El Tribunal de Justicia de la UE invalida la Decisión que ampara el Puerto Seguro con EEUU

En el seno de un caso iniciado por el joven abogado austriaco Max Schrems contra Facebook, el TSJUE ha emitido una sentencia en virtud de la cual invalida la Decisión 2000/520/CE de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada. Esto es, deja sin validez el conocido como acuerdo de safe harbor para las transferencias de datos entre Europa y EEUU.

Los Principios de puerto seguro -protección de la vida privada- fueron publicados por el Departamento de Comercio de EEUU para facilitar el comercio y las transacciones entre EEUU y la UE. Son de utilización exclusiva por las entidades estadounidenses que reciben datos personales de la UE, al efecto de reunir los requisitos de puerto seguro y obtener la correspondiente presunción de adecuación. El funcionamiento de la Decisión 2000/520/CE se basa en los compromisos y la autocertificación de las entidades que lo han suscrito, siendo sus reglas vinculantes para aquellas entidades que voluntariamente las suscriban.

Paso a analizar el caso de forma resumida.

Como es sabido, toda persona residente en la UE que desee utilizar Facebook está obligada a concluir, en el momento de su inscripción, un contrato con Facebook Ireland, filial de Facebook Inc., domiciliada en EEUU. Los datos personales de los usuarios de Facebook Ireland se transfieren, parcial o totalmente, a servidores pertenecientes a Facebook Inc., situados en EEUU, donde son objeto de tratamiento.

Como consecuencia de lo anterior, en 2013 Max Schrems presentó una reclamación ante la autoridad irlandesa de protección de datos en la que le solicitaba que ejerciera sus competencias estatutarias. Concretamente, le exigía que prohibiese a Facebook Ireland transferir sus datos personales a EEUU ya que, a su entender, el Derecho y las prácticas vigentes en EEUU no garantizaban una protección suficiente de los datos personales conservados en aquel territorio contra las actividades de vigilancia practicadas en él por las autoridades públicas (léase, la NSA).

La autoridad irlandesa de protección de datos rechazó la reclamación de Max Schrems al entender que, en un escenario de puerto seguro, EEUU asegura un nivel de protección adecuado. Debido a esta decisión, el agraviado interpuso recurso ante el High Court irlandés, que entendió que lo que realmente se estaba solicitando era la ilicitud del régimen de puerto seguro establecido por la Decisión 2000/520/CE.

La sentencia del TSJUE establece que la Directiva 95/46, entendida a la luz de la Carta de los Derechos Fundamentales de la UE, debe interpretarse en el sentido de que una Decisión adoptada en virtud de la referida disposición, como es la Decisión 2000/520/CE, no puede impedir que una autoridad de control de un Estado miembro de la UE examine la solicitud de una persona relativa a la protección de sus derechos y libertades frente al tratamiento de los datos personales que le conciernen que se hayan transferido desde un Estado miembro a ese tercer país, cuando esa persona alega que el Derecho y las prácticas en vigor en éste no garantizan un nivel de protección adecuado. Y argumenta que la Decisión 2000/520/CE no contiene ninguna constatación sobre la existencia en EEUU de reglas estatales destinadas a limitar las posibles injerencias en los derechos fundamentales de las personas cuyos datos se transfieran desde la UE a EEUU, injerencias que están autorizadas a llevar a cabo entidades estatales de ese país cuando persigan fines legítimos, como la seguridad nacional. En virtud de lo anterior, concluye que la Decisión 2000/520/CE no protege jurídicamente y de forma eficaz contra injerencias de esa naturaleza.

Adicionalmente, la sentencia recuerda que la CE constató, entre otras cuestiones, lo siguiente:

  • Que las autoridades estadounidenses podían acceder a los datos personales transferidos desde la UE a EEUU y tratarlos de manera incompatible con las finalidades de esa transferencia, lo cual excedía de lo que es estrictamente necesario y proporcionado para la protección de la seguridad nacional.
  • Que las personas afectadas por dicho tratamiento no disponían de vías jurídicas, ni administrativas ni judiciales, que les permitieran acceder a los datos que les conciernen y obtener, en su caso, su rectificación o supresión. En particular, considera que una normativa que permite a las autoridades públicas acceder de forma generalizada al contenido de las comunicaciones electrónicas lesiona el contenido esencial del derecho fundamental al respeto de la vida privada.

Por todo lo anterior, el TSJUE resuelve que la Decisión 2000/520/CE es inválida por vulnerar las exigencias establecidas por la Directiva 95/46 y la Carta de los Derechos Fundamentales de la UE.

La autoridad irlandesa de protección de datos deberá ahora examinar la reclamación de Max Schrems y decidir si, de conformidad a la Directiva 95/46, la transferencia de datos de Facebook Ireland a Facebook Inc. debe ser suspendida por no reunir el país de destino de los datos un nivel de protección adecuado.

A continuación los enlaces a la sentencia, a las conclusiones del Abogado General y a la Petición de decisión prejudicial planteada por la High Court of Ireland.

Publicado en: miguelangelmata.com Etiquetado con: , , , , ,
5 comments on “El Tribunal de Justicia de la UE invalida la Decisión que ampara el Puerto Seguro con EEUU
  1. Enhorabuena por el excelente resumen de un hecho tan complejo y tan relevante para los que aplicamos derecho como es la caida del puerto Seguro. Lo compartimos en redes

  2. Carla dice:

    Excelente artículo. Has resumido muy buen algo tan complejo. Yo tambien lo compartiré en las redes.

  3. eva dice:

    Hola,

    ¿Tienes esto algo que ver con la victoria de Donald Trump?

    Un saludo.

  4. maria dice:

    Puede ser que el nuevo presiente de EE.UU. esté en medio de todo esté. Yo no lo descarto.

  5. pedro dice:

    A saber qué pasará ahora con Donald Trump.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*