Introducción.
Tras la aprobación del nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, general de Protección de Datos; se unifica el régimen jurídico del derecho a la protección de datos de carácter personal en todo el territorio de la Unión Europea. Sin embargo, nuestra sociedad vive en un mundo globalizado, en el que se realizan constantes transferencias de datos terceros estados y a los que no les es de aplicación la citada disposición. Tal y como prevé el considerando 116 del Reglamento, cuando los datos personales circulan a través de las fronteras hacia el exterior de la Unión se puede poner en mayor riesgo la capacidad de las personas físicas para ejercer los derechos de protección de datos. Por ello, es necesario establecer mecanismos que garanticen, en todo caso, la protección de los derechos fundamentales de los ciudadanos europeos, cuando éstos pueden resultar afectados por la acción de terceros estados.
Ya, con carácter previo a la entrada en vigor del Reglamento general de Protección de Datos, la Directiva 95/46/CE, en su artículo 25, establecía que los estados miembros dispondrán que la transferencia a un país tercero de datos personales que sean objeto de tratamiento o destinatarios a ser objeto de tratamiento con posterioridad a su transferencia, únicamente pueda efectuarse cuando, sin perjuicio de cumplimiento de las disposiciones de Derecho nacional adoptadas con arreglo a las demás disposiciones de la presente Directiva, el país tercero de que se trate garantice un nivel de protección adecuado (…). El carácter adecuado del nivel de protección que ofrece un país tercero se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de trasferencias de datos; en particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país destino final las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate, así como las normas profesionales y las medidas de seguridad en vigor de dichos países.
Precisamente, para dar cumplimiento a este precepto, se dicta en el año 2016 la Decisión de Ejecución (UE) 2015/1250, de la Comisión, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE.UU.
Decisión de Ejecución (UE) 2015/1250 sobre la adecuación de la protección conferida por el Escudo de privacidad UE-EE.UU.
En virtud de su artículo primero, a los efectos del artículo 25, apartado 2, de la Directiva 95/46/CE, los Estados Unidos garantizan un nivel adecuado de protección de los datos personales transferidos desde la Unión a entidades establecidas en los Estados Unidos en el marco del Escudo de la privacidad UE-EE.UU. Además, tal y como establece el artículo 288 del Tratado de Funcionamiento de la Unión Europea, una decisión de adecuación de la Comisión como la presente, tiene carácter obligatorio para todos los Estados miembros, de manera que se tendrá que autorizar las transferencias de datos a este tercer estado.
La finalidad de esta Decisión, por lo tanto, es la de autorizar las transferencias de un responsable o encargado del tratamiento en la Unión a organizaciones de los Estados Unidos que se encuentren adheridas al Escudo de la privacidad UE-EE.UU (considerando 15 de la Decisión). Tal y como estable el considerando 14 de la misma disposición, el escudo de privacidad UE-EE.UU, se basa en un sistema de autocertificación por el que las entidades estadounidenses se comprometen a cumplir una serie de principios de protección de la vida privada (…) establecidos por el Departamento de Comercio de Estados Unidos y enumerados en el anexo II de la presente Decisión. Se aplica tanto a los responsables como a los encargados del tratamiento, con la particularidad de que los encargados deben estar obligados contractualmente a actuar únicamente siguiendo instrucciones del responsable del tratamiento de la UE y asistir a este último a responder a las personas físicas que ejerzan sus derechos con arreglo a los principios. En resumen, se permite la transferencia de datos de carácter personal a aquellas organizaciones estadounidenses que se hayan adherido al citado escudo de privacidad, de manera que garanticen una protección al derecho de los ciudadanos en una medida similar a la de la legislación europea, de manera que éstos no sufran ningún perjuicio o injerencia ilegítima en su tratamiento.
En relación a todo ello, el pasado 16 de julio, el Tribunal de Justicia de la Unión Europea dicta una nueva Sentencia a través de la cual se declara la invalidez de esta Decisión.
Sentencia de 16 de julio de 2020 del Tribunal de Justicia de la Unión Europea.
Por lo que respecta al litigio principal, el recurrente es un usuario de Facebook Ireland. En consecuencia, los datos personales de los usuarios de Facebook residentes en el territorio de la Unión se transfieren total o parcialmente a servidores pertenecientes a Facebook Inc., situados en el territorio de Estados Unidos, donde son objeto de tratamiento. La pretensión principal es la de que se prohíba esta transferencia de datos de carácter personal a Estados Unidos, por no garantizar este territorio el nivel adecuado de protección, todo ello a través de la declaración de invalidez de la Decisión de Ejecución 2016/1250.
Argumenta el Tribunal que, en virtud del artículo 45 del Reglamento general de protección de datos, podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. El mismo precepto, en su apartado segundo, establece qué elementos se tendrán en cuenta a la hora de examinar la adecuación del nivel de protección de ese tercer estado: el respeto al Estado de Derecho, la existencia de autoridades de control independientes así como la existencia de compromisos internacionales asumidos por el tercer país en cuestión. En defecto de la Decisión de ejecución de la Comisión al amparo del artículo 45.3 del Reglamento, el responsable o encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas (artículo 46.1). Por último, el artículo 49 prevé que, en ausencia de los supuestos previstos en los artículos 45 y 46 del Reglamento, una transferencia o un conjunto de transferencias de datos personales a un tercer país u organización internacional únicamente se realizará si se cumple alguna de las condiciones siguientes: consentimiento del interesado, la ejecución de un contrato, por razones de interés público, que la transferencia sea necesaria para el ejercicio de reclamaciones o para proteger los intereses vitales del interesado. Además, habrá que tener en consideración el principio general de las transferencias, en virtud del cual todas las disposiciones se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el reglamento no se vea menoscabado. En conclusión, toda transferencia de datos a terceros estados se realizará garantizando que el interesado tenga un nivel de protección que iguale al establecido en los Estados miembros de la unión. Se pretende que el tratamiento que afecte a individuos con ciudadanía europea sea coherente y homogéneo, con independencia de que éste se realice en territorio de la unión europea o en terceros estados.
El problema con la citada Decisión es que, tendiendo al anexo II de la Decisión, relativo a los principios marco del Escudo de privacidad UE-EE.UU, la adhesión a estos principios puede verse limitada por exigencias de seguridad nacional, interés público y cumplimiento de la ley. Por lo tanto, aquellas entidades que estén adheridas tendrán que dejar de aplicar sus principios sin ninguna limitación cuando éstos entren en conflicto con las exigencias expuestas.Concretamente, las actividades de inteligencia realizadas por las autoridades estadounidenses que puedan afectar a este derecho fundamental se realizan en virtud del artículo 702 de la FISA (Foreign Intelligence Surveillance Act) y en la Orden Ejecutiva 12333. Por una parte, el artículo 702 de la FISA permite al fiscal general y al director de los Servicios de Inteligencia Nacionales autorizar la vigilancia de personas no nacionales de los Estados Unidos cuando éstos se encuentran fuera de este territorio. Por otra parte, la Orden Ejecutiva 12333 permite a la Agencia de Seguridad Nacional acceder a aquellos datos en tránsito hacia territorio estadounidense, antes de que éstos lleguen hasta este territorio, de manera que la agencia pueda obtenerlos y conservarlos eludiendo la aplicación de la FISA.
Cuando la realización de estas actividades, que implican una limitación en la esfera jurídica del individuo, por los servicios de inteligencia estadounidenses afectan a individuos no estadounidenses, es de aplicación la PPD-28 (Presidential Policy Directive 28). Por ello, es necesario interpretar el artículo 702 de la FISA y la Orden Ejecutiva 12333 a la luz de aquella disposición. Esta norma únicamente prevé que las actividades de inteligencia deben ser lo “más adaptadas posible”. Además, se ha admitido por el gobierno estadounidense que la PPD-28 no otorga a los interesados derechos exigibles a las autoridades americanas ante los órganos jurisdiccionales. En relación a ello y en virtud del artículo 52.1 de la Carta de Derechos Fundamentales, cualquier limitación del ejercicio de los derechos y libertades reconocidos por la presente Carta (como el derecho de protección de datos de carácter personal, reconocido en los artículos 7 y 8) deberá ser establecida por la ley y respetar el contenido esencial de derechos y libertades. Solo se podrán introducir limitaciones, respetado el principio de proporcionalidad, cuando sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás. Por todo ello, el Tribunal de Justicia de la Unión Europea entiende que estos programas de vigilancia no garantizan que su aplicación se limite a lo estrictamente necesario, de manera que no queda acreditado que se cumpla el principio de proporcionalidad, por lo que se considera que éstos son contrarios al derecho de la unión.
Otro motivo para declarar la invalidez de la Decisión es la infracción del derecho a la tutela judicial efectiva de los ciudadanos europeos. Nuestro Reglamento de protección de datos de carácter personal, en base al artículo 47 de la Carta y a través de su artículo 78, garantiza, en todo momento, la tutela judicial efectiva del interesado, de manera que a éste se le garantiza una serie de derechos y vías de recurso para que su protección de datos de carácter personal sea efectiva. Concretamente, corresponde a la autoridad de control de cada Estado miembro el conocimiento de todas las reclamaciones realizadas en esta materia (artículo 57.1 y 77 del Reglamento). El problema es que los ciudadanos europeos en territorio estadounidense no tienen los mismos recursos ante los órganos jurisdiccionales que aquellos que son nacionales de ese país. Además, aquellas actuaciones basadas en la anteriormente citada Orden Ejecutiva 12333, no son objeto de recurso judicial por no ser de control jurisdiccional. En virtud de la jurisprudencia del Tribunal de Justicia, en aquellos casos en lo que no se prevea la posibilidad de que el individuo ejercite acciones para hacer efectivas las disposiciones del reglamento, no se estará respetando el contenido esencial del derecho a la tutela judicial efectiva. La decisión de ejecución examinada pretende evadir esta laguna en cuanto a las posibilidades de recurso de los afectados con la figura del Defensor del Pueblo. Sin embargo, éste se nombra por el Secretario de Estado, lo que implica una falta de independencia con respecto al poder ejecutivo estadounidense. Precisamente, el derecho a la tutela judicial efectiva supone que los ciudadanos puedan ejercitar sus acciones ante un tribunal independiente e imparcial. Por lo tanto, no se puede considerar que, a través de la acción del Defensor del Pueblo, quede garantizado el derecho a la tutela judicial efectiva.
En conclusión, esta Sentencia de 16 de julio supone un cambio de paradigma en lo relativo a la transferencia de datos de carácter personal a Estados Unidos. Con esta nueva resolución del Tribunal europeo ha quedado constatado que la legislación estadounidense no ofrece un nivel adecuado de garantías en lo que a este derecho fundamental se refiere, por lo que no podrá ser de aplicación los artículos 45 o 46 del Reglamento para la transferencia de datos a entidades estadounidenses. Por el contrario, esta transferencia únicamente se podrá fundamentar en alguno de los supuestos previstos en el artículo 49 y anteriormente expuestos.
Iago Pena Morado
Graduado en Derecho por la Universidad de Santiago de Compostela