Lawditic | El Tribunal de Justicia declara inválida la Decisión de la Comisión que declaró que Estados Unidos garantiza un nivel de protección adecuada de los datos personales tranferidos
57605
post-template-default,single,single-post,postid-57605,single-format-standard,qode-core-1.0,ajax_fade,page_not_loaded,,pitch-ver-1.2, vertical_menu_with_scroll,smooth_scroll,grid_1300,blog_installed,wpb-js-composer js-comp-ver-5.4.5,vc_responsive

El Tribunal de Justicia declara inválida la Decisión de la Comisión que declaró que Estados Unidos garantiza un nivel de protección adecuada de los datos personales tranferidos

twitterlinkedinrsstwitterlinkedinrss

El Tribunal de Justicia de la Unión Europea (TJUE) ha hecho pública hoy la sentencia que anula la Decisión de la Comisión 2000/520/CE que establece el nivel adecuado de protección de las garantías para las transferencias internacionales de datos a EEUU ofrecidas por el acuerdo de Puerto Seguro publicado por su Departamento de Estado.

La Directiva sobre el tratamiento de los datos personales  dispone que en principio sólo se pueden transferir dichos datos a un país tercero si éste garantiza un nivel de protección adecuado de dichos datos. También conforme a la Directiva, la Comisión puede declarar que un país tercero garantiza un nivel de protección adecuado en razón de su legislación interna o de sus compromisos internacionales. Por último, la Directiva determina que cada Estado miembro debe designar una o varias autoridades públicas encargadas de controlar la aplicación en su territorio de las disposiciones nacionales adoptadas sobre la base de la Directiva («autoridades nacionales de control»).

El Sr. Maximillian Schrems, ciudadano austriaco, es usuario de Facebook desde 2008. Como ocurre con los demás usuarios que residen en la UE, los datos proporcionados por el Sr. Schrems a Facebook se transfieren total o parcialmente de la filial irlandesa de dicha red social a servidores situados en territorio de los Estados Unidos, donde son objeto de tratamiento. El Sr. Schrems presentó una denuncia ante la autoridad irlandesa de control, considerando que, a la luz de las revelaciones realizadas en 2013 por el Sr. Edward Snowden en relación con las actividades de los servicios de información de Estados Unidos (en particular, la National Security Agency o «NSA»), la normativa y la práctica de Estados Unidos no garantizaban una protección suficiente de los datos transferidos a ese país frente a las actividades de vigilancia por las autoridades públicas. La autoridad irlandesa desestimó esa reclamación debido en particular a que, en su Decisión de 26 de julio de 2000  la Comisión había considerado que, en el marco del régimen denominado de «puerto seguro»,  Estados Unidos garantiza un nivel adecuado de protección de los datos personales transferidos. La High Court de Irlanda (Tribunal Supremo irlandés), que conoce del asunto, desea saber si esa decisión de la Comisión impide a una autoridad nacional de control investigar una denuncia en la que se alega que un país tercero no garantiza un nivel de protección adecuado y, en su caso, suspender la transferencia de datos denunciada.

La sentencia proclama que la Decisión de Puerto Seguro es inválida por dos motivos:

  • Porque entiende que prevalece incondicionalmente y sin ninguna limitación “la seguridad nacional, el interés público o el cumplimiento de la ley” sobre los derechos fundamentales a la intimidad y la protección de datos, sin otorgar a los ciudadanos europeos ningún medio para obtener la tutela efectiva de esos derechos.
  • Porque no otorga a los Estados miembros un margen suficiente para suspender las transferencias en caso de que estos apreciaran una vulneración de los derechos de los ciudadanos europeos.

La sentencia establece que las Autoridades independientes de protección de datos son un elemento clave para salvaguardar el elevado nivel de protección de esos derechos, no sólo en el tratamiento que se realiza dentro de la UE sino también en los movimientos internacionales de datos. De ese modo, una Decisión adoptada por la Comisión no puede limitar la potestad de las Autoridades para examinar, ante una reclamación de un ciudadano, el nivel adecuado de protección en el país de destino de una transferencia. Por tanto, en caso de que la Autoridad considere que ese nivel no es adecuado, debe disponer, conforme a la Directiva, de medios suficientes para poder instar la anulación de esa Decisión.

El Tribunal afirma que para que se considere que un país otorga un nivel adecuado de protección su ordenamiento jurídico deberá establecer un nivel de garantías “esencialmente equivalente” al establecido en la Unión Europea, ya que sólo así se garantizan suficientemente los derechos fundamentales.

Por todas esas razones, el Tribunal de Justicia declara inválida la Decisión de la Comisión de 26 de julio de 2000. Como consecuencia de esta sentencia, la autoridad irlandesa de control está obligada a examinar la reclamación del Sr. Schrems con toda la diligencia exigible y, al término de su investigación, deberá decidir si, en virtud de la Directiva, debe suspenderse la transferencia de los datos de los usuarios europeos de Facebook a Estados Unidos porque ese país no ofrece un nivel de protección adecuado de los datos personales.

Las Autoridades europeas de protección de datos, que ya observaron deficiencias en el Puerto Seguro y las plasmaron en varias cartas y dictámenes, han planificado actuaciones para coordinarse en el análisis de las implicaciones de la sentencia y en las actuaciones nacionales que deban llevarse a cabo, garantizando una aplicación consistente de la misma en todos los países de la UE.

Enlace a la Sentencia C.362/14

Fuente: AEPD  TJUE

Comparte:
Facebooktwittergoogle_pluspinterestlinkedinmailFacebooktwittergoogle_pluspinterestlinkedinmail
No Comments

Sorry, the comment form is closed at this time.