La sentencia del Tribunal de Justicia de la Unión
europea de fecha 6 de octubre de 2015, que declara invalida la decisión de la
Comisión de 26 de julio de 2000, por la que se establecía la adecuación de la
protección conferida por los principios de puerto seguro. En esta Decisión, la
Comisión había considerado, que en el marco del régimen denominado de “puerto
seguro”, Estados Unidos garantizaba un nivel adecuado de protección de los datos
personales transferidos desde un país de la Unión Europea a servidores en
Estados Unidos.
Dicho marco consiste en una serie de principios
relativos a la protección de datos personales a los que las empresas
estadounidenses podían suscribirse voluntariamente.
No obstante, ante la reclamación de un ciudadano
austríaco, usuario de Facebook, que consideraba que, a la luz de las
revelaciones realizadas en 2013 por el Sr. Snowden, en relación con las
actividades de los servicios de información de Estados Unidos, la normativa y la
práctica en este país no garantizaban una protección suficiente de los datos
transferidos al mismo frente a las actividades de vigilancia por las autoridades
públicas, siendo conocido que Facebook transfiere total o parcialmente desde la
filial irlandesa de dicha red social a servidores situados en territorio de
Estados Unidos, donde son objeto de tratamiento.
Ante su reclamación, la autoridad irlandesa de
protección de datos, desestimó su petición considerando, que en el marco del ya
citado “puerto seguro”, Estados Unidos garantizaba un nivel adecuado de
protección de los datos personales transferidos.
Esta desestimación determinó el traslado del asunto
al Tribunal Supremo de Irlanda y su consulta al TJUE, el cual, en la sentencia
indicada resuelve declarando inválida la Decisión de la Comisión de 26 de julio
de 2000, debiendo la autoridad irlandesa de control examinar la reclamación del
ciudadano con toda la diligencia exigible y, decidir, si debe suspenderse la
transferencia de los datos de los ciudadanos europeos de Facebook a Estados
Unidos, en función del resultado de su investigación.
Las razones en que se fundamenta el alto Tribunal, de
manera sintetizada, son las siguientes:
·
Una Decisión de la Comisión declarando
que un país tercero garantiza un nivel de protección adecuado de los datos
personales transferidos no puede dejar sin efecto ni limitar las facultades que
corresponden a las autoridades nacionales de control.
·
Las autoridades nacionales de control
deben poder apreciar con toda independencia si la transferencia de los datos de
una persona a un país tercero cumple con las exigencias establecidas por la
Directiva.
·
El régimen de puerto seguro únicamente
es aplicable a las entidades estadounidenses que se han adherido a él, de modo
que las autoridades públicas estadounidenses no están sometidas a dicho régimen.
·
Asimismo, las exigencias de seguridad
nacional, interés público y cumplimiento de la ley de Estados Unidos prevalecen
sobre el régimen de puerto seguro, por lo que las entidades adheridas al mismo
están obligadas a dejar de aplicar, sin limitación, las reglas de protección
previstas por ese régimen cuando entren en conflicto con las citadas exigencias.
·
El Tribunal de Justicia considera que
una normativa que permite a las autoridades públicas acceder de forma
generalizada al contenido de las comunicaciones electrónicas lesiona el
contenido esencial del derecho fundamental al respeto de la vida privada.
·
Finalmente, el Tribunal de Justicia
considera que una normativa que no prevé posibilidad alguna para que el
ciudadano ejerza acciones en Derecho para acceder a los datos personales que le
conciernen vulnera el contenido esencial del derecho fundamental a la tutela
judicial efectiva.
Estas razones han llevado al Tribunal de Justicia a
tomar una decisión que tiene importantes efectos en el tratamiento de datos de
forma electrónica, tanto para las grandes redes sociales como para la
generalidad de empresas y personas.
Esta situación coloca en una especie de limbo
jurídico a todas las compañías que transfieren datos a Estados Unidos, puesto
que no existe en este momento legitimación legal alguna para este tipo de
transferencia. Correspondería, en cada caso, la decisión a la Agencia Española
de protección de Datos determinar si autoriza las transferencias, antes de su
realización, lo que, atendiendo al resultado del análisis efectuado por la
Sentencia referida, parece poco probable que pudiera producirse en sentido
favorable.
A los efectos de resolver esta situación de
inseguridad jurídica, actualmente se están llevando a cabo negociaciones entre
las autoridades europeas y las estadounidenses con el objeto de llegar a un
acuerdo que pueda garantizar el cumplimiento de los requisitos de seguridad en
la privacidad que establece la normativa europea, para su posible tratamiento en
Estados Unidos. Ello presenta razonables incógnitas, en cuanto a la validez
futura de este posible acuerdo, puesto que el mismo deberá ser examinado
atentamente y probablemente pudiera verse sometido a nuevas resoluciones del
TJUE, caso de considerarse que este nuevo acuerdo no cumple de manera efectiva
con las exigencias de la legislación europea, en el marco de la Carta de los
Derechos Fundamentales de la Unión Europea y de la Directiva relativa a la
protección de datos de 1995 y, además, considerando el marco de la nueva
regulación en la materia derivada del Reglamento Europeo de Protección de Datos,
aprobado por el Parlamento Europeo y la Comisión y publicado ya en el Diario
Oficial de la UE en fecha 4 de mayo de 2016. |