Unión, ofrece garantías adecuadas, que pueden derivar, en particular, de cláusulas tipo de protección de datos adoptadas por la Comisión, y si los interesados cuentan con derechos exigibles y acciones legales efectivas [3]. Asimismo, el RGPD establece, de modo preciso, bajo qué condiciones puede tener lugar esa transferencia en ausencia de una decisión de adecuación o de garantías adecuadas [4].

El Sr. Maximiliam Schrems, nacional austriaco residente en Austria, es usuario de Facebook desde 2008. Como ocurre con el resto de los usuarios residentes en la Unión, los datos personales del Sr. Schrems son transferidos, total o parcialmente, por Facebook Ireland a servidores pertenecientes a Facebook Inc., situados en el territorio de Estados Unidos, donde son objeto de tratamiento. El Sr. Schrems presentó una reclamación ante la autoridad irlandesa de control en la que solicitaba, esencialmente, que se prohibiesen esas transferencias. Alegó que el Derecho y las prácticas de Estados Unidos no ofrecían suficiente protección frente al acceso, por parte de las autoridades públicas, a los datos transferidos a ese país. Esa reclamación fue desestimada basándose en que, en particular, en su Decisión 2000/520 («Decisión de Puerto Seguro») [5], la Comisión había declarado que Estados Unidos ofrecía un nivel adecuado de protección. Mediante sentencia del 6 de octubre de 2015, el Tribunal de Justicia, en respuesta a una cuestión prejudicial planteada por la High Court (Tribunal Superior, Irlanda), declaró inválida la referida Decisión (en lo sucesivo, «sentencia Schrems I») [6].

A raíz de la sentencia Schrems I y de la subsiguiente anulación, por parte del órgano jurisdiccional irlandés, de la decisión por la que se desestimaba la reclamación del Sr. Schrems, la autoridad de control irlandesa instó a este a que modificase su reclamación, habida cuenta de la invalidación por el Tribunal de Justicia de la Decisión de puerto seguro. En su reclamación modificada, el Sr. Schrems sostiene que Estados Unidos no ofrece una protección suficiente de los datos que se transfieren a ese país. Solicita la suspensión o prohibición, de cara al futuro, de las transferencias de sus datos personales desde la Unión a Estados Unidos que Facebook Ireland lleva a cabo actualmente sobre la base de las cláusulas tipo de protección recogidas en la Decisión 2010/87 [7]. Al considerar que la tramitación de la reclamación del Sr. Schrems depende, en particular, de la validez de la Decisión 2010/87, la autoridad de control irlandesa inició un procedimiento ante la High Court para que esta plantease al Tribunal de Justicia una petición de decisión prejudicial. Tras el inicio de ese procedimiento, la Comisión adoptó la Decisión (UE) 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la Privacidad UE-Estados Unidos («Decisión Escudo de la Privacidad») [8].

En su petición de decisión prejudicial, la High Court pregunta al Tribunal de Justicia acerca de la aplicabilidad del RGPD a las transferencias de datos personales basadas en las cláusulas tipo de protección recogidas en la Decisión 2010/87, acerca del nivel de protección exigido en dicho Reglamento en el marco de una transferencia de esas características y acerca de las obligaciones que incumben a las autoridades de control en ese contexto. Asimismo, la High Court plantea la cuestión de la validez de la Decisión 2010/87, sobre las cláusulas contractuales tipo, y de la Decisión Escudo de la Privacidad.

En su sentencia de hoy, el Tribunal de Justicia señala que el examen de la Decisión 2010/87 a la luz de la Carta de los Derechos Fundamentales de la Unión Europea («Carta») no ha puesto de manifiesto la existencia de ningún elemento que pueda afectar a su validez. En cambio, declara que la Decisión Escudo de la Privacidad es inválida.

Para empezar, el Tribunal de Justicia considera que el Derecho de la Unión y, en particular, el RGPD, se aplica a una transferencia de datos personales realizada con fines comerciales por un operador económico establecido en un Estado miembro a otro operador económico establecido en un tercer país incluso si, en el transcurso de dicha transferencia o tras ella, esos datos pueden ser tratados con fines de seguridad nacional, defensa y seguridad del Estado por las autoridades del tercer país en cuestión. El Tribunal de Justicia precisa que ese tipo de tratamiento por parte de las autoridades de un tercer país no puede significar que la referida transferencia quede fuera del ámbito de aplicación del RGPD.

Por lo que atañe al nivel de protección exigido en el marco de esa transferencia, el Tribunal de Justicia declara que las exigencias establecidas a este efecto por las disposiciones del RGPD, referentes a las garantías adecuadas, los derechos exigibles y las acciones legales efectivas, deben interpretarse en el sentido de que las personas cuyos datos personales se transfieren a un tercer país sobre la base de cláusulas tipo de protección de datos deben gozar de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión por el antedicho Reglamento, interpretado a la luz de la Carta. En este contexto, el Tribunal de Justicia precisa que la evaluación de ese nivel de protección debe tener en cuenta tanto las estipulaciones contractuales acordadas entre el exportador de datos establecido en la Unión y el destinatario de la transferencia establecido en el tercer país de que se trate, como, por lo que se refiere a un posible acceso de las autoridades públicas de ese tercer país a los datos personales transferidos de ese modo, los elementos pertinentes del sistema jurídico de dicho país.

