La largamente esperada decisión en el marco del asunto C-362/14 Maximillian Schrems v Data Protection Commissioner ha sido finalmente publicada en fecha 6 de octubre de 2015. Controvertida en sus conclusiones, esta sentencia sobre una cuestión prejudicial trae nueva luz en el debate permanente en materia de recopilación, transferencia y tratamiento de datos de ciudadanos comunitarios por parte de compañías estadounidenses, y el tratamiento de estos datos por parte de las agencias de inteligencia estadounidenses dentro del marco del programa PRISMA.
Antecedentes
El señor Schrems, un ciudadano austriaco, es un usuario de la plataforma Facebook desde 2008. Tal y como resulta habitual en relación con todos los usuarios residentes en la Unión Europea, una parte o la totalidad de los datos que facilitan a Facebook es transferida desde la filial irlandesa de Facebook hacia servidores localizados en los Estados Unidos, donde son tratados.
El señor Schrems formuló una demanda ante la autoridad supervisora irlandesa (el Comisario de Protección de Datos) con base en el hecho de que a la luz de las revelaciones realizadas por Edward Snowden en 2013, sobre las actividades de los servicios de inteligencia de los Estados Unidos (en particular, la NSA), la ley y las prácticas vigentes en los Estados Unidos no ofrecían protección suficiente contra la vigilancia por parte de las autoridades públicas de los datos transferidos desde la Unión Europea a ese país.
El supervisor irlandés rechazó la demanda basándose en la decisión de 26 de julio de 2000, en la que se señalaba que bajo el “esquema de puerto seguro” los Estados Unidos aseguraban un nivel de protección de los datos de carácter personal transferidos adecuado y satisfactorio (conocida como la “Decisión de puerto seguro”).
El señor Schrems, a continuación, recurrió ante la High Court de Irlanda, la cual consideró que la cuestión planteada en esta acción estaba estrechamente vinculada con la normativa comunitaria ya que, en opinión de la High Court, la Decisión de Puerto Seguro no cumplía con los principios considerados en las sentencias dictadas en los asuntos C-293/12 y C-594/12, EU:C:2014:238.
Cuestión prejudicial elevada al TJUE
El 17 de Julio de 2014, la High Court de Irlanda, ante la que se había sustanciado el asunto, remitió las siguientes cuestiones prejudiciales al Tribunal de Justicia para obtener una respuesta aclaratoria al respecto:
1) En el marco de la resolución de una reclamación presentada ante el comisario, en la que se afirma que se están transmitiendo datos personales a un tercer país (en el caso de autos, Estados Unidos) cuya legislación y práctica no prevén una protección adecuada de la persona sobre la que versan los datos, ¿está vinculado dicho comisario en términos absolutos por la declaración comunitaria en sentido contrario contenida en la Decisión 2000/520, habida cuenta de los artículos 7, 8 y 47 de la Carta y no obstante lo dispuesto en el artículo 25, apartado 6, de la Directiva 95/46/CE?
2) En caso contrario, ¿puede o debe realizar dicho comisario su propia investigación del asunto a la luz de la evolución de los hechos que ha tenido lugar desde que se publicó por vez primera la Decisión 2000/520?
La Opinión del Abogado General, de 23 de septiembre de 2015
De acuerdo con la Opinión del Abogado General (Yves Bot), una compañía, por el mero hecho de contra con una certificación de Puerto seguro, no cumple de forma automática con los requisitos para transferencias de datos establecidos en la directiva comunitaria en materia de protección de datos.
Este argumento ya estaba presente en la Comunicación COM(2013) 846 y en la Comunicación COM(2013) 847.
Como era de esperar, el TJUE ha adoptado los argumentos formulados por el Abogado General.
