Las autoridades nacionales de la Unión, pueden suspender la transferencia de datos de los usuarios europeos de Facebook a servidores situados en Estados Unidos, pues la normativa de Estados Unidos permite recopilar a gran escala los datos personales de los ciudadanos de la UE que se transfieren, sin que éstos tengan derecho a una tutela judicial efectiva. Es decir, el acceso de que disponen los servicios de información estadounidenses a los datos transferidos constituye una injerencia en el derecho al respeto de la vida privada y en el derecho a la protección de los datos personales garantizados por la Carta de los Derechos Fundamentales de la UE.
Así lo ha señalado el Abogado General del TJUE, Yves Bot, en sus conclusiones en el asunto C?362/14, Maximillian Schrems.
Los hechos
El actor, sr. Schrems, es un ciudadano austríaco, usuario de Facebook desde 2008. Como ocurre con los demás usuarios que residen en la UE, los datos proporcionados por el actor a Facebook se transfieren total o parcialmente de la filial irlandesa de dicha red social a servidores situados en territorio de los Estados Unidos, donde se conservan.
El actor presentó una denuncia ante la autoridad irlandesa de protección de datos, considerando que, a la luz de las revelaciones realizadas en 2013 por el Sr. Edward Snowden en relación con las actividades de los servicios de información de Estados Unidos (en particular, la National Security Agency o «NSA»), la normativa y la práctica de Estados Unidos no ofrecen protección real alguna frente a la supervisión, por parte del Estado americano, de los datos transferidos a ese país.
La autoridad irlandesa desestimó la denuncia debido en particular a que, en su Decisión 2000/520/CE, de 26 de julio de 2000, la Comisión había considerado que, en el marco del régimen denominado de «puerto seguro», Estados Unidos garantiza un nivel adecuado de protección de los datos personales transferidos.
La High Court of Ireland, que conoce del asunto, planteó al Tribunal si esta decisión de la Comisión impide a una autoridad nacional de control investigar una denuncia en la que se alega que un país tercero no garantiza un nivel de protección adecuado y, en su caso, suspender la transferencia de datos denunciada.
El marco normativo europeo
La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos, establece que la transferencia de tales datos a un país tercero puede efectuarse cuando el país tercero de que se trate garantice un nivel de protección adecuado de dichos datos. Según la Directiva, la Comisión puede declarar que un país tercero garantiza un nivel de protección adecuado. La transferencia de datos personales al país tercero puede tener lugar desde el momento en que la Comisión adopta una decisión en este sentido.
Las Conclusiones del Abogado General
En sus conclusiones, el Abogado General considera que la existencia de una decisión de la Comisión que declara que un país tercero garantiza un nivel de protección adecuado de los datos personales transferidos no puede anular, ni tan siquiera reducir, las facultades que tienen las autoridades nacionales de control en virtud de la Directiva sobre el tratamiento de datos personales. Considera además que la decisión de la Comisión es nula.
Para empezar, el Abogado General afirma que, habida cuenta de la importancia de su función en materia de protección de datos, las facultades de intervención de las autoridades nacionales deben permanecer íntegras. Si las autoridades de control nacionales estuvieran vinculadas en términos absolutos por las decisiones adoptadas por la Comisión, la total independencia de la que gozan con arreglo a la Directiva se vería inevitablemente limitada.
El Abogado General concluye a partir de ello que, si una autoridad de control nacional considera que una transferencia de datos socava la protección de los ciudadanos de la UE en relación con el tratamiento de sus datos personales, puede suspender esta transferencia, con independencia de la evaluación general que haya realizado la Comisión en su decisión. En efecto, la facultad de ejecución conferida a la Comisión por la Directiva no afecta a las facultades que la propia Directiva confiere a las autoridades de control nacionales. En otras palabras, la Comisión no dispone del poder de restringir las facultades de las autoridades de control nacionales.
Aunque el Abogado General reconoce que la decisión de la Comisión vincula jurídicamente a las autoridades nacionales de control, considera que ese efecto vinculante no puede imponer que las denuncias se desestimen sumariamente, es decir, de forma inmediata y sin examinar en absoluto su fundamento, máxime si se tiene en cuenta que la apreciación del nivel de protección adecuado es una competencia compartida entre los Estados miembros y la Comisión.
Una decisión de la Comisión desempeña ciertamente un importante papel en la uniformización de los requisitos de la transferencia en los Estados miembros, pero esta uniformización sólo puede perdurar mientras no se cuestione dicha apreciación, por ejemplo, en el marco de una denuncia que las autoridades nacionales deben examinar en virtud de las facultades de investigación y de prohibición que les reconoce la Directiva.
Por otro lado, el Abogado General considera que, en caso de que se detecten deficiencias sistemáticas en el país tercero al que se transfieren los datos personales, los Estados miembros deben poder adoptar las medidas necesarias para proteger los derechos fundamentales protegidos por la Carta de los Derechos Fundamentales de la UE, entre los que figuran el derecho al respeto de la vida privada y familiar y el derecho a la protección de los datos personales.
Nulidad de la Decisión 2000/520 de la Comisión
Habida cuenta de las dudas suscitadas en el procedimiento acerca de la validez de la Decisión 2000/520, el Abogado General afirma que el Tribunal de Justicia debería comprobar este extremo y llega a la conclusión de que la Decisión es nula. En efecto, de las apreciaciones llevadas a cabo tanto por la High Court of Ireland como por la propia Comisión se desprende que la normativa y la práctica de Estados Unidos permiten recopilar a gran escala los datos personales de los ciudadanos de la UE que se transfieren, sin que éstos tengan derecho a una tutela judicial efectiva. Estas apreciaciones de hecho demuestran que la Decisión de la Comisión no contiene garantías suficientes. Debido a esta falta de garantías, la decisión se ha aplicado de un modo que no responde a las exigencias establecidas por la Directiva y la Carta.
Además, el Abogado General considera que el acceso de que disponen los servicios de información estadounidenses a los datos transferidos constituye una injerencia en el derecho al respeto de la vida privada y en el derecho a la protección de los datos personales garantizados por la Carta. Del mismo modo, según el Abogado General, la imposibilidad de que se oiga a los ciudadanos de la UE acerca de la intercepción y la supervisión de sus datos en Estados Unidos es una injerencia en el derecho de los ciudadanos de la UE a un recurso efectivo, protegido por la Carta.
A juicio del Abogado General, esta injerencia en los derechos fundamentales es contraria al principio de proporcionalidad, concretamente porque la supervisión que llevan a cabo los servicios de información estadounidenses es masiva e indiferenciada. En efecto, el acceso a los datos personales de que disponen los servicios de información estadounidenses engloba de manera generalizada a toda persona, a todos los medios de comunicación electrónica y al conjunto de datos transferidos (incluyendo el contenido de las comunicaciones), sin llevar a cabo ninguna diferenciación, limitación o excepción en función del objetivo de interés general perseguido.
En estas circunstancias, el Abogado General estima que en ningún caso se podría considerar que un país tercero garantiza un nivel de protección adecuado, menos aún cuando el régimen de puerto seguro, tal como se define en la decisión de la Comisión, no contiene garantías que pueden evitar un acceso masivo y generalizado a los datos transferidos. En efecto, ninguna autoridad independiente puede controlar en Estados Unidos la violación de los principios de protección de datos personales cometida por actores públicos, como los agentes de seguridad estadounidenses, respecto de ciudadanos de la UE.