DATOS PERSONALES

La Decisión de Puerto seguro es inválida y atenta contra los derechos fundamentales de los habitantes de la Unión Europea

Tribuna

1. Hechos.

Maximillian Schrems, un ciudadano austriaco, es un usuario de la plataforma Facebook desde 2008. Como resulta habitual en relación con los usuarios residentes en la Unión Europea, una parte o la totalidad de los datos que facilitan a Facebook es transferida desde la filial irlandesa de Facebook hacia servidores localizados en los Estados Unidos, donde son tratados. 

El 25 de junio de 2013, el señor Schrems formuló una demanda ante la autoridad supervisora irlandesa (el Comisario de Protección de Datos) con base en el hecho de que a la luz de las revelaciones realizadas por Edward Snowden en 2013, sobre las actividades de los servicios de inteligencia de los Estados Unidos (NSA, y otros), la ley y las prácticas vigentes en dicho país no ofrecían protección suficiente contra la vigilancia de los datos transferidos desde la Unión Europea por parte de las autoridades públicas. 

El supervisor irlandés rechazó la demanda basándose en la decisión de 26 de julio de 2000, en la que se señalaba que bajo el “esquema de puerto seguro” los Estados Unidos aseguraban un nivel de protección de los datos de carácter personal transferidos adecuado y satisfactorio (la “Decisión de puerto seguro”). 

El señor Schrems recurrió ante la High Court de Irlanda, que consideró que la cuestión planteada en esta acción estaba estrechamente vinculada con la normativa comunitaria ya que, en su opinión, la Decisión de Puerto seguro no cumplía con los principios considerados en las sentencias dictadas en los asuntos C-293/12 y C-594/12. 

El 17 de Julio de 2014, la High Court de Irlanda, remitió las siguientes cuestiones prejudiciales al Tribunal de Justicia (TJ) para obtener una respuesta aclaratoria al respecto: 

“1) En el marco de la resolución de una reclamación presentada ante el comisario, en la que se afirma que se están transmitiendo datos personales a un tercer país (en el caso de autos, Estados Unidos) cuya legislación y práctica no prevén una protección adecuada de la persona sobre la que versan los datos, ¿está vinculado dicho comisario en términos absolutos por la declaración comunitaria en sentido contrario contenida en la Decisión 2000/520, habida cuenta de los artículos 7, 8 y 47 de la Carta y no obstante lo dispuesto en el artículo 25, apartado 6, de la Directiva 95/46/CE? 

2) En caso contrario, ¿puede o debe realizar dicho comisario su propia investigación del asunto a la luz de la evolución de los hechos que ha tenido lugar desde que se publicó por vez primera la Decisión 2000/520?” 

De acuerdo con la Opinión del Abogado General (Yves Bot), una compañía, por el mero hecho de contar con una certificación de Puerto seguro, no cumple de forma automática con los requisitos para transferencias de datos establecidos en la directiva comunitaria en materia de protección de datos. 

Este argumento ya estaba presente en la Comunicaciones COM(2013) 846 y COM(2013) 847. 

2. Pronunciamientos.

El 6 de octubre de 2015, el TJ falló que la Decisión de Puerto seguro es inválida, y que la autoridad supervisora irlandesa debería haber analizado la reclamación del señor Schrems de forma detallada y diligentemente para determinar si la transferencia de datos por parte de la filial europea de Facebook a servidores de Facebook en Estados Unidos era conforme con los principios de protección de datos y con la protección de los derechos fundamentales de los ciudadanos comunitarios, habida cuenta la existencia de pruebas que sugerían que las prácticas seguidas en aquel país no garantizaban un nivel de protección adecuado de los datos de carácter personal del señor Schrems. 

3. Comentario.

Considerando que la High Court de Irlanda fue el tribunal que planteó la cuestión prejudicial que ha dado lugar a esta decisión, seguramente será el primer órgano judicial que decida si las compañías estadounidense deberán (a) recopilar y procesar todos los datos de carácter personal de los ciudadanos comunitarios dentro de la Unión Europea; o (b) comprometerse a proteger efectivamente los datos de carácter personal de los ciudadanos comunitarios, evitando cualquier acceso o injerencia por parte de las agencias de inteligencia de los Estados Unidos. 

Las conclusiones alcanzadas por el TJ en relación con el Puerto seguro también serían aplicables a las compañías que operan bajo un sistema de BCR (Binding Corporate Rules) o esquemas de contratos modelo. 

Por otro lado, el artículo 26 de la Directiva 95/46 establece las excepciones en las que las compañías estadounidenses podrían ampararse a la hora de seguir tratando datos de ciudadanos comunitarios (ej.: el consentimiento del sujeto del tratamiento, la necesidad de transferir los datos para ejecutar un contrato suscrito con el sujeto del tratamiento, etc.). 

Esta resolución del TJ es una llamada de aviso a las compañías extranjeras que tratan datos de carácter personal de ciudadanos comunitarios, para que protejan dichos datos de conformidad con estándares razonables desde el punto de vista de la normativa comunitaria en la materia.

(Fuente de la información: ANUARIO ELZABURU 2015, recopilatorio de comentarios de jurisprudencia europea en materia de Derecho de Propiedad Industrial e Intelectual que realiza Elzaburu).  

Documento citado: 

-  DIRECTIVA 95/46/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

ENGLISH VERSION

The Safe Harbour Decision is invalid and attacks the fundamental rights of European Union citizens. Judgment of the Court of Justice of 6 October 2015, Schrems (C-362/14).

1. Background.

Maximillian Schrems, an Austrian national, has been a Facebook user since 2008. It is usual practice for some or all of the personal data of users residing in the European Union to be transferred from Facebook’s Irish subsidiary to servers located in the United States, where it undergoes processing. 

On 25 June 2013, Mr. Schrems made a complaint to the Irish supervisory authority (the Data Protection Commissioner) on the grounds that, in light of the revelations made by Edward Snowden in 2013 concerning the United States intelligence services (the NSA and others), the law and practice in force in that country did not ensure adequate protection by the public authorities of the personal data transferred there from the EU. 

The Irish Commissioner rejected the complaint on the basis of the decision of 26 July 2000, according to which under the “safe harbour scheme”, the United States ensured an adequate and satisfactory level of protection of the personal data that is transferred (the “Safe Harbour Decision”). 

Mr. Schrems lodged an appeal with the Irish High Court, which considered that the issue raised in those proceedings tied in closely with EU law since, in its view, the Safe Harbour Decision did not satisfy the requirements established in the judgments rendered in cases C-293/12 and C-594/12, EU:C:2014:238. 

On 17 July 2014, the Irish High Court referred the following questions to the Court of Justice (CJ) in order to obtain clarification on the subject: 

“1) Whether in the course of determining a complaint which has been made to an independent office holder who has been vested by statute with the functions of administering and enforcing data protection legislation that personal data is being transferred to another third country (in this case, the United States of America) the laws and practices of which, it is claimed, do not contain adequate protections for the data subject, that office holder is absolutely bound by the Community finding to the contrary contained in [Decision 2000/520] having regard to Article 7, Article 8 and Article 47 of [the Charter], the provisions of Article 25(6) of Directive [95/46] notwithstanding? 

2) Or, alternatively, may and/or must the office holder conduct his or her own investigation of the matter in the light of factual developments in the meantime since that Commission decision was first published?” 

In the Opinion of the Advocate General (Yves Bot), the fact that an undertaking holds a safe harbour certification does not mean that it automatically satisfies the personal data transfer requirements established in the Community Directive on data protection. 

This argument had previously been put forward in Communications COM(2013) 846 and COM(2013) 847. 

2. Findings.

On 6 October 2015, the CJ ruled that the Safe Harbour Decision was invalid, and that the Irish supervisory authority should have thoroughly and diligently examined Mr. Schrems’ complaint in order to determine whether the transfer of personal data by Facebook’s European subsidiary to Facebook servers in the United States was in conformity with data protection principles and the protection of the fundamental rights of EU citizens, in view of the evidence that suggested that the practices in that country did not ensure an adequate level of protection of Mr. Schrems’ personal data. 

3. Remarks.

Considering that the Irish High Court was the court that made the reference for a preliminary ruling which gave rise to this decision, it will likely be the first court to decide whether US companies will have to: (a) compile and process all personal data on EU citizens within the European Union; or (b) undertake to effectively protect EU citizens’ personal data, by preventing the US intelligence agencies from accessing or interfering with same. 

The CJ’s conclusions on safe harbour will also likely apply to undertakings that operate under a BCR (Binding Corporate Rules) or model contract scheme system. 

However, Art. 26 of  Directive 95/46 establishes the exceptions on which US companies could rely when it comes to continuing to process EU citizens’ personal data (for example, the consent of the data subject, the need to transfer the data in order to perform a contract entered into with the data subject, etc.). 

This decision by the CJ sends out a warning to foreign companies which process EU citizens’ personal data, whereby they must protect such data in accordance with reasonable standards from the standpoint of the pertinent EU laws. 


ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación