Nota informativa de @LEGISTEL gracias a Noemi Brito Izquierdo @NoemiBritoIzdo
El Tribunal de Justicia de la Unión Europea invalida la Decisión de la Comisión que declara que Estados Unidos garantiza un nivel de protección adecuado de los datos personales transferidos
En un fallo sin precedentes http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117es.pdf y http://curia.europa.eu/juris/documents.jsf?num=C-362/14 , el Tribunal de Justicia de la Unión Europea (TJUE) ha invalidado la Decisión de la Comisión de 26 de julio de 2000 (Decisión 2000/520/CE de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América) por entender que, por un lado, priva a las autoridades de control europeas de sus competencias y, por otro lado, lesiona el derecho fundamental a la privacidad de los ciudadanos europeos.
Como ya Ud. conoce, la Directiva sobre el tratamiento de los datos personales (Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos) dispone que, en principio, sólo se pueden transferir dichos datos a un país tercero si éste garantiza un nivel de protección adecuado de dichos datos. Según la misma Directiva, la Comisión puede declarar que un país tercero garantiza un nivel de protección adecuado en razón de su legislación interna o de sus compromisos internacionales. Asimismo, la Directiva determina que cada Estado miembro designará una o varias autoridades públicas encargadas de controlar la aplicación en su territorio de las disposiciones nacionales adoptadas sobre la base de la Directiva (autoridades nacionales de control).
A raíz de una cuestión prejudicial realizada por el Tribunal Supremo irlandés, sobre si dicha Decisión de la Comisión impedía a una autoridad nacional de control investigar una denuncia en la que se alega que un país tercero no garantiza un nivel de protección adecuado y, en su caso, suspender la transferencia de datos denunciada el TJUE ha aclarado y fallado lo que sigue:
1.- Que la Decisión de la Comisión de 26 de julio de 2000 anulada privaba a las autoridades nacionales de control de sus facultades, en el supuesto de que una persona impugnara la compatibilidad de la Decisión con la protección de la vida privada y de las libertades y derechos fundamentales de las personas, y que la Comisión carecía de competencia para restringir de ese modo las facultades de las autoridades nacionales de control.
2.- En relación al punto anterior, que, a pesar de que la competencia para declarar la invalidez de un acto de la Unión recae en el TJUE, las autoridades nacionales de control (en el caso español, la Agencia Española de Protección de Datos (AEPD)) a las que se haya presentado una solicitud pueden, -aun cuando una Decisión de la Comisión declare que un país tercero ofrece un nivel de protección adecuado de los datos personales-, examinar si la transferencia de los datos de una persona a ese país respeta las exigencias de la legislación de la Unión sobre la protección de esos datos, así como acudir ante los tribunales nacionales, – al igual que lo puede hacer la persona interesada -,con el fin de que éstos planteen una cuestión prejudicial sobre la validez de esa Decisión.
Dicho de otro modo, la existencia de una Decisión de la Comisión que declare que un país tercero garantiza un nivel de protección adecuado de los datos personales transferidos no puede dejar sin efecto ni limitar las facultades de las que disponen las autoridades nacionales de control en virtud de la Carta de los Derechos Fundamentales de la Unión Europea y de la Directiva.
Por consiguiente, cuando una autoridad nacional de control, o bien la persona que haya presentado una solicitud a ésta, consideren que una decisión de la Comisión es inválida, esa autoridad o esa persona deben poder acudir ante los tribunales nacionales para que, en caso de que éstos también duden de la validez de la decisión de la Comisión, puedan plantear una cuestión prejudicial al Tribunal de Justicia.
3.- Que el sistema de Safe Harbor en EEUU es únicamente es aplicable a las entidades estadounidenses que se hayan adherido voluntariamente al mismo, de modo que las autoridades públicas estadounidenses no están sometidas a dicho régimen. Es más, las exigencias de seguridad nacional, interés público y cumplimiento de la ley de Estados Unidos prevalecen sobre el régimen de puerto seguro, de modo que las entidades estadounidenses están obligadas a dejar de aplicar, sin limitación, las reglas de protección previstas por ese régimen cuando entren en conflicto con las citadas exigencias. El régimen estadounidense de puerto seguro posibilita de ese modo injerencias por parte de las autoridades públicas estadounidenses en los derechos fundamentales de las personas, y la Decisión de la Comisión no pone de manifiesto que en Estados Unidos haya reglas destinadas a limitar esas posibles injerencias ni que exista una protección jurídica eficaz contra éstas.
4.- Que una normativa que permite a las autoridades públicas acceder de forma generalizada al contenido de las comunicaciones electrónicas lesiona el contenido esencial del derecho fundamental al respeto de la vida privada.
5.- Que una normativa que no prevé posibilidad alguna de que el justiciable ejerza acciones en Derecho para acceder a los datos personales que le conciernen o para obtener su rectificación o supresión vulnera el contenido esencial del derecho fundamental a la tutela judicial efectiva, cuando esa posibilidad es inherente a la existencia del Estado de Derecho.
En definitiva, que el TJUE ha invalidado la Decisión de la Comisión de 26 de julio de 2000 y con ello el sistema de puerto seguro o de “safe harbor” existente en la actualidad con EEUU.
Tal y como destaca la AEPD la nota de prensa publicada en su web hoy mismo, “(…) Las Autoridades europeas de protección de datos, que ya observaron deficiencias en el Puerto Seguro y las plasmaron en varias cartas y dictámenes, han planificado actuaciones para coordinarse en el análisis de las implicaciones de la sentencia y en las actuaciones nacionales que deban llevarse a cabo, garantizando una aplicación consistente de la misma en todos los países de la UE (…)”. Nota de prensa accesible desde:https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2015/notas_prensa/news/2015_10_06-ides-idphp.php
Por lo tanto, que habrá que esperar acontecimientos y nuevos posicionamientos de la AEPD en relación a la aplicación efectiva en estos casos de la normativa española sobre transferencias internacionales de datos.
EL BLOG DE CORTA Y PEGA DE LUIS ABELEDO 