La sentencia publicada el 6 de octubre de 2015
El TJUE ha fallado que la Decisión de Puerto seguro es inválida, y que la autoridad supervisora irlandesa debería haber analizado la reclamación del señor Schrems de forma detallada y diligentemente para determinar si la transferencia de datos por parte de la filial europea de Facebook a servidores de Facebook en Estados Unidos era conforme con los principios de protección de datos y con la protección de los derechos fundamentales de los ciudadanos comunitarios, habida cuenta la existencia de pruebas que sugerían que las prácticas seguidas en los Estados Unidos no garantizaban un nivel de protección adecuado de los datos de carácter personal del señor Schrems.
Esta sentencia dinamita el sistema de puerto seguro que estaba en marcha y está siendo considerado tanto por los académicos como por los medios como un movimiento certero e impactante en la protección de los datos de los ciudadanos comunitarios.
El pasado 1 de octubre, el propio señor Schrems no era capaz de prever el resultado e impacto de su cruzada.
Punto
de inflexión. Posibles consecuencias.
de inflexión. Posibles consecuencias.
Esta decisión, al igual que la famosa decisión del
año pasado en el caso C-131/12 Google
Spain v AEPD and Mario Costeja González (se puede pinchar aquí para un comentario en este blog), ha causado un tsunami a nivel
mundial en los sectores de la protección de datos y de las tecnologías de la
información.
año pasado en el caso C-131/12 Google
Spain v AEPD and Mario Costeja González (se puede pinchar aquí para un comentario en este blog), ha causado un tsunami a nivel
mundial en los sectores de la protección de datos y de las tecnologías de la
información.
Ahora los Estados miembros, en particular sus agencias de protección de datos, han de tomar una decisión sobre el puerto seguro en sus respectivas jurisdicciones, e incluso sobre si lo prohíben dentro de sus fronteras.
Considerando que la High Court de Irlanda fue el
tribunal que planteó la cuestión prejudicial que ha dado lugar a esta decisión,
seguramente será el primer órgano judicial que decida si las compañías
estadounidense deberán (a) recopilar y procesar todos los datos de carácter
personal de los ciudadanos comunitarios dentro de la Unión Europea; o (b)
comprometerse a proteger efectivamente los datos de carácter personal de los
ciudadanos comunitarios, evitando cualquier acceso o injerencia por parte de
las agencias de inteligencia de los Estados Unidos.
De todas formas, creemos preciso señalar que las
conclusiones alcanzadas por el TJUE en relación con el Puerto seguro también
serían aplicables a las compañías que operan bajo un sistema de BCR (Binding
Corporate Rules) o esquemas de contratos modelo.
conclusiones alcanzadas por el TJUE en relación con el Puerto seguro también
serían aplicables a las compañías que operan bajo un sistema de BCR (Binding
Corporate Rules) o esquemas de contratos modelo.
Por otro lado, el artículo 26 de la Directiva 95/46
establece las excepciones en las que las compañías estadounidenses podrían
ampararse a la hora de seguir tratando datos de ciudadanos comunitarios (a
saber, el consentimiento del sujeto del tratamiento, la necesidad de transferir
los datos para ejecutar un contrato suscrito con el sujeto del tratamiento,
etc).
establece las excepciones en las que las compañías estadounidenses podrían
ampararse a la hora de seguir tratando datos de ciudadanos comunitarios (a
saber, el consentimiento del sujeto del tratamiento, la necesidad de transferir
los datos para ejecutar un contrato suscrito con el sujeto del tratamiento,
etc).
En vista de lo anterior, esta resolución del TJUE es una llamada de
aviso a las compañías extranjeras que tratan datos de carácter personal de
ciudadanos comunitarios, para que protejan dichos datos de conformidad con estándares razonables desde el
punto de vista de la normativa comunitaria en la materia.
aviso a las compañías extranjeras que tratan datos de carácter personal de
ciudadanos comunitarios, para que protejan dichos datos de conformidad con estándares razonables desde el
punto de vista de la normativa comunitaria en la materia.
Autoras: Cristina Espín y Alba López
Visite nuestra página web: http://www.elzaburu.com/