Por lo que respecta a las obligaciones que incumben a las autoridades de control en el contexto de una transferencia de esas características, el Tribunal de Justicia declara que, a no ser que exista una decisión de adecuación válidamente adoptada por la Comisión, esas autoridades están obligadas, en particular, a suspender o prohibir una transferencia de datos personales a un tercer país cuando consideren, a la luz de las circunstancias específicas de la referida transferencia, que las cláusulas tipo de protección de datos no se respetan o no pueden respetarse en ese país y que la protección de los datos transferidos, exigida por el Derecho de la Unión, no puede garantizarse mediante otros medios, si el propio exportador establecido en la Unión no ha suspendido esa transferencia o no le ha puesto fin.

A continuación, el Tribunal de Justicia examina la validez de la Decisión 2010/87. Según el Tribunal de Justicia, la validez de dicha Decisión no queda puesta en entredicho por el mero hecho de que, debido a su carácter contractual, las cláusulas tipo de protección de datos recogidas en ella no vinculen a las autoridades del tercer país al que podrían transferirse los datos. En cambio, el Tribunal de Justicia precisa que esa validez depende de si la referida Decisión incluye mecanismos efectivos que permitan garantizar en la práctica que el nivel de protección exigido por el Derecho de la Unión sea respetado y que las transferencias de datos personales basadas en esas cláusulas sean suspendidas o prohibidas en caso de que se incumplan dichas cláusulas o de que resulte imposible cumplirlas. El Tribunal de Justicia indica que la Decisión 2010/87 establece esos mecanismos. A este respecto, subraya, en particular, que la citada Decisión obliga al exportador de los datos y al destinatario de la transferencia a comprobar previamente que el mencionado nivel de protección se respete en el tercer país de que se trate y que obliga al antedicho destinatario a informar al exportador de los datos de que podría ser incapaz de cumplir las cláusulas tipo de protección, debiendo entonces el exportador suspender la transferencia de datos o rescindir el contrato celebrado con el primero.

Finalmente, el Tribunal de Justicia procede a examinar la validez de la Decisión Escudo de la Privacidad conforme a las exigencias derivadas del RGPD, interpretado a la luz de las disposiciones de la Carta que garantizan el respeto de la vida privada y familiar, la protección de datos de carácter personal y el derecho a la tutela judicial efectiva. A este respecto, el Tribunal de Justicia señala que la referida Decisión reconoce, al igual que sucede con la Decisión de Puerto Seguro, la primacía de las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense, posibilitando de este modo injerencias en los derechos fundamentales de las personas cuyos datos personales se transfieren a ese país tercero. Según el Tribunal de Justicia, las limitaciones de la protección de datos personales que se derivan de la normativa interna de Estados Unidos relativa al acceso y la utilización, por las autoridades estadounidenses, de los datos transferidos desde la Unión a ese tercer país, y que la Comisión evaluó en la Decisión Escudo de la Privacidad, no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas, en el Derecho de la Unión, por el principio de proporcionalidad, en la medida en que los programas de vigilancia basados en la mencionada normativa no se limitan a lo estrictamente necesario.

Fundándose en las constataciones contenidas en la antedicha Decisión, el Tribunal de Justicia señala que, con respecto a algunos programas de vigilancia, de la referida normativa no se desprende en modo alguno que existan limitaciones a la habilitación que otorga para la ejecución de esos programas, ni tampoco que existan garantías para las personas no nacionales de Estados Unidos que sean potencialmente objeto de esos programas. El Tribunal de Justicia añade que, si bien la misma normativa establece exigencias que las autoridades estadounidenses deben respetar al aplicar los programas de vigilancia de que se trata, no confiere a los interesados derechos exigibles a las autoridades estadounidenses ante los tribunales.

Por lo que atañe a la exigencia de tutela judicial, el Tribunal de Justicia declara que, contrariamente a lo que la Comisión consideró en la Decisión Escudo de la Privacidad, el mecanismo del Defensor del Pueblo contemplado en dicha Decisión, no proporciona a esas personas ninguna vía de recurso ante un órgano que ofrezca garantías sustancialmente equivalentes a las exigidas en el Derecho de la Unión, que puedan asegurar tanto la independencia del Defensor del Pueblo previsto en el antedicho mecanismo como la existencia de normas que faculten al referido Defensor del Pueblo para adoptar decisiones vinculantes con respecto a los servicios de inteligencia estadounidenses. Por todas esas razones, el Tribunal de Justicia declara inválida la Decisión Escudo de la Privacidad.

NOTA: La remisión prejudicial permite que los tribunales de los Estados miembros, en el contexto de un litigio del que estén conociendo, interroguen al Tribunal de Justicia acerca de la interpretación del Derecho de la Unión o sobre la validez de un acto de la Unión. El Tribunal de Justicia no resuelve el litigio nacional, y es el tribunal nacional quien debe resolver el litigio de conformidad con la decisión del Tribunal de Justicia. Dicha decisión vincula igualmente a los demás tribunales nacionales que conozcan de un problema similar.

[1] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (DO 2016, L 119, p. 1).

[2] Artículo 45 del RGPD

[3] Artículo 46, apartado 1 y apartado 2, letra c), del RGPD

[4] Artículo 49 del RGPD

[5] Decisión de la Comisión, del 26 de julio, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes publicadas por el Departamento de Comercio de los Estados Unidos de América (DO 2000, L 215, p. 7).

[6] Sentencia del Tribunal de Justicia de 6 de octubre de 2015, Schrems, C-362/14 (véase también CP no 117/15).

[7] Decisión de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo (DO 2010, L 39, p. 5), en su versión modificada por la Decisión de Ejecución (UE) 2016/2297 de la Comisión, de 16 de diciembre de 2016 (DO 2016, L 344, p. 100).

[8] Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la Privacidad UE-EE. UU. (DO 2016, L 207, p. 1).