Victoria Royo Pérez .- El Tribunal de Justicia de la Unión Europea, en su sentencia de 16 de julio de 2020 (asunto C-311/18), invalida la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU mientras que declara que la Decisión 2010/87 de la Comisión, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, es válida.
El Reglamento general de protección de datos (RGPD) dispone que la transferencia de esos datos a un país tercero solo puede llevarse a cabo, en principio, si el país tercero en cuestión garantiza un nivel de protección adecuado a dichos datos. En su sentencia, el TJUE invalida las transferencias internacionales de datos a Estados Unidos si estas están amparadas en el Escudo de Privacidad (Privacy Shield) y cuestiona la validez de las cláusulas contractuales tipo cuando la normativa del país de destino no permita garantizar un nivel de protección equivalente al de la norma europea.
Facebook, en el conflicto principal
El origen de la cuestión prejudicial que ha resuelto el TJUE tiene lugar en dos reclamaciones presentadas por el Sr. Schrems, nacional austríaco y usuario de Facebook desde 2008. En primer lugar, este usuario de la red social presentó una reclamación ante la autoridad irlandesa de control en la que solicitaba, esencialmente, que se prohibiesen las transferencias de sus datos personales desde Facebook Ireland a servidores pertenecientes a Facebook Inc., situados en el territorio de Estados Unidos, donde son objeto de tratamiento.
En su reclamación alegaba que el Derecho y las prácticas de los Estados Unidos no ofrecían suficiente protección frente al acceso, por parte de las autoridades públicas, a los datos transferidos a ese país. La cuestión fue resuelta mediante sentencia del TJUE de 6 de octubre de 2015, donde el Tribunal de Justicia declaró inválida la referida Decisión 2000/520, de Puerto Seguro (Safe Harobur).
En su segunda reclamación, el Sr. Schrems sostiene que los Estados Unidos no ofrecen una protección suficiente de los datos que se transfieren a ese país y solicita la suspensión o prohibición, de cara al futuro, de las transferencias de sus datos personales desde la Unión a los Estados Unidos que Facebook Ireland lleva a cabo actualmente sobre la base de las cláusulas tipo de protección recogidas en la Decisión 2010/87.
Además, tras el inicio de ese procedimiento, la Comisión adoptó la Decisión (UE) 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU (Privacy Shield).
Así, el Tribunal irlandés pregunta al Tribunal de Justicia de la Unión Europea acerca de la aplicabilidad del RGPD a las transferencias de datos personales basadas en las cláusulas tipo de protección recogidas en la Decisión 2010/87, acerca del nivel de protección exigido en dicho Reglamento en el marco de una transferencia de esas características y acerca de las obligaciones que incumben a las autoridades de control en ese contexto. Asimismo, la justicia irlandesa plantea la cuestión de la validez de la Decisión 2010/87, sobre las cláusulas contractuales tipo, y de la Decisión Escudo de la privacidad.
Transferencias de datos a terceros países
El Tribunal de Justicia declara que las exigencias establecidas respecto a las transferencias de datos, referentes a las garantías adecuadas, los derechos exigibles y las acciones legales efectivas, deben interpretarse en el sentido de que las personas cuyos datos personales se transfieren a un país tercero sobre la base de cláusulas tipo de protección de datos deben gozar de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión por el Reglamento General de Protección de datos, interpretado a la luz de la Carta de los Derechos Fundamentales de la Unión Europea.
Así, el TJUE considera que la evaluación debe de tener en cuenta tanto las condiciones contractuales de la firma en cuestión como el acceso de las autoridades públicas a esos datos, en función de la situación legal general en el país en el que está radicada la empresa.
Invalidez del Privacy Shield
Así, el Tribunal de Justicia considera que el Derecho de la Unión y, en particular, el RGPD, se aplica a una transferencia de datos personales realizada con fines comerciales por un operador económico establecido en un Estado miembro a otro operador económico establecido en un país tercero incluso si, en el transcurso de dicha transferencia o tras ella, esos datos pueden ser tratados con fines de seguridad nacional, defensa y seguridad del Estado por las autoridades del país tercero en cuestión.
Por ello, el tribunal invalida la Decisión Escudo sobre protección de datos acordada entre la UE y Estados Unidos, al considerar que “la primacía de las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense” posibilitan injerencias en los derechos fundamentales de las personas cuyos datos personales se transfieren a ese país. El Tribunal de Justicia subraya que ese tipo de tratamiento por parte de las autoridades de un país tercero no puede significar que la referida transferencia quede fuera del ámbito de aplicación del RGPD.
Además, el TJUE añade que, si bien el Privacy Shield establece exigencias que las autoridades estadounidenses deben respetar al aplicar los programas de vigilancia de que se trata, no confiere a los interesados derechos exigibles a las autoridades estadounidenses ante los tribunales. Por tanto, respecto a la exigencia de tutela judicial, el Tribunal de Justicia declara que en la Decisión Escudo de la privacidad, el mecanismo del Defensor del Pueblo contemplado en dicha Decisión no proporciona a las personas ninguna vía de recurso ante un órgano que ofrezca garantías sustancialmente equivalentes a las exigidas en el Derecho de la Unión, que puedan asegurar tanto la independencia del Defensor del Pueblo previsto en el antedicho mecanismo como la existencia de normas que faculten al referido Defensor del Pueblo para adoptar decisiones vinculantes con respecto a los servicios de inteligencia estadounidenses.
Por consiguiente, el TJUE invalida el acuerdo de Escudo de Privacidad (Privacy Shield) entre la Unión Europea y EEUU.