Euro

The european project Training Activities to Implement the Data Protection Reform (TAtoDPR) has received funding from the European Union’s Rights, Equality and Citizenship (REC) Programme of the European Union under Grant Agreement No. 769191

The contents of this Journal represent the views of the author only and are his/her sole responsibility. The European Commission does not accept any responsibility for use that may be made of the information it contains.

Home / ISSUES / Issue / Analisís de la Sentencia del Tribunal de Justicia de la Unión Europea, 6 Octubre 2015, Schrems, ..

back print content read pdf content


Analisís de la Sentencia del Tribunal de Justicia de la Unión Europea, 6 Octubre 2015, Schrems, C-362/14

ADRÍAN PALMA ORTIGOSA

    

Hechos:

Ciudadano Irlandés denuncia la Decisión 2000/520 acordada por la Comisión Europea referida al acuerdo de puerto seguro entre la Comisión y EEUU. Dicha decisión está basada en lo previsto en el Art 25.6 de la Directiva 95/46/CE que permite la realización de acuerdos entre la Comisión Europea y terceros países. En estos acuerdos se certifica que terceros países presentan un nivel de protección adecuado en el tratamiento de los datos personales, permitiéndose así que se puedan transferir datos personales provenientes de Europa a dichos países. Este ciudadano denuncia que Facebook transfiere los datos de su perfil a EEUU basada en dicha Decisión 2000/520, indicando que dicho país no satisface las exigencias que garantizan un nivel adecuado de cumplimiento de la normativa europea de protección de datos.

Cuestiones claves del asunto:

  1. A) Funciones de las autoridades de control en relación a las transferencias de datos internacionales en caso de existir un acuerdo de puerto seguro entre la Comisión y Tercer Estado.

Aunque exista un acuerdo de puerto seguro vía Decisión de la UE-Tercer Estado, el TJUE considera que una Autoridad de Control, si bien no puede declarar la invalidez de dicha decisión, si está legitimada para examinar la solicitud de una persona que alega que el Derecho y las prácticas en vigor de ese tercer estado no garantizan un nivel de protección adecuado. Pudiendo en su caso el interesado acudir a los órganos jurisdiccionales cuando las autoridades de control les nieguen sus peticiones. (FJ 64, 65 y 66)

Si la legislación no permitiera que una autoridad de control revise una solicitud de un particular, dicha previsión sería contrario al sistema establecido por la Directiva 95/46 (FJ 56), quedando privados dichos titulares del derecho garantizado por el artículo 8, apartados 1 y 3, de la CDFUE. (FJ 58).

Por tanto, una autoridad de control está legitimada para revisar una solicitud de un interesado que pone en cuestión una Decisión de la Comisión aprobando un acuerdo de transferencia internacional de datos personales. Pudiendo en su caso acudir a los tribunales para exigir sus derechos.

  1. B) Transferencia de datos transfronterizos a terceros estados. Acreditación de un nivel adecuado de protección por parte de un tercer estado.

Significado del término “adecuado”. Si bien, no cabe exigir que un tercer país garantice un nivel de protección idéntico al garantizado en el ordenamiento jurídico de la Unión Europea. Sin embargo, si es exigible que ese tercer país garantice efectivamente por su legislación interna o sus compromisos internacionales un nivel de protección de las libertades y derechos fundamentales sustancialmente equivalente al garantizado en la Unión. (FJ 73)

Entre los aspectos que han de valorarse para considerar que un país cumple con un nivel adecuado de protección se han de tener en cuenta: (FJ 75)

  • El contenido de las reglas aplicables en ese país derivadas de la legislación interna o de los compromisos internacionales de éste.
  • La práctica seguida para asegurar el cumplimiento de esas reglas, debiendo atender esa institución a todas las circunstancias relacionadas con una transferencia de datos personales a un tercer país.
  • Por otro lado, dado que ese nivel puede variar, cuando existan indicios fundados, se deberá de actualizar dicho cumplimiento.

En este caso, el TJUE considera que no se cumple tal adecuación, ya que:

  • Los principios de puerto seguro establecidos en la Decisión de la Comisión Europea no se exigen a las autoridades públicas estadounidenses. FJ 82
  • Además, las autoridades públicas pueden acceder a los datos personales de los ciudadanos europeos sin limitación alguna en virtud de una excepción de carácter general relativa a principios tales como: las exigencias de seguridad nacional, interés público y cumplimiento de la ley. FJ 87.
  • La Decisión 2000/520 no contiene ninguna constatación sobre la existencia en Estados Unidos de reglas estatales destinadas a limitar posibles injerencias (FJ 88) y tampoco pone de manifiesto la existencia de una protección jurídica eficaz contra injerencias de esa naturaleza (FJ 89).

Decisión Final: EL TJUE declara la invalidez de la Decisión 2000/520/CE de la Comisión Europea adoptada al quedar acreditado que la normativa de EEUU no garantiza un nivel adecuado de protección de los derechos fundamentales sustancialmente equivalente al garantizado por el ordenamiento jurídico de la UE. FJo67 y FJo 89. Ya que, una normativa que autoriza de forma generalizada la conservación de la totalidad de los datos personales de todas las personas cuyos datos se hayan transferido desde la Unión a Estados Unidos, sin establecer ninguna diferenciación, limitación o excepción en función del objetivo perseguido y sin prever ningún criterio objetivo que permita circunscribir el acceso de las autoridades públicas a los datos y su utilización posterior a fines específicos, estrictamente limitados y propios para justificar la injerencia que constituyen tanto el acceso a esos datos como su utilización (FJ 93), excede de los estrictamente necesario de una medida limitadora de derechos. (FJ 91 Y 92)

Artículos implicados del REPD: Art 45, Considerando 104, Considerando 106

Apartado concreto del Temario: 1.9, 1.9.1, 1.9.2


  • Giappichelli Social