Decisión 2000/520

Este elemento es un complemento de los cursos y guías de Lawi. Ofrece hechos, comentarios y análisis sobre este tema. [aioseo_breadcrumbs]

Conclusiones del Abogado General sobre la Validez de la Decisión 2000/520

Sobre los elementos que deben tenerse en cuenta para evaluar la validez de la Decisión 2000/520 de la Unión Europea, el siguiente texto está basado en las Conclusiones del Abogado General de la Unión Europea, en una célebre sentencia sobre transferencia de datos de los usuarios de Facebook:

•  Conviene recordar la jurisprudencia según la cual «en el marco de un recurso de anulación, la legalidad de un acto debe apreciarse a la luz de los elementos de hecho y de Derecho existentes en la fecha en que se adoptó este acto, pudiendo únicamente ser censurada la valoración de la Comisión si se revela manifiestamente errónea a la vista de los elementos de que disponía al adoptar dicho acto» (C‑247/08, EU:C:2009:600).
• En su sentencia Gaz de France — Berliner Investissement, (Apartado 49) el Tribunal de Justicia recordó el principio según el cual «la apreciación de la validez de un acto, apreciación que debe efectuar el Tribunal de Justicia en el marco de una remisión prejudicial, normalmente debe basarse en la situación que existe en el momento de la adopción de ese acto» (Apartado 50 y jurisprudencia citada). Véase, en este sentido, Lenaerts, K., Maselis, I., y Gutman, K., EU Procedural Law, Oxford University Press, 2014, que indican que, «in certain cases, the validity of the particular Union measure can be assessed by reference to new factors arising after that measure was adopted, depending on the determination of the Court» (punto 10.16, p. 471).
  

  Puntualización

  Sin embargo, pareció admitir que «la validez de un acto pueda, en ciertos casos, apreciarse en función de elementos nuevos que hayan tenido lugar con posterioridad a su adopción». Véase la página 5 del documento de trabajo WP 12 de la Comisión, titulado «Transferencias de datos personales a terceros países: aplicación de los artículos 25 y 26 de la Directiva sobre protección de datos de la UE», adoptado el 24 de julio de 1998 por el Grupo de trabajo sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales.

• La posibilidad enunciada por el Tribunal de Justicia le parece, al Abogado General, particularmente pertinente en el caso de autos.
• En efecto, las decisiones adoptadas por la Comisión sobre la base del artículo 25, apartado 6, de la Directiva 95/46, presentan características particulares. Tienen por objeto evaluar si el nivel de protección de datos personales que ofrece un país tercero es o no adecuado. Se trata de una apreciación que está abocada a evolucionar en función del contexto circunstancial y jurídico vigente en el país tercero.
• Habida cuenta de que la decisión de adecuación constituye un tipo de decisión particular, es preciso matizar en el caso de autos el principio de que la apreciación de su validez únicamente se puede efectuar en función de la situación existente en la fecha de su adopción. (Tal vez sea de interés más investigación sobre el concepto). De lo contrario, tal norma tendría entrañaría que, varios años después de la adopción de una decisión de adecuación, el Tribunal de Justicia de la Unión Europea no podría tomar en consideración a la hora de valorar su validez acontecimientos acaecidos con posterioridad, y ello aun cuando tal remisión prejudicial para apreciar la validez no tenga límite temporal y se haya planteado precisamente a raíz del acaecimiento de hechos posteriores que ponen de manifiesto las deficiencias del acto impugnado.
• En el caso de autos, el mantenimiento en vigor de la Decisión 2000/520 desde hace unos quince años atestigua que la Comisión confirma implícitamente la evaluación que llevó a cabo en el año 2000. Por tanto, cuando, en el marco de una cuestión prejudicial, el Tribunal de Justicia deba examinar la validez de una evaluación mantenida en el tiempo por la Comisión, no solo es posible, sino también apropiado, que pueda confrontar dicha evaluación a los nuevos acontecimientos que se hayan producido tras la adopción de la decisión de adecuación.
• Habida cuenta de la particular naturaleza de la decisión de adecuación, ésta debe ser objeto, (en opinión del Abogado General), de una revisión periódica por parte de la Comisión. (Tal vez sea de interés más investigación sobre el concepto). Si, tras el acaecimiento de nuevos acontecimientos que se hayan producido entretanto, la Comisión no modifica su decisión, se entenderá que confirma implícita, pero necesariamente, la apreciación efectuada inicialmente. De este modo, reitera su declaración según la cual el país tercero de que se trata garantiza un nivel de protección adecuado de los datos personales transferidos. Corresponde al Tribunal de Justicia examinar si dicha declaración sigue siendo válida a pesar de los acontecimientos acaecidos con posterioridad.
• Por consiguiente, en opinión del Abogado General, para garantizar un control jurisdiccional efectivo de este tipo de decisiones, la apreciación de su validez debe realizarse teniendo en cuenta el contexto fáctico y jurídico vigente.

Sobre el concepto de nivel de protección adecuado

• El artículo 25 de la Directiva 95/46 se basa íntegramente en el principio según el cual no pueden transferirse datos personales a un país tercero si éste no garantiza un nivel de protección adecuado de tales datos. El objetivo de dicho artículo es, por tanto, garantizar la continuidad de la protección conferida por dicha Directiva en caso de transferencia de datos personales a un país tercero. A este respecto, conviene recordar que dicha Directiva ofrece un alto nivel de protección de los ciudadanos de la Unión en lo que respecta al tratamiento de sus datos personales.
• Atendiendo al importante papel que desempeña la protección de los datos personales en lo que atañe al derecho fundamental al respeto de la vida privada, debe garantizarse, por tanto, ese alto nivel de protección incluso en caso de transferencia de datos personales a un país tercero.
• Por ello considera el Abogado General que la Comisión únicamente puede declarar, sobre la base del artículo 25, apartado 6, de la Directiva 95/46, que un país tercero garantiza un nivel de protección adecuado si, una vez realizada una evaluación de conjunto del Derecho y de las prácticas vigentes en el país tercero en cuestión, puede afirmar que dicho país tercero garantiza un nivel de protección sustancialmente equivalente al ofrecido por dicha Directiva, aun cuando las modalidades de dicha protección puedan diferir de las que generalmente se aplican en la Unión.
• Si bien puede entenderse que el término inglés «adequate», desde un punto de vista lingüístico, designa un nivel de protección simplemente satisfactorio o suficiente, y que, en este sentido, pertenece a un campo semántico distinto del término [español] «adecuado», conviene observar (según el Abogado General) que el único criterio que debe guiar la interpretación de dicho término es el objetivo de alcanzar un alto nivel de protección de los derechos fundamentales, como exige la Directiva 95/46.
• El examen del nivel de protección ofrecido por un país tercero deben abordar dos elementos fundamentales, a saber, el contenido de las normas aplicables y los mecanismos para garantizar el respeto de dichas normas. Véase, en especial, la sentencia Fallimento Traghetti del Mediterraneo (C‑140/09, EU:C:2010:335), apartado 22 y la jurisprudencia citada.
• Al parecer del Abogado General, para alcanzar un nivel de protección sustancialmente equivalente al vigente dentro de la Unión, el régimen de puerto seguro, que se fundamenta en gran medida en la autocertificación y la autoevaluación de las empresas que se adhieren voluntariamente a dicho régimen, debe ir acompañado de garantías adecuadas y de un mecanismo de control válido.Entre las Líneas En este sentido, las transferencias de datos personales a países terceros no deben ser objeto de una protección inferior a la que se aplica a los tratamientos de datos realizados dentro de la Unión Europea.
• A este respecto, cabe señalar, de entrada, que, en la Unión Europea, rige la idea de que un mecanismo de control externo, que revista la forma de una autoridad independiente, constituye un elemento necesario de todo sistema que tenga por objeto garantizar el respeto de la legislación relativa a la protección de datos personales.
• Además, para garantizar el efecto útil del artículo 25, apartados 1 a 3, de la Directiva 95/46, conviene tener en cuenta que el carácter adecuado del nivel de protección ofrecido por un país tercero es una situación cambiante que puede variar a lo largo del tiempo en función de diversos de factores. Los Estados miembros y la Comisión deben, por consiguiente, estar alerta ante cualquier cambio en las circunstancias que pueda exigir una reconsideración del carácter adecuado del nivel de protección ofrecida por un país tercero. La apreciación del carácter adecuado del nivel de dicha protección no puede circunscribirse en ningún caso a una fecha concreta y mantenerse posteriormente de forma indefinida, al margen de todo cambio de circunstancias que demuestre que, en realidad, el nivel de protección ofrecido ya no es adecuado.
• La obligación que tiene el país tercero de garantizar un nivel de protección adecuado constituye, por tanto, una obligación permanente. Si la evaluación se lleva a cabo en una fecha concreta, el mantenimiento de la decisión de adecuación presupone que, desde entonces, no se ha producido ninguna circunstancia que ponga en duda la evaluación inicial efectuada por la Comisión.
• En efecto, no hay que olvidar que el objetivo del artículo 25 de la Directiva 95/46 es en todo caso el de evitar que los datos de carácter personal sean transferidos a un país tercero que no garantiza un nivel de protección adecuado, en vulneración del derecho fundamental a la protección de datos personales garantizado por el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea.
• Es importante recalcar que la facultad que el legislador de la Unión atribuye a la Comisión Europea, en virtud del artículo 25, apartado 6, de la Directiva 95/46, de hacer constar que un país tercero garantiza un nivel de protección adecuado está expresamente sujeta a la condición de que dicho país tercero garantice un nivel de protección adecuado, en el sentido del apartado 2 de dicho artículo. Si concurren nuevas circunstancias que puedan desvirtuar la evaluación inicial de la Comisión, ésta deberá adaptar su decisión en consecuencia.

Análisis de la Validez de la Decisión 2000/520

• Procede recordar que, en virtud del artículo 25, apartado 6, de la Directiva 95/46, «la Comisión podrá hacer constar, de conformidad con el procedimiento previsto en el apartado 2 del artículo 31, que un país tercero garantiza un nivel de protección adecuado de conformidad con el apartado 2 del presente artículo, a la vista de su legislación interna o de sus compromisos internacionales, suscritos especialmente al término de las negociaciones mencionadas en el apartado 5, a efectos de protección de la vida privada o de las libertades o de los derechos fundamentales de las personas». Leído en relación con el artículo 25, apartado 2, de dicha Directiva, el artículo 25, apartado 6, de ésta indica que, para hacer constar que un país tercero garantiza un nivel de protección adecuado, la Comisión debe llevar a cabo una evaluación de conjunto de las normas de Derecho vigentes en el país tercero y de su aplicación.
• Anteriormente se ha indicado que el mantenimiento por la Comisión de su Decisión 2000/520, a pesar de la concurrencia de elementos fácticos y jurídicos nuevos, debe entenderse como una voluntad por su parte de confirmar su evaluación inicial.
• No corresponde al Tribunal de Justicia, en el marco de una remisión prejudicial, examinar los hechos que originaron el litigio que condujo al órgano jurisdiccional nacional a llevar a cabo dicha remisión prejudicial. (Véase, en especial, la sentencia Fallimento Traghetti del Mediterraneo (C-140/09, EU:C:2010:335), apartado 22 y la jurisprudencia citada)
• Por consiguiente, el Abogado General se basará en los hechos expuestos por el órgano jurisdiccional remitente en su petición de decisión prejudicial, hechos que, por lo demás, la Comisión considera, en términos generales, probados. Véanse la Comunicación de la Comisión citada en la nota 2 y la Comunicación de la Comisión al Parlamento Europeo y al Consejo sobre el funcionamiento del puerto seguro desde la perspectiva de los ciudadanos de la UE y las empresas establecidas en la UE [COM(2013) 847 final]
• Las alegaciones formuladas ante el Tribunal de Justicia para impugnar la evaluación de la Comisión según la cual el régimen de puerto seguro garantiza un nivel de protección adecuado de los datos personales transferidos desde la Unión a Estados Unidos pueden describirse de la siguiente manera.
• En su petición de decisión prejudicial, el órgano jurisdiccional remitente parte de los dos hechos siguientes. Por una parte, los datos personales transferidos por empresas como Facebook Ireland a su sociedad matriz establecida en Estados Unidos pueden ser posteriormente susceptibles de ser consultados por la NSA y otras agencias de seguridad estadounidenses en el marco de actividades de vigilancia e interceptación masivas e indiferenciadas.Entre las Líneas En efecto, en la estela de las revelaciones del Sr. Snowden, las pruebas disponibles no admiten ninguna otra conclusión realista. (Apartado 7, letra c), de la resolución de remisión) Por otra parte, los ciudadanos de la Unión Europea no tienen un derecho efectivo a ser oídos en relación con la vigilancia y la interceptación de sus datos por parte de la NSA y otras agencias de seguridad estadounidenses. (Apartado 7, letra b), de la resolución de remisión).
