Noticias

Remisión prejudicial.

TJUE invalida la Decisión sobre la adecuación de la protección conferida por el Escudo de la privacidad Unión Europea y Estados Unidos.

La Decisión relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países es válida.

21 de julio de 2020

El Reglamento general de protección de datos (RGPD) dispone que la transferencia de esos datos a un país tercero solo puede llevarse a cabo, en principio, si el país tercero en cuestión garantiza un nivel de protección adecuado a dichos datos. Según el referido Reglamento, la Comisión Europea puede hacer constar que un país tercero, a la vista de su legislación interna o de sus compromisos internacionales garantiza un nivel de protección adecuado; pero a falta de esa decisión de adecuación, la mencionada transferencia solo podrá realizarse si el exportador de datos personales, establecido en la Unión Europea, ofrece garantías adecuadas, que pueden derivar, en particular, de cláusulas tipo de protección de datos adoptadas por la Comisión, y si los interesados cuentan con derechos exigibles y acciones legales efectivas.
El caso se inicia porque el denunciante, señor Schrems, de nacionalidad austríaco, usuario de Facebook desde 2008, advierte que sus datos personales Schrems son transferidos, total o parcialmente, por Facebook Ireland a servidores pertenecientes a Facebook Inc., situados en el territorio de Estados Unidos, donde son objeto de tratamiento. El denunciante presentó una reclamación ante la autoridad irlandesa de control en la que solicitaba, esencialmente, que se prohibiesen esas transferencias, alegando que el Derecho y las prácticas de los Estados Unidos no ofrecían suficiente protección frente al acceso, por parte de las autoridades públicas, a los datos transferidos a ese país.
La reclamación fue desestimada basándose en que, en particular, en su Decisión 2000/520 sobre puerto seguro, la Comisión había declarado que los Estados Unidos ofrecían un nivel adecuado de protección. Mediante sentencia de 6 de octubre de 2015, el Tribunal de Justicia de la Unión Europea (TJUE), en respuesta a una cuestión prejudicial planteada el Tribunal Superior de Irlanda, declaró inválida la referida Decisión, jurisprudencia conocida como “Schrems I”
A raíz de Schrems I y de la subsiguiente anulación, por parte del órgano jurisdiccional irlandés, de la decisión por la que se desestimaba la reclamación del reclamante, la autoridad de control irlandesa instó a este a que modificase su reclamación, habida cuenta de la invalidación por el Tribunal de Justicia de la Decisión de puerto seguro. En su reclamación modificada, el señor Schrems sostiene que los Estados Unidos no ofrecen una protección suficiente de los datos que se transfieren a ese país, solicitando la suspensión o prohibición de las transferencias de sus datos personales desde la UE a los Estados Unidos que Facebook Ireland lleva a cabo actualmente sobre la base de las cláusulas tipo de protección recogidas en la Decisión 2010/87 relativa a las cláusulas contractuales.
En su petición de decisión prejudicial, la High Court pregunta al TJUE acerca de la aplicabilidad del RGPD a las transferencias de datos personales basadas en las cláusulas tipo de protección recogidas en la Decisión 2010/87, acerca del nivel de protección exigido en dicho Reglamento en el marco de una transferencia de esas características y acerca de las obligaciones que incumben a las autoridades de control en ese contexto.
El Tribunal de Justicia considera que el Derecho de la Unión y, en particular, el RGPD, se aplica a una transferencia de datos personales realizada con fines comerciales por un operador económico establecido en un Estado miembro a otro operador económico establecido en un país tercero incluso si, en el transcurso de dicha transferencia o tras ella, esos datos pueden ser tratados con fines de seguridad nacional, defensa y seguridad del Estado por las autoridades del país tercero en cuestión.
El TJUE precisa que la evaluación de la protección debe tener en cuenta tanto las estipulaciones contractuales acordadas entre el exportador de datos establecido en la Unión y el destinatario de la transferencia y un posible acceso de las autoridades públicas de ese país. Por lo que respecta a las obligaciones que incumben a las autoridades de control en el contexto de una transferencia, que están obligadas, a suspender o a prohibir una transferencia de datos personales a un país tercero cuando consideren, a la luz de las circunstancias específicas de la referida transferencia, que las cláusulas tipo de protección de datos no se respetan o no pueden respetarse en ese país y que las protección de los datos transferidos, exigida por el Derecho de la Unión.
La validez de la Decisión 2010/87 no queda puesta en entredicho por el mero hecho de que, debido a su carácter contractual, las cláusulas tipo de protección de datos recogidas en ella no vinculen a las autoridades del país tercero al que podrían transferirse los datos. Precisa, en cambio, que esa validez depende de si la referida Decisión incluye mecanismos efectivos que permitan garantizar en la práctica que el nivel de protección exigido por el Derecho de la Unión sea respetado. La Decisión obliga al exportador de los datos y al destinatario de la transferencia a comprobar previamente que el mencionado nivel de protección se respete en el país tercero y; obliga al antedicho destinatario a informar al exportador de los datos de que podría ser incapaz de cumplir las cláusulas tipo de protección, debiendo entonces el exportador suspender la transferencia de datos o rescindir el contrato celebrado con el primero.
Finalmente, el Tribunal procede a examinar la validez de la Decisión Escudo de la privacidad conforme a las exigencias derivadas del RGPD, indicando que reconoce la primacía de las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense, posibilitando de este modo injerencias en los derechos fundamentales de las personas cuyos datos personales se transfieren a ese país tercero. Por lo que la protección de los datos no está regulada conforme a exigencias sustancialmente equivalentes a las requeridas, en el Derecho de la Unión, por el principio de proporcionalidad, en la medida en que los programas de vigilancia basados en la mencionada normativa no se limitan a lo estrictamente necesario.
El TJUE declara que el mecanismo del “Defensor del Pueblo” contemplado en dicha Decisión, no proporciona a esas personas ninguna vía de recurso ante un órgano que ofrezca garantías sustancialmente equivalentes a las exigidas en el Derecho de la Unión, declarando inválida la Decisión Escudo de la privacidad.
La remisión prejudicial permite que los tribunales de los Estados miembros, en el contexto de un litigio del que estén conociendo, interroguen al Tribunal de Justicia acerca de la interpretación del Derecho de la Unión o sobre la validez de un acto de la Unión. El Tribunal de Justicia no resuelve el litigio nacional, y es el tribunal nacional quien debe resolver el litigio, pero dicha decisión vincula igualmente a los demás tribunales nacionales que conozcan de un problema similar.

Vea texto íntegro de la sentencia del Tribunal de Justicia de la Unión Europea, causa C-311/18.

RELACIONADOS
* TJUE indica que los Parlamentos federales están sujetos al Reglamento general de protección de datos…
* Facebook confirma filtración de datos de 2,7 millones de usuarios en Europa…

Te recomendamos leer:

Agregue su comentario

Agregue su Comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *