Tras analizar la sentencia del TJUE de 16 de julio de 2020, mediante la que se anula el Acuerdo de intercambio de datos personales entre Europa y Estados Unidos, desde Kalaman extraemos las siguientes conclusiones más relevantes, en relación a cada una de las cuestiones prejudiciales planteadas.
Las cuestiones prejudiciales que el TJUE viene a resolver se derivan de la causa principal por la que un ciudadano austriaco, usuario de la Red Social Facebook, interpone un recurso ante la High Court (Tribunal Superior, Irlanda) tras la desestimación de la reclamación planteada por la que solicitaba que se prohibiera a Facebook Ireland, filial de Facebook INC, que a su vez está establecida en Estados Unidos, la transferencia de sus datos personales a Estados Unidos, ya que el derecho estadounidense obliga a Facebook INC a poner los datos personales a disposición de las autoridades estadounidenses, como la National Security Agency (NSA) y la Federal Bureau of Investigation (FBI).
El Tribunal Superior plantea las siguientes cuestiones al TJUE:
PRIMERA.- La primera cuestión prejudicial plantea si el artículo 2 apartados 1 y 2, letras a), b) y d) del RGPD aplica a la transferencia de datos personales realizada por un operador económico establecido en un Estado miembro a otro operador económico establecido en un país tercero cuando, en el transcurso de esa transferencia o tras ella, esos datos puedan ser tratados por las autoridades de ese país tercero con fines de seguridad nacional, defensa y seguridad del Estado.
En primer lugar dicho artículo establece lo siguiente:
- El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
- El presente Reglamento no se aplica al tratamiento de datos personales:
a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;
b) por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE;
(…)
d) por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.
El Tribunal afirma que dicha transferencia de datos no queda excluida del ámbito de aplicación del RGPD, por lo que queda comprendida dentro del ámbito de aplicación del RGPD la transferencia de datos personales realizada con fines comerciales por un operador económico establecido en un Estado Miembro (EM) a otro operador económico establecido en un país tercero, a pesar de que esos datos puedan ser tratados por las autoridades del país tercero con fines de seguridad nacional.
SEGUNDA.- Se solicita al TJUE que precise los elementos que han de tomarse en consideración a efectos de determinar si se está garantizando el nivel de protección establecido en el artículo 46 apartados 1 y 2, letra c) del RGPD:
- “A falta de decisión con arreglo al artículo 45, apartado 3, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.
- Las garantías adecuadas con arreglo al apartado 1 podrán ser aportadas, sin que se requiera ninguna autorización expresa de una autoridad de control, por:
(…)
c) cláusulas tipo de protección de datos adoptadas por la Comisión de conformidad con el procedimiento de examen a que se refiere el artículo 93, apartado 2;”
Respecto a dicha cuestión el Tribunal concluye que esas garantías adecuadas deben asegurar que las personas cuyos datos personales se transfieren a un país tercero sobre la base de cláusulas tipo de protección de datos gocen, como en el marco de una transferencia basada en una decisión de adecuación, de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión.
El artículo 46, apartados 1 y 2, letra c), del RGPD debe interpretarse en el sentido de que las garantías adecuadas, los derechos exigibles y las acciones legales efectivas requeridas por dichas disposiciones deben garantizar que los derechos de las personas cuyos datos personales se transfieren a un país tercero sobre la base de cláusulas tipo de protección de datos gozan de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión por el referido Reglamento, interpretado a la luz de la Carta. A tal efecto, la evaluación del nivel de protección garantizado en el contexto de una transferencia de esas características debe, en particular, tomar en consideración tanto las estipulaciones contractuales acordadas entre el responsable o el encargado del tratamiento establecidos en la Unión y el destinatario de la transferencia establecido en el país tercero de que se trate como, por lo que atañe a un eventual acceso de las autoridades públicas de ese país tercero a los datos personales de ese modo transferidos, los elementos pertinentes del sistema jurídico de dicho país y, en particular, los mencionados en el artículo 45, apartado 2, del referido Reglamento.
Artículo 45, apartado 2 RGPD:
“a) el Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales, la legislación pertinente, tanto general como sectorial, incluida la relativa a la seguridad pública, la defensa, la seguridad nacional y la legislación penal, y el acceso de las autoridades públicas a los datos personales, así como la aplicación de dicha legislación, las normas de protección de datos, las normas profesionales y las medidas de seguridad, incluidas las normas sobre transferencias ulteriores de datos personales a otro tercer país u organización internacional observadas en ese país u organización internacional, la jurisprudencia, así como el reconocimiento a los interesados cuyos datos personales estén siendo transferidos de derechos efectivos y exigibles y de recursos administrativos y acciones judiciales que sean efectivos;
b) la existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país o a las cuales esté sujeta una organización internacional, con la responsabilidad de garantizar y hacer cumplir las normas en materia de protección de datos, incluidos poderes de ejecución adecuados, de asistir y asesorar a los interesados en el ejercicio de sus derechos, y de cooperar con las autoridades de control de la Unión y de los Estados miembros, y
c) los compromisos internacionales asumidos por el tercer país u organización internacional de que se trate, u otras obligaciones derivadas de acuerdos o instrumentos jurídicamente vinculantes, así como de su participación en sistemas multilaterales o regionales, en particular en relación con la protección de los datos personales.”
