El Reglamento general de protección de datos (RGPD), al igual que la Directiva sobre tratamiento de datos personales a la que sustituyó, establece que los datos personales pueden transferirse a un país tercero si éste garantiza un nivel de protección adecuado de tales datos. A falta de una decisión de la Comisión que declare la adecuación del nivel de protección garantizado en el país en cuestión, el responsable del tratamiento puede no obstante llevar a cabo la transferencia si se adoptan las garantías apropiadas. En particular, esas garantías pueden constituir un contrato entre el exportador y el importador de los datos que incluya las cláusulas tipo de protección previstas en una decisión de la Comisión. Mediante la Decisión 2010/87/UE, la Comisión estableció cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en países terceros. El presente asunto tiene por objeto la validez de la mencionada Decisión.
Hechos y antecedentes del litigio principal
El litigio principal tiene como antecedente un procedimiento iniciado por el Sr. Maximillian Schrems, usuario austriaco de Facebook, que ya dio lugar a la sentencia del Tribunal de Justicia dictada el 6 de octubre de 2015 («sentencia Schrems»).
Los datos de los usuarios de Facebook que residen en la Unión, como el Sr. Schrems, se transfieren, total o parcialmente, desde Facebook Ireland, la filial irlandesa de Facebook Inc., a servidores situados en el territorio de los Estados Unidos, donde son objeto de tratamiento. En 2013, el Sr. Schrems presentó una reclamación ante la autoridad irlandesa responsable de vigilar la aplicación de las disposiciones relativas a la protección de datos personales (en lo sucesivo, «autoridad de control»), al considerar que, a la vista de las revelaciones hechas por el Sr. Edward Snowden respecto a las actividades de los servicios de inteligencia de Estados Unidos (en concreto de la National Security Agency, «NSA»), el Derecho y las prácticas de Estados Unidos no ofrecen suficiente protección contra la vigilancia, por parte de las autoridades públicas, de los datos transferidos a dicho país. La autoridad de control rechazó dicha reclamación basándose en particular en que, en su Decisión de 26 de julio de 2000, la Comisión consideró que, en el marco del régimen denominado de «puerto seguro», los Estados Unidos garantizaban un nivel adecuado de protección a los datos personales transferidos.
Mediante la sentencia Schrems, el Tribunal de Justicia, en respuesta a una cuestión prejudicial planteada por la High Court (Tribunal Supremo irlandés), declaró inválida la Decisión «puerto seguro».
A raíz de la sentencia Schrems, la High Court anuló la decisión por la que la autoridad de control rechazó la reclamación del Sr. Schrems y la devolvió a dicha autoridad para que fuese examinada. La mencionada autoridad inició una investigación y emplazó al Sr. Schrems a reformular su reclamación, habida cuenta de que la Decisión «puerto seguro» había sido invalidada.
A tal fin, el Sr. Schrems solicitó a Facebook Ireland que detallase la fundamentación jurídica en la que se basan las transferencias de datos personales de los usuarios de Facebook desde la Unión a Estados Unidos. Facebook Ireland hizo referencia a un acuerdo de transferencia y tratamiento de datos (data transfer processing agreement) celebrado entre dicha sociedad y Facebook Inc., aplicable desde el 20 de noviembre de 2015, e invocó la Decisión 2010/87.
En su reclamación reformulada, el Sr. Schrems alega, por una parte, que las cláusulas recogidas en el mencionado acuerdo no son conformes con las cláusulas contractuales tipo previstas por la Decisión 2010/87 y, por otra parte, que esas cláusulas contractuales tipo no pueden servir en ningún caso de fundamento para la transferencia de sus datos personales a Estados Unidos. El Sr. Schrems alega, en efecto, que no existe ninguna vía de recurso que permita a las personas afectadas defender en Estados Unidos sus derechos en materia de vida privada y protección de datos personales. Dadas las circunstancias, el Sr. Schrems solicita a la autoridad de control que suspenda esa transferencia en virtud de la Decisión 2010/87.
Mediante su investigación, la autoridad de control pretendía determinar si los Estados Unidos garantizan una protección adecuada de los datos personales de los ciudadanos de la Unión y, en caso de que no sea así, si el uso de cláusulas contractuales tipo presenta garantías suficientes en lo que respecta a la protección de las libertades y derechos fundamentales de éstos. Al considerar que la tramitación de la reclamación del Sr. Schrems dependía de si es válida la Decisión 2010/87, la autoridad de control inició un procedimiento ante la High Court para que dicho órgano jurisdiccional preguntase al Tribunal de Justicia a este respecto. La High Court ha planteado la petición de decisión prejudicial solicitada por dicha autoridad.
En sus conclusiones presentadas hoy, el Abogado General Henrik Saugmandsgaard Øe propone al Tribunal de Justicia que responda que el análisis de las cuestiones no ha revelado ningún elemento que afecte a la validez de la Decisión 2010/87.
El Abogado General señala, con carácter preliminar, que el litigio principal tiene únicamente por objeto determinar si es válida la Decisión 2010/87, mediante la cual la Comisión estableció cláusulas contractuales tipo invocadas como base de las transferencias recogidas en la reclamación del Sr. Schrems.
El Abogado General considera, en primer lugar, que el Derecho de la Unión se aplica a las transferencias de datos personales a un país tercero cuando esas transferencias obedecen a fines comerciales, aunque los datos transferidos puedan ser objeto de tratamiento por las autoridades públicas de dicho país tercero para fines de seguridad nacional.
En segundo lugar, el Abogado General señala que la finalidad de las disposiciones del RGPD relativas a las transferencias a países terceros es garantizar la continuidad de un elevado nivel de protección de los datos personales y que los datos sean transferidos sobre la base de una decisión de adecuación o en virtud de garantías apropiadas proporcionadas por el exportador. En su opinión, la forma de alcanzar ese objetivo difiere no obstante en función de la base jurídica de la transferencia. Por una parte, una decisión de adecuación tiene por objeto dejar constancia de que un determinado país tercero garantiza, debido a la normativa y prácticas que en él se aplican, un nivel de protección de los derechos fundamentales de las personas cuyos datos son transferidos esencialmente equivalente al que resulta del RGPD en relación con la Carta de los Derechos Fundamentales de la Unión Europea («Carta»). Por otra parte, las garantías apropiadas proporcionadas por el exportador, concretamente a través de la vía contractual, deben garantizar por sí mismas ese mismo nivel de protección. A este respecto, las cláusulas contractuales tipo adoptadas por la Comisión prevén un mecanismo general aplicable a las transferencias independientemente de cuál sea el país de destino y el nivel de protección que se garantice.
El Abogado General examina, en tercer lugar, la validez de la Decisión 2010/87 sobre la base de la Carta. Considera que el hecho de que la mencionada Decisión y las cláusulas contractuales tipo que recoge no vinculen a las autoridades del país tercero de destino y no les impida por tanto imponer al importador obligaciones incompatibles con el respeto de dichas cláusulas no conlleva por sí mismo que dicha Decisión sea inválida. La conformidad de la Decisión 2010/87 con la Carta depende de si existen mecanismos suficientemente sólidos que permitan garantizar que las transferencias basadas en las cláusulas contractuales tipo sean suspendidas o prohibidas en caso de incumplimiento de dichas cláusulas o de la imposibilidad de cumplirlas.
En su opinión, éste será el caso cuando exista una obligación ―impuesta a los responsables del tratamiento y, en caso de inacción de estos últimos, a las autoridades de control― de suspender o prohibir una transferencia cuando, debido a un conflicto entre las obligaciones derivadas de las cláusulas tipo y las impuestas por la normativa del país tercero de destino, las mencionadas cláusulas no pueden ser respetadas.
El Abogado General señala, por otra parte, que la High Court cuestiona indirectamente determinadas apreciaciones expuestas por la Comisión en la Decisión de 12 de julio de 2016, denominada «Escudo de la privacidad». En esa Decisión, la Comisión declaró que los Estados Unidos garantizan un nivel adecuado de protección de los datos transferidos desde la Unión en el marco del régimen establecido en la mencionada Decisión, habida cuenta en particular de las garantías que rodean el acceso por las autoridades de inteligencia estadounidenses a dichos datos y de la protección jurídica ofrecida a las personas cuyos datos son transferidos. En opinión del Abogado General, la resolución del litigio principal no requiere que el Tribunal de Justicia se pronuncie sobre la validez de la Decisión «Escudo de la privacidad» dado que el presente litigio tiene por objeto únicamente la validez de la Decisión 2010/87. El Abogado General expone, no obstante, con carácter subsidiario, las razones que lo llevan a preguntarse si es válida la Decisión «Escudo de la privacidad» en lo que atañe a los derechos relativos a la vida privada y a la protección de datos personales así como al derecho a la tutela judicial efectiva.
No hay comentarios.