En cambio, declara que la Decisión 2010/87 de la Comisión, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, es válida.
RGPD y transferencia de datos
El Reglamento general de protección de datos («RGPD») dispone que la transferencia de esos datos a un país tercero solo puede llevarse a cabo, en principio, si el país tercero en cuestión garantiza un nivel de protección adecuado a dichos datos. Según el referido Reglamento, la Comisión puede hacer constar que un país tercero, a la vista de su legislación interna o de sus compromisos internacionales, garantiza un nivel de protección adecuado. A falta de esa decisión de adecuación, la mencionada transferencia solo podrá realizarse si el exportador de datos personales, establecido en la Unión, ofrece garantías adecuadas, que pueden derivar, en particular, de cláusulas tipo de protección de datos adoptadas por la Comisión, y si los interesados cuentan con derechos exigibles y acciones legales efectivas. Asimismo, el RGPD establece, de modo preciso, bajo qué condiciones puede tener lugar esa transferencia en ausencia de una decisión de adecuación o de garantías adecuadas.
Reclamación del Sr. Maximiliam Schrems
El Sr. Maximiliam Schrems, nacional austriaco residente en Austria, es usuario de Facebook desde 2008. Como ocurre con el resto de usuarios residentes en la Unión, los datos personales del Sr. Schrems son transferidos, total o parcialmente, por Facebook Ireland a servidores pertenecientes a Facebook Inc., situados en el territorio de Estados Unidos, donde son objeto de tratamiento. El Sr. Schrems presentó una reclamación ante la autoridad irlandesa de control en la que solicitaba, esencialmente, que se prohibiesen esas transferencias. Alegó que el Derecho y las prácticas de los Estados Unidos no ofrecían suficiente protección frente al acceso, por parte de las autoridades públicas, a los datos transferidos a ese país. Esa reclamación fue desestimada basándose en que, en particular, en su Decisión 2000/520 («Decisión de puerto seguro») la Comisión había declarado que los Estados Unidos ofrecían un nivel adecuado de protección. Mediante sentencia de 6 de octubre de 2015, el Tribunal de Justicia, en respuesta a una cuestión prejudicial planteada por la High Court (Tribunal Superior, Irlanda), declaró inválida la referida Decisión.
A raíz de la sentencia Schrems I y de la subsiguiente anulación, por parte del órgano jurisdiccional irlandés, de la decisión por la que se desestimaba la reclamación del Sr. Schrems, la autoridad de control irlandesa instó a este a que modificase su reclamación, habida cuenta de la invalidación por el Tribunal de Justicia de la Decisión de puerto seguro. En su reclamación modificada, el Sr. Schrems sostiene que los Estados Unidos no ofrecen una protección suficiente de los datos que se transfieren a ese país. Solicita la suspensión o prohibición, de cara al futuro, de las transferencias de sus datos personales desde la Unión a los Estados Unidos que Facebook Ireland lleva a cabo actualmente sobre la base de las cláusulas tipo de protección recogidas en la Decisión 2010/87. Al considerar que la tramitación de la reclamación del Sr. Schrems depende, en particular, de la validez de la Decisión 2010/87, la autoridad de control irlandesa inició un procedimiento ante la High Court para que esta plantease al Tribunal de Justicia una petición de decisión prejudicial. Tras el inicio de ese procedimiento, la Comisión adoptó la Decisión (UE) 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU («Decisión Escudo de la privacidad»)
Sentencia TJUE
En su sentencia, el Tribunal de Justicia señala que el examen de la Decisión 2010/87 a la luz de la Carta de los Derechos Fundamentales de la Unión Europea («Carta») no ha puesto de manifiesto la existencia de ningún elemento que pueda afectar a su validez. En cambio, declara que la Decisión Escudo de la privacidad es inválida.
El Tribunal de Justicia considera que el Derecho de la Unión y, en particular, el RGPD, se aplica a una transferencia de datos personales realizada con fines comerciales por un operador económico establecido en un Estado miembro a otro operador económico establecido en un país tercero incluso si, en el transcurso de dicha transferencia o tras ella, esos datos pueden ser tratados con fines de seguridad nacional, defensa y seguridad del Estado por las autoridades del país tercero en cuestión. El Tribunal de Justicia precisa que ese tipo de tratamiento por parte de las autoridades de un país tercero no puede significar que la referida transferencia quede fuera
del ámbito de aplicación del RGPD.
Por lo que atañe al nivel de protección exigido en el marco de esa transferencia, el Tribunal de Justicia declara que las exigencias establecidas a este efecto por las disposiciones del RGPD, referentes a las garantías adecuadas, los derechos exigibles y las acciones legales efectivas, deben interpretarse en el sentido de que las personas cuyos datos personales se transfieren a un país tercero sobre la base de cláusulas tipo de protección de datos deben gozar de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión por el antedicho Reglamento, interpretado a la luz de la Carta. En este contexto, el Tribunal de Justicia precisa que la evaluación de ese nivel de protección debe tener en cuenta tanto las estipulaciones contractuales acordadas entre el exportador de datos establecido en la Unión y el destinatario de la transferencia establecido en el país tercero de que se trate, como, por lo que se refiere a un posible acceso de las autoridades públicas de ese país tercero a los datos personales transferidos de ese modo, los elementos pertinentes del sistema jurídico de dicho país.
Deja una respuesta