El Tribunal de Justicia de la Unión Europea ha hecho pública su Sentencia relativa al asunto C-362/14 (conocido como el “Caso Schrems vs Facebook”), mediante la cual se reconoce la habilitación a las Agencia Nacionales de Protección de Datos para bloquear las transferencias internacionales de datos de ciudadanos europeos a Estados Unidos en el marco del denominado “Safe Harbor”.
El artículo 25 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, establece como requisito para realizar una Transferencia Internacional de Datos que el país destinatario de los datos garantice un nivel adecuado de protección. En este sentido, según recoge la Directiva, “el carácter adecuado del nivel de protección que ofrece un país tercero se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos; en particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate, así como las normas profesionales y las medidas de seguridad en vigor en dichos países”.
En relación con este nivel adecuado de protección de datos, debe recordarse que, Estados Unidos carece de una norma específica en materia de protección de datos que garantice los principios consagrados en la citada Directiva, tal y como si ocurre en otros países como Suiza, Canadá, Suiza, Andorra, Israel, Uruguay o Nueva Zelanda, entre otros.
En este punto, hasta hoy se consideraba que las empresas adheridas a los principios del Safe Harbor, de conformidad con la Decisión 2000/520/CE de la Comisión de 26 de julio de 2000, ofrecían garantías adecuadas en materia de protección de datos. Para adherirse al Safe Harbor, las empresas debían certificar ante el Departamento de Comercio de Estados Unidos que cumplían con los estándares de protección de datos exigidos por la Unión Europea, debiendo renovar este certificado anualmente.
Así las cosas, el Tribunal de Justicia de la Unión Europea entiende que el sistema “únicamente es aplicable a las entidades estadounidenses que se han adherido a él, de modo que las autoridades públicas estadounidenses no están sometidas a dicho régimen”, adicionalmente se considera que las exigencias de seguridad nacional, interés público y de observancia de la normativa propia de Estados Unidos (entre otras la Patriot Act) prevalecen sobre el propio Safe Harbor, viéndose las empresas adheridas “obligadas a dejar de aplicar, sin limitación, las reglas de protección previstas por este régimen cuando entren en conflicto con las citadas exigencias”.
En este sentido, el Tribunal de Justicia entiende que las autoridades estadounidenses podrían acceder a los datos personales trasferidos desde los Estados miembros de la Unión Europea, pudiendo tratarlos para de manera incompatible con las finalidades del tratamiento originario, careciendo las personas afectadas de instrumentos jurídicos que les posibilitaran ejercitar sus derechos de acceso, rectificación y cancelación, entre otros aspectos. Cuestiones que lesionan el contenido del derecho fundamental respecto de la vida privada de las personas, y por tanto de la protección de sus datos personales, vulnerándose, igualmente, el derecho fundamental a la tutela judicial efectiva, en tanto no se prevén acciones jurídicas específicas para garantizar este derecho erga omnes. En este aspecto, en el Anexo IV de la Decisión 2000/520 se establece que “si la legislación estadounidense establece una obligación en contrario, las entidades deben cumplirla, dentro o fuera del ámbito de los principios de puerto seguro”.
A mayor abundamiento, el Tribunal de Justicia de la Unión Europea entiende que la citada Decisión 2000/520/CE privaba a las Autoridades Nacionales de Control de sus facultades, considerando que “la Comisión carecía de competencia para restringir de ese modo las facultades de las Autoridades Nacionales de Control”.
Debe recordarse que en relación con la realización de Transferencias Internacionales de Datos que nuestra Ley Orgánica 15/1999, de 13 de diciembre de protección de datos carácter personal, en su artículo 33.1, establece que “no podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas”.
Mismo concepto recogido en el art. 26.2 de la Directiva 95/46, donde se establece que “los Estados miembros podrán autorizar una transferencia o una serie de transferencias de datos personales a un tercer país que no garantice un nivel de protección adecuado con arreglo al apartado 2 del artículo 25, cuando el responsable del tratamiento ofrezca garantías suficientes respecto de la protección de la vida privada, de los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los respectivos derechos; dichas garantías podrán derivarse, en particular, de cláusulas contractuales apropiadas”.
Según se hacía eco el Parlamento Europeo en su comunicado de prensa, Claude Moraes Presidente de la Comisión Libertades Civiles del Parlamento Europeo, afirmaba que la Comisión Europea debe suspender inmediatamente el marco de Safe Harbor con Estados Unidos e iniciar un nuevo marco de protección de datos que garantice los derechos fundamentales y la privacidad de los ciudadanos europeos.
Tras la importante Sentencia del Tribunal de Justicia de la Unión Europea, las empresas adheridas al Safe Harbor deberán proceder a regularizar las TID, de cara a poder seguir tratando los datos personales, garantizando un nivel adecuado de protección para las personas, observando las exigencias establecidas en la normativa europea de protección de datos. En este nuestra normativa nacional establece, junto con la autorización del Director de la Agencia Española de Protección de Datos, determinadas excepciones (ex artículo 34 LOPD), entre otras, cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista, cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado, cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
Estos aspectos ponen de manifiesto la necesidad de que las empresas deben seguir avanzando en la implantación de sistemas de cumplimiento innovadores que posibiliten conciliar su actividad empresarial con la adopción de mecanismos y procedimientos que aseguren la confidencialidad, integridad y seguridad de los datos, respetando el derecho de las personas sobre su información personal y garantizando el cumplimiento normativo.