• La determinación de los hechos llevada a cabo por la High Court de Irlanda a este respecto está respaldada por las observaciones formuladas por la propia Comisión.
• En este sentido, en su Comunicación sobre el funcionamiento del puerto seguro desde la perspectiva de los ciudadanos de la Unión y las empresas establecidas en su territorio, antes citada, la Comisión partió del postulado de que, durante el año 2013, ciertas informaciones sobre la magnitud y el alcance de los programas de vigilancia estadounidenses suscitaron preocupación en relación con la continuidad de la protección de los datos personales legalmente transferidos a Estados Unidos en el marco del régimen de puerto seguro. Señaló que aparentemente todas las empresas involucradas en el programa PRISM, y que conceden a las autoridades estadounidenses acceso a los datos almacenados y tratados en Estados Unidos, tienen el certificado de puerto seguro.
• A su parecer, el régimen de puerto seguro ha pasado a ser uno de los conductos a través de los cuales se da acceso a las autoridades de inteligencia estadounidenses para recopilar datos personales que han sido tratados inicialmente en la Unión. (Tal vez sea de interés más investigación sobre el concepto). Véase, en especial, la sentencia Kadi y Al Barakaat International Foundation/Consejo y Comisión (C‑402/05 P y C‑415/05 P, EU:C:2008:461), apartado 284 y jurisprudencia citada.
• De dichos elementos resulta que el Derecho y la práctica de Estados Unidos permiten recopilar, a gran escala, los datos personales de ciudadanos de la Unión que son transferidos en el marco del régimen de puerto seguro, sin que éstos gocen de una tutela judicial efectiva.
• Dichos hechos demuestran, en opinión del Abogado General, que la Decisión 2000/520 no contiene suficientes garantías. Dada tal falta de garantías, la aplicación de dicha Decisión no cumple los requisitos exigidos por la Carta y por la Directiva 95/46.
• Pues bien, una decisión adoptada por la Comisión Europea sobre la base del artículo 25, apartado 6, de la Directiva 95/46 tiene por objeto hacer constar que un país tercero «garantiza» un nivel de protección adecuado. El término «garantiza», conjugado en presente de indicativo, implica que, para que se pueda mantener, tal decisión debe referirse a un país tercero que, tras la adopción de dicha decisión, siga garantizando un nivel de protección adecuado.
• En realidad, las revelaciones invocadas sobre las actuaciones de la NSA, que utiliza datos transferidos en el marco del régimen de puerto seguro, han puesto de manifiesto las deficiencias de la Decisión 2000/520 como base legal.
• Las deficiencias puestas de manifiesto durante el presente procedimiento figuran más concretamente en el anexo I, párrafo cuarto, de dicha Decisión.
• Procede recordar que, con arreglo a dicha disposición, «la adhesión a [los] principios [de puerto seguro] puede, no obstante, limitarse: a) cuanto sea necesario para cumplir las exigencias de seguridad nacional, interés público y cumplimiento de la ley; b) por disposición legal o reglamentaria, o jurisprudencia que originen conflictos de obligaciones o autorizaciones explícitas, siempre que las entidades que recurran a tales autorizaciones puedan demostrar que el incumplimiento de los principios se limita a las medidas necesarias para garantizar los intereses legítimos esenciales contemplados por las mencionadas autorizaciones».

Más sobre el Análisis de la Validez de la Decisión 2000/520

• El problema se origina esencialmente por la aplicación que hacen las autoridades estadounidenses de las excepciones previstas en dicha disposición. (Tal vez sea de interés más investigación sobre el concepto). Dados los términos demasiado generales de su redacción, la aplicación de dichas excepciones por dichas autoridades no se limita a lo estrictamente necesario.
• A dicha redacción en términos demasiado generales se añade la circunstancia de que los ciudadanos de la Unión no disponen de ninguna vía de recurso adaptada contra el tratamiento de sus datos personales con fines distintos de aquellos por los que fueron inicialmente recopilados y posteriormente transferidos a Estados Unidos.
• Las excepciones previstas por la Decisión 2000/520 a la aplicación de los principios del régimen de puerto seguro, en particular por motivos de seguridad nacional, deberían haber ido acompañadas de la creación de un mecanismo de control independiente para evitar las violaciones detectadas del derecho a la vida privada.
• En este sentido, las revelaciones sobre las prácticas de los servicios de inteligencia estadounidenses en lo que atañe a la vigilancia generalizada de los datos transferidos en el marco del régimen de puerto seguro pusieron de manifiesto determinadas deficiencias de la Decisión 2000/520.
• Los hechos que se han expuesto en el marco del presente asunto no constituyen una infracción de los principios del régimen de puerto seguro por parte de Facebook. Puede considerarse que una empresa certificada, como Facebook USA, proporciona a las autoridades estadounidenses acceso a los datos que le han sido transferidos desde un Estado miembro para ajustarse a la legislación estadounidense. Habida cuenta del hecho de que dicha situación se encuentra expresamente reconocida por la Decisión 2000/520, dada la formulación amplia de las excepciones que contiene, la cuestión que realmente se suscita en el caso de autos es si tales excepciones son compatibles con el Derecho primario de la Unión Europea.
• Conviene, a este respecto, recalcar que de reiterada jurisprudencia del Tribunal de Justicia se desprende que el respeto de los derechos humanos constituye un requisito de legalidad de los actos de la Unión y que no pueden admitirse en la Unión medidas incompatibles con el respeto de los derechos humanos. Como en la Sentencia Österreichischer Rundfunk y otros (C‑465/00, C‑138/01 y C‑139/01, EU:C:2003:294), apartado 74.
• En cuanto a si la injerencia puesta de manifiesto responde a un objetivo de interés general, ha de señalarse en primer lugar que, en virtud del anexo I, párrafo cuarto, letra b), de la Decisión 2000/520, la adhesión a los principios de puerto seguro puede limitarse «por disposición legal o reglamentaria, o jurisprudencia que originen conflictos de obligaciones o autorizaciones explícitas, siempre que las entidades que recurran a tales autorizaciones puedan demostrar que el incumplimiento de los principios se limita a las medidas necesarias para garantizar los intereses legítimos esenciales contemplados por las mencionadas autorizaciones».
• Ha de observarse que no se precisan los «intereses legítimos» que se mencionan en dicha disposición. (Tal vez sea de interés más investigación sobre el concepto). Ello genera incertidumbre en cuanto al ámbito de aplicación, que puede ser sumamente amplio, de dicha excepción a la aplicación de los principios del régimen de puerto seguro por las empresas que se adhieren a dicho régimen.
• La lectura de las explicaciones que figuran en el título B del anexo IV de la Decisión 2000/520, titulada «Autorizaciones legales explícitas», confirma esta impresión, en particular la afirmación según la cual «es evidente que, si la legislación estadounidense establece una obligación en contrario, las entidades deben cumplirla, dentro o fuera del ámbito de los principios de puerto seguro».
  

  Otros Elementos

  Por otro lado, con respecto a las autorizaciones explícitas, se indica que «aunque estos principios [de puerto seguro] tienen como finalidad salvar las diferencias entre los regímenes estadounidense y europeo de protección de la intimidad, debemos respetar las facultades legislativas de nuestros legisladores».

• De ello resulta, en opinión del Abogado General, que dicha excepción es contraria a los artículos 7, 8 y 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea, en la medida en que no persigue un objetivo de interés general definido de manera suficientemente precisa.
• En todo caso, la facilidad y la generalidad con las que la propia Decisión 2000/520, en sus anexos I, párrafo cuarto, letra b), y IV B, prevé que se pueden eludir los principios de puerto seguro en aplicación de la legislación estadounidense, son incompatibles con el requisito según el cual las excepciones a las normas relativas a la protección de datos de carácter personal deben limitarse a lo estrictamente necesario. Ciertamente, se menciona el requisito de necesidad, pero, además de que la carga de demostrar que se cumple dicho requisito se atribuye a la empresa, no alcanzo a ver cómo puede una empresa eludir la obligación de apartarse de los principios de puerto seguro derivada de normas de Derecho que está obligada a cumplir.
• Por consiguiente, opina el Abogado General que debe declararse inválida la Decisión 2000/520 en la medida en que la existencia de una excepción que permite de manera tan general e imprecisa eludir los principios del régimen de puerto seguro impide por sí misma considerar que dicho régimen garantiza un nivel de protección adecuado de los datos personales que son transferidos desde la Unión a Estados Unidos.
• Por lo que se refiere a la primera categoría de límites previstos en el anexo I, cuarto párrafo, letra a), de la Decisión 2000/520, para cumplir las exigencias de seguridad nacional, interés público y cumplimiento de la ley estadounidense, solo el primero de los objetivos me parece ser lo suficientemente preciso para ser considerado un objetivo de interés general reconocido por la Unión en el sentido del artículo 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea.

Otros Argumentos del Abogado General

• De lo anterior resulta que la Decisión 2000/520 no establece reglas claras y precisas que regulen el alcance de la injerencia en los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea.
  

  Una Conclusión

  Por lo tanto, debe considerarse que esta Decisión y la aplicación que se hace de ella suponen una injerencia en los derechos fundamentales de gran magnitud y especial gravedad en el ordenamiento jurídico de la Unión, que no está regulada de manera precisa por disposiciones que permitan garantizar que se limita efectivamente a lo estrictamente necesario.

• Por tanto, al adoptar y, posteriormente, mantener en vigor la Decisión 2000/520, la Comisión rebasó los límites que impone el respeto del principio de proporcionalidad con respecto a los artículos 7, 8 y 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea. A ello se añade la constatación de una injerencia no justificada en el derecho de los ciudadanos de la Unión a una tutela judicial efectiva amparado por el artículo 47 de la Carta.
• Por consiguiente, procede declarar la nulidad de dicha Decisión en la medida en que, habida cuenta de las violaciones de los derechos fundamentales anteriormente descritas, no cabe considerar que el régimen de puerto seguro por ella instaurado garantiza un nivel de protección adecuado de los datos de carácter personal transferidos desde la Unión a Estados Unidos con arreglo a dicho régimen.
• Frente a tal constatación de la violación de los derechos fundamentales de los ciudadanos de la Unión, estimo que la Comisión debería haber suspendido la aplicación de la Decisión 2000/520.
• La vigencia de dicha Decisión es de carácter indefinido. Pues bien, el caso de autos demuestra que el carácter adecuado del nivel de protección ofrecido por un país tercero puede evolucionar a lo largo del tiempo en función de la alteración de las circunstancias fácticas y jurídicas subyacentes a la adopción de dicha Decisión.
• Procede señalar que la propia Decisión 2000/520 contiene disposiciones que prevén la posibilidad de que la Comisión adapte su contenido en función de las circunstancias.
• En este sentido, resulta del considerando 9 de dicha Decisión que «el “puerto seguro” creado por los principios y las FAQ puede precisar ser objeto de revisión teniendo en cuenta la experiencia adquirida, las novedades relativas a la protección de la vida privada en circunstancias en que la tecnología hace cada vez más fácil la transferencia y tratamiento de datos personales, y los informes de aplicación elaborados por las autoridades correspondientes».
• Asimismo, en virtud del artículo 3, apartado 4, de dicha Decisión, «si la información recogida con arreglo a los apartados 1 a 3 demuestra que un organismo responsable del cumplimiento de los principios y su aplicación de conformidad con las FAQ en Estados Unidos de América no está ejerciendo su función, la Comisión lo notificará al Departamento de Comercio de Estados Unidos y, si procede, presentará un proyecto de medidas […] a fin de anular o suspender la presente Decisión o limitar su ámbito de aplicación».
• Además, según el artículo 4, apartado 1, de la Decisión 2000/520, ésta «podrá adaptarse en cualquier momento de conformidad con la experiencia resultante de su aplicación o si el nivel de protección establecido por los principios y las FAQ es superado por los requisitos de la legislación estadounidense. La Comisión analizará en todo caso, basándose en la información disponible, la aplicación de la presente Decisión tres años después de su notificación a los Estados miembros e informará de cualquier resultado pertinente al Comité previsto en el artículo 31 de la Directiva 95/46[…], en particular de toda prueba que pueda afectar a la evaluación de que las disposiciones del artículo 1 de la presente Decisión proporcionan protección adecuada a efectos del artículo 25 de la Directiva 95/46/CE». Con arreglo al artículo 4, apartado 2, de la Decisión 2000/520, «la Comisión presentará, si procede, proyectos de medidas de conformidad con el procedimiento establecido en el artículo 31 de la Directiva 95/46».
• La Comisión hizo constar en sus observaciones que existe «una alta probabilidad de que la limitación de la adhesión a los principios de puerto seguro se haya efectuado de manera que ya no cumpla las exigencias estrictamente definidas de la excepción prevista en materia de seguridad nacional». (93) A este respecto, observa que «las revelaciones en cuestión ponen de manifiesto la existencia de una vigilancia indiscriminada a gran escala que no es compatible con el requisito de necesidad previsto en dicha excepción ni, en términos más generales, con el derecho a la protección de datos personales consagrado en el artículo 8 de la Carta». (94) Además, la propia Comisión señaló que «el alcance de estos programas de vigilancia, combinado con la desigualdad de trato de los ciudadanos de la Unión, pone en cuestión el nivel de protección que ofrece el régimen de puerto seguro». Véase, en este sentido, la sentencia Agrarproduktion Staebelow (C‑504/04, EU:C:2006:30), apartado 40.
• Por otro lado, la Comisión reconoció expresamente en la vista que, en el marco de la Decisión 2000/520, tal como se aplica actualmente, no existe ninguna garantía de que vaya a garantizarse el derecho de los ciudadanos de la Unión a la protección de sus datos.
  

  Aviso

  No obstante, según la Comisión, dicho reconocimiento no permite declarar inválida dicha Decisión. (Tal vez sea de interés más investigación sobre el concepto). Si bien la Comisión está de acuerdo con la afirmación según la cual debe actuar en caso de concurrir circunstancias nuevas, considera que adoptó medidas apropiadas y proporcionadas al entablar negociaciones con Estados Unidos con el fin de reformar el régimen de puerto seguro.

• No comparte el Abogado General esta opinión. (Tal vez sea de interés más investigación sobre el concepto).Entre las Líneas En efecto, entretanto, las transferencias de datos de carácter personal a Estados Unidos deben poder suspenderse a iniciativa de las autoridades de control nacionales o en respuesta a denuncias presentadas ante ellas.
• Además, estima el Abogado General que en respuesta a tales constataciones la Comisión debería haber suspendido la aplicación de la Decisión 2000/520.Entre las Líneas En efecto, el objetivo de protección de datos personales perseguido por la Directiva 95/46 y por el artículo 8 de la Carta no solo impone obligaciones a los Estados miembros, sino también a las instituciones de la Unión, como resulta del artículo 51, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea.
• En su evaluación del nivel de protección ofrecido por un país tercero, la Comisión Europea no solo debe examinar la legislación interna y los compromisos internacionales de dicho país, sino también la manera en que se garantiza en la práctica en dicho país tercero la protección de los datos de carácter personal. Si la evaluación de la práctica pone de manifiesto la existencia de disfunciones, la Comisión debe actuar en consecuencia y, en su caso, suspender y/o adaptar sin demora su Decisión.
• Como ya se ha apuntado en las consideraciones anteriores, la obligación que recae sobre los Estados miembros consiste principalmente en garantizar, a través de sus autoridades de control nacionales, el respeto de las normas previstas por la Directiva 95/46.
• La obligación que incumbe a la Comisión es suspender la aplicación de una decisión que ha adoptado sobre la base del artículo 25, apartado 6, de dicha Directiva en caso de constatarse la existencia de incumplimientos por parte del país tercero de que se trate, mientras mantenga con dicho país tercero negociaciones encaminadas a subsanar dichos incumplimientos.
• Tal inacción de la Comisión, que atenta directamente contra los derechos fundamentales protegidos por los artículos 7, 8 y 47 de la Carta, constituye, a mi parecer, un motivo complementario para declarar inválida la Decisión 2000/520 en el marco de la presente remisión prejudicial. Si bien el Tribunal de Justicia consideró en su sentencia T. Port (C‑68/95, EU:C:1996:452) que «el Tratado no ha previsto la posibilidad de una remisión mediante la cual un órgano jurisdiccional nacional pueda solicitar al Tribunal de Justicia que declare con carácter prejudicial la omisión de una Institución» (apartado 53), aparentemente adoptó una postura más favorable frente a dicha posibilidad en su sentencia Ten Kate Holding Musselkanaal y otros (C‑511/03, EU:C:2005:625), apartado 29.

Sentencia del TJUE sobre la Validez de la Decisión 2000/520

En la sentencia arriba señalada sobre transferencia de datos personales, el TJUE llega a las siguientes conclusiones:

Basado en la experiencia de varios autores, mis opiniones, perspectivas y recomendaciones se expresarán a continuación (o en otros lugares de esta plataforma, respecto a las características en 2026 o antes, y el futuro de esta cuestión):

El Tribunal de Justicia recuerda que la Comisión Europea estaba obligada a comprobar si Estados Unidos garantiza efectivamente, en razón de su legislación interna o de sus
compromisos internacionales, un nivel de protección de los derechos fundamentales
sustancialmente equivalente al garantizado en la Unión en virtud de la Directiva, interpretada a la luz de la Carta de los Derechos Fundamentales de la Unión Europea. El Tribunal de Justicia observa que la Comisión no llevó a cabo ese examen, sino que se limitó a analizar el régimen de puerto seguro.

Pues bien, sin que sea necesario que el Tribunal de Justicia compruebe si ese régimen garantiza
un nivel de protección sustancialmente equivalente al garantizado en la Unión, el Tribunal de
Justicia señala que éste únicamente es aplicable a las entidades estadounidenses que se han
adherido a él, de modo que las autoridades públicas estadounidenses no están sometidas a dicho régimen.

Además, las exigencias de seguridad nacional, interés público y cumplimiento de la ley
de Estados Unidos prevalecen sobre el régimen de puerto seguro, de modo que las entidades
estadounidenses están obligadas a dejar de aplicar, sin limitación, las reglas de protección
previstas por ese régimen cuando entren en conflicto con las citadas exigencias. El régimen
estadounidense de puerto seguro posibilita de ese modo injerencias por parte de las autoridades públicas estadounidenses en los derechos fundamentales de las personas, y la Decisión de la Comisión no pone de manifiesto que en Estados Unidos haya reglas destinadas a limitar esas posibles injerencias ni que exista una protección jurídica eficaz contra éstas.

El Tribunal de Justicia considera que ese análisis resulta corroborado por dos Comunicaciones de la Comisión (Comunicación de la Comisión al Parlamento Europeo y al Consejo titulada «Restablecer la confianza en los flujos de datos entre la Unión Europea y los Estados Unidos de América» [COM(2013) 846 final] de 27 de noviembre de 2013, y Comunicación de la Comisión al Parlamento Europeo y al Consejo sobre el funcionamiento del puerto seguro desde la
perspectiva de los ciudadanos de la Unión y las empresas establecidas en la Unión [COM(2013) 847 final] de 27 de noviembre de 2013), de las que resulta que las autoridades estadounidenses podían acceder a los datos personales transferidos a partir de los Estados miembros a ese país y tratarlos de manera incompatible, concretamente, con las finalidades de esa transferencia, yendo más allá de lo que era estrictamente necesario y proporcionado para proteger la seguridad nacional. Del mismo modo, la Comisión consideró que las personas afectadas no disponían de vías jurídicas administrativas o judiciales que les permitieran acceder a los datos que les concernían y obtener, en su caso, su rectificación o supresión.

Por lo que se refiere a un nivel de protección de las libertades y derechos fundamentales
sustancialmente equivalente al garantizado en la Unión Europea, el Tribunal de Justicia de la UE observa que en el Derecho de la Unión Europea una normativa no se limita a lo estrictamente necesario cuando autoriza de forma generalizada la conservación de la totalidad de los datos personales de todas las personas cuyos datos se hayan transferido desde la Unión Europea a Estados Unidos, sin establecer ninguna diferenciación, limitación o excepción en función del objetivo perseguido y sin prever ningún criterio objetivo que permita circunscribir el acceso de las autoridades públicas a los datos y su utilización posterior.

El Tribunal de Justicia europeo añade que debe considerarse que una normativa que permite a las autoridades públicas acceder de forma generalizada al contenido de las comunicaciones electrónicas lesiona el contenido esencial del derecho fundamental al respeto de la vida privada.

Asimismo, el Tribunal de Justicia destaca que una normativa que no prevé posibilidad alguna de
que el justiciable ejerza acciones en Derecho para acceder a los datos personales que le
conciernen o para obtener su rectificación o supresión vulnera el contenido esencial del
derecho fundamental a la tutela judicial efectiva, cuando esa posibilidad es inherente a la
existencia del Estado de Derecho.

Finalmente, el Tribunal de Justicia declara que la Decisión de la Comisión de 26 de julio de 2000
priva a las autoridades nacionales de control de sus facultades, en el supuesto de que una
persona impugne la compatibilidad de la Decisión con la protección de la vida privada y de las
libertades y derechos fundamentales de las personas. El Tribunal de Justicia considera que la
Comisión carecía de competencia para restringir de ese modo las facultades de las
autoridades nacionales de control.

Por todas esas razones, el Tribunal de Justicia declara inválida la Decisión de la Comisión de 26
de julio de 2000. Como consecuencia de esta sentencia, la autoridad irlandesa de control
está obligada a examinar la reclamación del demandante con toda la diligencia exigible y, al
término de su investigación, deberá decidir si, en virtud de la Directiva, debe suspenderse
la transferencia de los datos de los usuarios europeos de Facebook a Estados Unidos
porque ese país no ofrece un nivel de protección adecuado de los datos personales.

Recursos

Véase También

• Autoridad de Control
• Libre Circulación de Datos
• Autoridad de Control Nacional
• Protección de Datos
• Injerencia
• Puerto Seguro
• Corte de Vigilancia de Inteligencia Extranjera
• Costa contra ENEL
• Agenda 2000
• Union Europea
• Transferencia de Datos a Terceros Países

▷ Esperamos que haya sido de utilidad. Si conoces a alguien que pueda estar interesado en este tema, por favor comparte con él/ella este contenido. Es la mejor forma de ayudar al Proyecto Lawi.