PremiumEl TJUE invalida la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EEUU
El TJUE invalida la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EEUU
El Tribunal de Justicia invalida la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU. En cambio, declara que la Decisión 2010/87 de la Comisión, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, es válida.
El Reglamento general de protección de datos («RGPD») dispone que la transferencia de esos datos a un país tercero solo puede llevarse a cabo, en principio, si el país tercero en cuestión garantiza un nivel de protección adecuado a dichos datos. Según el referido Reglamento, la Comisión puede hacer constar que un país tercero, a la vista de su legislación interna o de sus compromisos internacionales, garantiza un nivel de protección adecuado. A falta de esa decisión de adecuación, la mencionada transferencia solo podrá realizarse si el exportador de datos personales, establecido en la Unión, ofrece garantías adecuadas, que pueden derivar, en particular, de cláusulas tipo de protección de datos adoptadas por la Comisión, y si los interesados cuentan con derechos exigibles y acciones legales efectivas. Asimismo, el RGPD establece, de modo preciso, bajo qué condiciones puede tener lugar esa transferencia en ausencia de una decisión de adecuación o de garantías adecuadas.
El origen del conflicto viene de un usuario de Facebook desde 2008. Como ocurre con el resto de usuarios residentes en la Unión, los datos personales de este usuario son transferidos, total o parcialmente, por Facebook Ireland a servidores pertenecientes a Facebook Inc., situados en el territorio de Estados Unidos, donde son objeto de tratamiento. El usuario presentó una reclamación ante la autoridad irlandesa de control en la que solicitaba, esencialmente, que se prohibiesen esas transferencias. Alegó que el Derecho y las prácticas de los Estados Unidos no ofrecían suficiente protección frente al acceso, por parte de las autoridades públicas, a los datos transferidos a ese país. Esa reclamación fue desestimada basándose en que, en particular, en su Decisión 2000/520 («Decisión de puerto seguro»), la Comisión había declarado que los Estados Unidos ofrecían un nivel adecuado de protección. Mediante sentencia de 6 de octubre de 2015, el Tribunal de Justicia, en respuesta a una cuestión prejudicial planteada por la High Court (Tribunal Superior, Irlanda), declaró inválida la referida Decisión (en lo sucesivo, «sentencia Schrems I»).
A raíz de la sentencia Schrems I y de la subsiguiente anulación, por parte del órgano jurisdiccional irlandés, de la decisión por la que se desestimaba la reclamación de este usuario, la autoridad de control irlandesa instó a este a que modificase su reclamación, habida cuenta de la invalidación por el Tribunal de Justicia de la Decisión de puerto seguro. En su reclamación modificada, el usuario sostiene que los Estados Unidos no ofrecen una protección suficiente de los datos que se transfieren a ese país. Solicita la suspensión o prohibición, de cara al futuro, de las transferencias de sus datos personales desde la Unión a los Estados Unidos que Facebook Ireland lleva a cabo actualmente sobre la base de las cláusulas tipo de protección recogidas en la Decisión 2010/87. Al considerar que la tramitación de la reclamación del usuario depende, en particular, de la validez de la Decisión 2010/87, la autoridad de control irlandesa inició un procedimiento ante la High Court para que esta plantease al Tribunal de Justicia una petición de decisión prejudicial. Tras el inicio de ese procedimiento, la Comisión adoptó la Decisión (UE) 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU («Decisión Escudo de la privacidad»).
En su petición de decisión prejudicial, la High Court pregunta al Tribunal de Justicia acerca de la aplicabilidad del RGPD a las transferencias de datos personales basadas en las cláusulas tipo de protección recogidas en la Decisión 2010/87, acerca del nivel de protección exigido en dicho Reglamento en el marco de una transferencia de esas características y acerca de las obligaciones que incumben a las autoridades de control en ese contexto. Asimismo, la High Court plantea la cuestión de la validez de la Decisión 2010/87, sobre las cláusulas contractuales tipo, y de la Decisión Escudo de la privacidad.
Ahora, el Tribunal de Justicia señala que el examen de la Decisión 2010/87 a la luz de la Carta de los Derechos Fundamentales de la Unión Europea («Carta») no ha puesto de manifiesto la existencia de ningún elemento que pueda afectar a su validez. En cambio, declara que la Decisión Escudo de la privacidad es inválida. El Tribunal de Justicia declara que las exigencias establecidas a este efecto por las disposiciones del RGPD, referentes a las garantías adecuadas, los derechos exigibles y las acciones legales efectivas, deben interpretarse en el sentido de que las personas cuyos datos personales se transfieren a un país tercero sobre la base de cláusulas tipo de protección de datos deben gozar de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión por el antedicho Reglamento, interpretado a la luz de la Carta.
Según el Tribunal de Justicia, las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización, por las autoridades estadounidenses, de los datos transferidos desde la Unión a ese país tercero, y que la Comisión evaluó en la Decisión Escudo de la privacidad, no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas, en el Derecho de la Unión, por el principio de proporcionalidad, en la medida en que los programas de vigilancia basados en la mencionada normativa no se limitan a lo estrictamente necesario.
El Tribunal de Justicia declara que, contrariamente a lo que la Comisión consideró en la Decisión Escudo de la privacidad, el mecanismo del Defensor del Pueblo contemplado en dicha Decisión, no proporciona a esas personas ninguna vía de recurso ante un órgano que ofrezca garantías sustancialmente equivalentes a las exigidas en el Derecho de la Unión, que puedan asegurar tanto la independencia del Defensor del Pueblo previsto en el antedicho mecanismo como la existencia de normas que faculten al referido Defensor del Pueblo para adoptar decisiones vinculantes con respecto a los servicios de inteligencia estadounidenses. Por todas esas razones, el Tribunal de Justicia declara inválida la Decisión Escudo de la privacidad.