TERCERA.- Se plantea si debe interpretarse que las autoridades de control competentes en cada EM están obligadas a suspender o prohibir una transferencia de datos personales a un país tercero basada en cláusulas tipo de protección de datos adoptadas por la Comisión cuando esa autoridad de control considera que dichas cláusulas no se respetan o no pueden respetarse en ese país tercero y que la protección de los datos transferidos exigida por el Derecho de la Unión, en particular, por los artículos 45 y 46 del RGPD y por la Carta, no puede garantizarse, o en el sentido de que el ejercicio de esas facultades está limitado a supuestos excepcionales.
Las autoridades de control tienen como misión principal controlar la aplicación del RGPD y velar por su cumplimiento. El ejercicio de esta misión tiene una especial importancia en el contexto de una transferencia de datos personales a un país tercero, dado que, como se desprende del propio tenor del considerando 116 del referido Reglamento, «cuando los datos personales circulan a través de las fronteras hacia el exterior de la Unión se puede poner en mayor riesgo la capacidad de las personas físicas para ejercer los derechos de protección de datos, en particular con el fin de protegerse contra la utilización o comunicación ilícitas de dicha información». En ese supuesto, tal como se precisa en ese mismo considerando, «es posible que las autoridades de control se vean en la imposibilidad de tramitar reclamaciones o realizar investigaciones relativas a actividades desarrolladas fuera de sus fronteras».
Dichas autoridades están obligadas, en virtud del artículo 58, apartado 2, letras f) y j), del mencionado Reglamento, a suspender o prohibir una transferencia de datos personales a un país tercero si considera, a la luz de todas las circunstancias que rodean a esa transferencia, que las cláusulas tipo de protección de datos no se respetan o no pueden ser respetadas en ese país tercero y que la protección de los datos transferidos exigida por el Derecho de la Unión no puede garantizarse mediante otros medios, si el responsable o el encargado del tratamiento establecidos en la Unión no ha suspendido la transferencia o puesto fin a esta por sí mismos.
Sin embargo, es importante señalar que las facultades de la autoridad de control competente están sujetas al pleno cumplimiento de la Decisión mediante la cual la Comisión constata, en su caso, en aplicación del artículo 45, apartado 1, frase primera, del RGPD, que un tercer país determinado garantiza un nivel de protección adecuado.
En definitiva, el artículo 58, apartado 2, letras f) y j), del RGPD debe interpretarse en el sentido de que, a no ser que exista una decisión de adecuación válidamente adoptada por la Comisión (como es la Decisión 2016/1250, respecto a Estados Unidos), la autoridad de control competente está obligada a suspender o prohibir una transferencia de datos a un país tercero basada en cláusulas tipo de protección de datos adoptadas por la Comisión cuando esa autoridad de control considera, a la luz de todas las circunstancias específicas de la referida transferencia, que dichas cláusulas no se respetan o no pueden respetarse en ese país tercero y que la protección de los datos transferidos exigida por el Derecho de la Unión, en particular, por los artículos 45 y 46 del RGPD y por la Carta, no puede garantizarse mediante otros medios.
CUARTA.- Otra de las cuestiones prejudiciales plantea si la Decisión CPT, en la que se recogen las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, ofrece garantías suficientes con respecto a la protección de la vida privada y los derechos y libertades fundamentales de las personas.
El Tribunal afirma que, aunque dichas clausulas son obligatorias para el responsable del tratamiento y el destinatario de la transferencia de dato personales establecido en un país tercero, dichas clausulas no vinculan a las autoridades de ese país tercero, al nos ser éstos últimos partes del contrato. No obstante, la propia Decisión CPT establece que si la legislación de un país tercero no permite cumplir con las cláusulas tipo de protección de datos, se deriva que los datos que hayan sido transferidos a ese país tercero y sus copias deben ser devueltos o destruidos en su totalidad. Por tanto, el Tribunal concluye que la Decisión CPT contiene mecanismos efectivos que permiten en la práctica garantizar que la transferencia de datos personales a un país tercero, se prohíba o suspenda cuando al destinatario no le resulte posible garantizar el cumplimiento de dichas cláusulas.
QUINTA.- Por último, en relación a la Decisión 2016/1250 de la Comisión que declaraba el nivel adecuado de protección del esquema del Escudo de Privacidad (Privacy Shield) para las transferencias internacionales de datos a EEUU (en adelante, Decisión EP), se plantea si el Derecho de los Estados Unidos garantiza efectivamente el nivel de protección adecuado exigido en el RGPD a la luz de la Carta Derechos Fundamentales de la UE.
El Tribunal de Justicia ya ha declarado que la comunicación de datos de carácter personal a un tercero, como una autoridad pública, constituye una injerencia en los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta, cualquiera que sea la utilización posterior de la información comunicada. No obstante, los derechos consagrados en los artículos 7 y 8 de la Carta no constituyen prerrogativas absolutas, sino que deben considerarse según su función en la sociedad.
El Tribunal Concluye que la normativa de Estados Unidos relativa a los programas de inteligencia para la recopilación de datos no cumplen el principio de proporcionalidad, ni se ajustan a los principios de la Carta de Derechos Fundamentales de la UE. Además se analiza la figura del Defensor del Pueblo contemplada en la Decisión EP, con el fin de comprobar si cumple con el principio de tutela judicial efectiva. Se concluye que dicho Defensor no está facultado para adoptar decisiones vinculantes respecto a reclamaciones planteadas por los interesados y que además no está garantizada su independencia respecto al poder ejecutivo, dado que no se establecen garantías ante su posible destitución o anulación de su nombramiento.
Se declara que la decisión EP es inválida. Por lo que en casos de transferencia de datos personales a países terceros en ausencia de tal decisión estará condicionada a los establecido en los artículos 45.3 y 46 del RGPD.
