Libre Circulación de Datos

Este elemento es un complemento de los cursos y guías de Lawi. Ofrece hechos, comentarios y análisis sobre este tema.

Libre Circulación de Datos en la Unión Europea

La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos prevé, en su capítulo IV, normas relativas a la transferencia de datos personales a países terceros.

En aplicación de dicha Directiva, la Comisión Europea adoptó la Decisión 2000/520.

Sobre las facultades de las autoridades de control nacionales en caso de existencia de una decisión de adecuación de la Comisión Europea, las Conclusiones del Abogado General de la Unión Europea, en una célebre sentencia europea sobre transferencia de datos puede ser interesante extractar aquí:

• Como indica el (demandante) en sus observaciones, a efectos de la denuncia objeto del litigio principal, la cuestión fundamental es la transferencia de datos personales de Facebook Ireland a Facebook USA a la luz del acceso generalizado por parte de la NSA y otras agencias de seguridad estadounidenses a los datos almacenados en Facebook USA en virtud de las facultades que les confiere la legislación estadounidense.
• Del artículo 25, apartado 6, de (la) Directiva (95/46/CE) resulta que desde el momento en que la Comisión Europea hace constar que un país tercero garantiza un nivel de protección adecuado, en el sentido del artículo 25, apartado 2, de dicha Directiva, los Estados miembros deben adoptar las medidas necesarias para ajustarse a la decisión de la Comisión.
• Dado que dicha decisión tiene por efecto permitir las transferencias de datos personales a un país tercero que, según la Comisión, garantiza un nivel de protección adecuado, los Estados miembros deben, en principio, permitir que las empresas establecidas en su territorio transfieran datos a dicho país.
• No obstante, el artículo 25 de la Directiva 95/46 no confiere en exclusiva a la Comisión la facultad de constatar la adecuación o no del nivel de protección de los datos de carácter personal transferidos. La estructura de dicho artículo pone de manifiesto que los Estados miembros también desempeñan su función en esta materia. Es evidente que las decisiones de la Comisión cumplen una función importante en aras de la uniformidad de los requisitos de transferencia válidos dentro de los Estados miembros.
  

  Puntualización

  Sin embargo, dicha uniformidad solo existe en tanto no se cuestione dicha constatación.

• En opinión del Abogado General, el argumento de la necesidad de uniformar los requisitos de transferencia de datos personales a un país tercero halla su límite en una situación como la controvertida en el procedimiento principal, en la que no solo la Comisión tiene conocimiento de que su constatación es objeto de críticas, sino que además ella misma formula críticas y entabla negociaciones para subsanarlas.
• La evaluación del carácter adecuado o no del nivel de protección que ofrece un país tercero puede dar lugar también a una relación de cooperación entre los Estados miembros y la Comisión. (Tal vez sea de interés más investigación sobre el concepto). El artículo 25, apartado 3, de la Directiva 95/46 prevé, a este respecto, que «los Estados miembros y la Comisión se informarán recíprocamente de los casos en que consideren que un tercer país no garantiza un nivel de protección adecuado con arreglo al apartado 2». Como observa el Parlamento, ello es sin duda indicativo de que los Estados miembros y la Comisión desempeñan una función equivalente a la hora de detectar los casos en los que un país tercero no garantiza un nivel de protección adecuado.
• Como ha observado el Tribunal de Justicia, «de los considerandos 3, 8 y 10 de la Directiva 95/46 resulta que el legislador de la Unión pretendió facilitar la libre circulación de los datos personales mediante la aproximación de las legislaciones de los Estados miembros, protegiendo al mismo tiempo los derechos fundamentales de las personas, particularmente el derecho al respeto de la vida privada, y asegurando un alto nivel de protección dentro de la Unión. (Tal vez sea de interés más investigación sobre el concepto). El artículo 1 de dicha Directiva establece, por ello, que los Estados miembros deben garantizar la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales». Véase, en especial, la sentencia IPI (C‑473/12, EU:C:2013:715), apartado 28 y jurisprudencia citada.
• Las disposiciones de la Directiva 95/46 deben, por tanto, interpretarse de conformidad con el objetivo de ésta de asegurar un alto nivel de protección de las libertades y los derechos fundamentales de las personas físicas, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales dentro de la Unión.
• El Tribunal de Justicia de la Unión Europea ya ha declarado que «las disposiciones de la Directiva 95/46, en la medida en que regulan el tratamiento de datos personales que pueden atentar contra las libertades fundamentales y, en particular, contra el derecho a la intimidad, deben ser interpretadas a la luz de los derechos fundamentales que, según reiterada jurisprudencia, forman parte de los principios generales del Derecho cuyo respeto garantiza el Tribunal de Justicia y que están actualmente recogidos en la Carta». Véase, en particular, la sentencia Google Spain y Google (C‑131/12, EU:C:2014:317), apartado 68 y jurisprudencia citada.
• Asimismo, procede citar la jurisprudencia según la cual «corresponde a los Estados miembros no solo interpretar su Derecho nacional de conformidad con el Derecho de la Unión, sino también procurar que la interpretación de un texto de Derecho derivado que tomen como base no entre en conflicto con los derechos fundamentales tutelados por el ordenamiento jurídico de la Unión o con los demás principios generales del Derecho de la Unión». Véase, en especial, la sentencia N.S. y otros (C‑411/10 y C‑493/10, EU:C:2011:865), apartado 77 y jurisprudencia citada.
• En este sentido, el Tribunal de Justicia consideró, en su sentencia N. S. y otros (C‑411/10 y C‑493/10, EU:C:2011:865), que «una aplicación del Reglamento [(CE)] nº 343/2003 [(Reglamento del Consejo de 18 de febrero de 2003 por el que se establecen los criterios y mecanismos de determinación del Estado miembro responsable del examen de una solicitud de asilo presentada en uno de los Estados miembros por un nacional de un tercer país)] basada en la presunción irrefutable de que se respetarán los derechos fundamentales de los solicitantes de asilo en el Estado miembro en principio responsable para el examen de su solicitud es incompatible con la obligación de los Estados miembros de interpretar y aplicar el Reglamento nº 343/2003 conforme a los derechos fundamentales» (Apartado 99 de dicha sentencia).
• A este respecto, el Tribunal de Justicia admitió, en el contexto de la calificación recíproca de los Estados miembros como países de origen seguros para cuestiones jurídicas y prácticas relacionadas con el derecho de asilo, que debe presumirse que el trato dispensado a los solicitantes de asilo en cada Estado miembro es conforme con las exigencias de la Carta, de la Convención sobre el Estatuto de los Refugiados, firmada en Ginebra el 28 de julio de 1951, (Recopilación de Tratados de las Naciones Unidas, vol. 189, p. 150, nº 2545, 1954), y del Convenio para la protección de los derechos humanos y de las libertades fundamentales, firmado en Roma el 4 de noviembre de 1950 (Véase la sentencia N.S. y otros, C‑411/10 y C‑493/10, EU:C:2011:865, apartado 80).
  

  Puntualización

  Sin embargo, el Tribunal de Justicia consideró que «no cabe excluir que este sistema se enfrente, en la práctica, a graves dificultades de funcionamiento en un Estado miembro determinado, de manera que exista un riesgo importante de que los solicitantes de asilo, en caso de ser trasladados a ese Estado miembro, reciban un trato incompatible con sus derechos fundamentales» (sentencia N.S. y otros (C‑411/10 y C‑493/10, EU:C:2011:865), apartado 81).

• Por consiguiente, el Tribunal de Justicia consideró que «incumbe a los Estados miembros, incluidos los órganos jurisdiccionales nacionales, no trasladar a un solicitante de asilo al “Estado miembro responsable” en el sentido del Reglamento nº 343/2003 cuando no puedan ignorar que las deficiencias sistemáticas del procedimiento de asilo y de las condiciones de acogida de los solicitantes de asilo en ese Estado miembro constituyen motivos serios y acreditados para creer que el solicitante correrá un riesgo real de ser sometido a tratos inhumanos o degradantes en el sentido del artículo 4 de la Carta». (Véase la sentencia N.S. y otros, C‑411/10 y C‑493/10, EU:C:2011:865, apartado 94).
• En opinión del Abogado General, la jurisprudencia derivada de la sentencia N.S. y otros, (C‑411/10 y C‑493/10, EU:C:2011:865) puede aplicarse a una situación como existente en el procedimiento principal.Entre las Líneas En este sentido, una interpretación del Derecho derivado de la Unión basada en la presunción irrefutable de que se respetarán los derechos fundamentales —ya sea por un Estado miembro, por la Comisión, o por un país tercero— debe considerarse incompatible con la obligación de los Estados miembros de interpretar y aplicar el Derecho derivado de la Unión conforme a los derechos fundamentales. El artículo 25, apartado 6, de la Directiva 95/46 no establece, por tanto, esa presunción irrefutable de respeto de los derechos fundamentales en lo que concierne a la apreciación por la Comisión del carácter adecuado del nivel de protección ofrecido por un país tercero. Al contrario, debe considerarse refutable la presunción, en la que se basa dicha disposición, de que la transferencia de datos a un país tercero respetará los derechos fundamentales (Apartado 104 de dicha sentencia).
  

  Una Conclusión

  Por consiguiente, no cabe interpretar dicha disposición en el sentido de que pone en entredicho las garantías que figuran en particular en el artículo 28, apartado 3, de la Directiva 95/46 y en el artículo 8, apartado 3, de la Carta, que tienen por objeto la protección y el respeto del derecho a la protección de datos personales.

• Por tanto, cabe deducir de la sentencia N. S. y otros (C‑101/01, EU:C:2003:596) que, en caso de que se constaten deficiencias sistemáticas en el país tercero al que se transfieren los datos personales, los Estados miembros deben poder adoptar las medidas necesarias para proteger los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta.
• Por otro lado, como señaló el Gobierno italiano en sus observaciones, la adopción por la Comisión de una decisión de adecuación no puede tener por efecto reducir la protección de los ciudadanos de la Unión en lo que respecta al tratamiento de sus datos cuando éstos se transfieren a un país tercero, frente al nivel de protección del que disfrutarían en caso de que sus datos fueran objeto de tratamiento dentro de la Unión. (Tal vez sea de interés más investigación sobre el concepto).
  

  Una Conclusión

  Por consiguiente, las autoridades de control nacionales deben poder intervenir y ejercitar sus facultades en relación con las transferencias de datos a países terceros objeto de una decisión de adecuación. (Tal vez sea de interés más investigación sobre el concepto). De lo contrario, los ciudadanos de la Unión estarán mucho menos protegidos que si sus datos se sometieran a tratamiento dentro de la Unión.

• En este sentido, la adopción por la Comisión de una decisión al amparo del artículo 25, apartado 6, de la Directiva 95/46 únicamente tiene por efecto levantar la prohibición general de exportar datos personales a países terceros que garanticen un nivel de protección comparable al ofrecido por dicha Directiva.Entre las Líneas En otros términos, no se trata de crear un régimen especial de excepción y menos protector para los ciudadanos de la Unión que el régimen general previsto por dicha Directiva para los tratamientos de datos que se llevan a cabo dentro de la Unión.
• Es cierto que el Tribunal de Justicia observó, en el apartado 63 de su sentencia Lindqvist, (Apartado 65) que «el capítulo IV de la Directiva 95/46, en el que figura el artículo 25, establece un régimen especial».
  

  Puntualización

  Sin embargo, en el parecer del Abogado General, ello no significa que dicho régimen deba ser menos protector. Al contrario, para alcanzar el objetivo de protección de datos establecido en el artículo 1, apartado 1, de la Directiva 95/46, el artículo 25 de ésta impone una serie de obligaciones a los Estados miembros y a la Comisión (Apartado 64) y plantea el principio según el cual si un país tercero no ofrece un nivel de protección adecuado, debe prohibirse la transferencia de datos personales a dicho país.

• Según el (denunciante), no se cumple el primer requisito, según el cual han de existir «grandes probabilidades de que se estén vulnerando los principios». Pues bien, no se alega que la propia Facebook USA, en su condición de entidad autocertificada a la que se transfieren datos, haya vulnerado los principios de puerto seguro a raíz de que las autoridades estadounidenses hayan accedido de manera masiva e indiscriminada a los datos que almacena.Entre las Líneas En efecto, los principios de puerto seguro se encuentran expresamente limitados por la legislación estadounidense definida en el anexo I, párrafo cuarto, de la Decisión 2000/520, mediante remisión a las disposiciones legales y reglamentarias y a la jurisprudencia.
• En lo que atañe más concretamente al régimen de puerto seguro, la Comisión solo contempla la intervención de las autoridades de control nacionales y la suspensión por su parte de los flujos de datos en el marco previsto en el artículo 3, apartado 1, letra b), de la Decisión 2000/520.
• Según el considerando 8 de dicha Decisión, «aunque se compruebe el nivel adecuado de la protección, por motivos de transparencia y para proteger la capacidad de las autoridades correspondientes de los Estados miembros de garantizar la protección de las personas en lo que respecta al tratamiento de sus datos personales, resulta necesario especificar en la presente Decisión las circunstancias excepcionales que pudieran justificar la suspensión de flujos específicos de información».
• Aun cuando la High Court (de Irlanda) insiste en su resolución de remisión en que el (denunciante) no ha impugnado formalmente en su recurso en el procedimiento principal la validez de la Directiva 95/46, ni la de la Decisión 2000/520, de dicha resolución de remisión resulta que la principal censura del (denunciante) consiste en cuestionar la constatación de que Estados Unidos garantiza, un nivel de protección adecuado de los datos de carácter personal transferidos en el marco del régimen de puerto seguro.
• Asimismo, se desprende de las observaciones del comisario que la denuncia del Sr. Schrems trata de impugnar directamente la Decisión 2000/520. Con su denuncia, este último ha pretendido impugnar los términos y el funcionamiento del régimen de puerto seguro, aduciendo que la vigilancia masiva de los datos personales transferidos a Estados Unidos demuestra que no existe una protección real de dichos datos ni de hecho, ni de Derecho, en dicho país tercero.
• Además, el propio órgano jurisdiccional remitente observa que la garantía prevista en el artículo 7 de la Carta y que emana de los valores fundamentales presentes en las tradiciones constitucionales comunes a los Estados miembros se vería comprometida si se permitiera a los poderes públicos acceder a las comunicaciones electrónicas de manera aleatoria y general sin la obligación de aportar una motivación objetiva basada en razones de seguridad nacional o de prevención del delito vinculadas específicamente a las personas afectadas y sin ninguna garantía adecuada y comprobable. (Véanse, en especial, las sentencias Strehl (62/76, EU:C:1977:18), apartados 10 a 17; Roquette Frères (145/79, EU:C:1980:234), apartado 6, y Schutzverband der Spirituosen-Industrie (C‑457/05, EU:C:2007:576), apartados 32 a 39) Así pues, el órgano jurisdiccional remitente manifiesta indirectamente sus dudas en cuanto a la validez de la Decisión 2000/520.
• Por tanto, la apreciación de si Estados Unidos garantiza un nivel de protección adecuado de los datos de carácter personal transferidos en el marco del régimen de puerto seguro, conduce necesariamente a reflexionar sobre la validez de dicha Decisión.
• A este respecto, conviene señalar que en el marco del mecanismo de cooperación entre el Tribunal de Justicia y los órganos jurisdiccionales nacionales creado por el artículo 267 TFUE, el Tribunal de Justicia, aun cuando se recurra a él exclusivamente con carácter prejudicial, podrá verse obligado, en circunstancias particulares, a examinar la validez de determinadas disposiciones de Derecho derivado.
• Pues bien, en varias ocasiones, el Tribunal de Justicia ha anulado de oficio un acto del que únicamente se solicitaba su interpretación (Sentencia Schwarze (16/65, EU:C:1965:117), p. 269). Asimismo, ha considerado que «cuando resulte que el verdadero objeto de las cuestiones planteadas por un órgano jurisdiccional nacional es el examen de la validez más que la interpretación de los actos [de la Unión], el Tribunal de Justicia debe pronunciarse de inmediato, sin imponer a dicho órgano jurisdiccional un formalismo puramente dilatorio incompatible con la naturaleza propia de los mecanismos creados por el artículo [267 TFUE]». (Véase la sentencia Hauer (44/79, EU:C:1979:290), apartado 16)
• Por otro lado, el Tribunal de Justicia ya ha afirmado que debe entenderse que las dudas manifestadas por un órgano jurisdiccional remitente sobre la compatibilidad de un acto de Derecho derivado con las normas relativas a la protección de los derechos fundamentales ponen asimismo en cuestión la validez de dicho acto en relación con el Derecho de la Unión. Véase, en especial, la sentencia CIVAD (C‑533/10, EU:C:2012:347), apartados 39 a 41 y jurisprudencia citada.
• Cabe recordar asimismo que, conforme a la jurisprudencia del Tribunal de Justicia, los actos de las instituciones, de los órganos y de los organismos de la Unión gozan de una presunción de validez, lo cual implica que producen efectos jurídicos mientras no hayan sido revocados, anulados en el marco de un recurso de anulación o declarados inválidos a raíz de una cuestión prejudicial o de una excepción de ilegalidad. Sólo el Tribunal de Justicia es competente para declarar la invalidez de un acto de la Unión, competencia cuyo objeto es garantizar la seguridad jurídica preservando la aplicación uniforme del Derecho de la Unión. (Tal vez sea de interés más investigación sobre el concepto). A falta de declaración de invalidez, de modificación o de derogación por la Comisión, la Decisión sigue siendo obligatoria en todos sus elementos y directamente aplicable en todo Estado miembro. Véase, en especial, la sentencia BVGD/Comisión (T‑104/07 y T 339/08, EU:T:2013:366), apartado 291, que se remite a la sentencia IECC/Comisión (C‑449/98 P, EU:C:2001:275), apartado 87.
• Con objeto de proporcionar una respuesta completa al órgano jurisdiccional remitente y disipar todas las dudas planteadas durante el presente procedimiento sobre la validez de la Decisión 2000/520, opino, por consiguiente, que el Tribunal de Justicia, debe analizar la validez de dicha Decisión.
• Dicho esto, también es importante precisar que el análisis de la validez o nulidad de la Decisión 2000/520 debe circunscribirse a las alegaciones que han sido objeto de debate en el marco del presente procedimiento.Entre las Líneas En efecto, dado que en dicho contexto no se han debatido todos los aspectos relativos al funcionamiento del régimen de puerto seguro, no cree el Abogado General que sea posible efectuar en este asunto un examen exhaustivo de las deficiencias de dicho régimen.
• En cambio, en el presente procedimiento, sí se ha debatido ante el Tribunal de Justicia si el acceso generalizado e indiscriminado de los servicios de inteligencia estadounidenses a los datos transferidos puede afectar a la legalidad de la Decisión 2000/520. Por tanto, puede examinarse la validez de dicha Decisión desde esa perspectiva.

Recursos

▷ En este Día de 24 Abril (1877): Guerra entre Rusia y Turquía

Al término de la guerra serbo-turca estalló la guerra entre Rusia y el Imperio Otomano, que dio lugar a la independencia de Serbia y Montenegro. En 1878, el Tratado Ruso-Turco de San Stefano creó una “Gran Bulgaria” como satélite de Rusia. En el Congreso de Berlín, sin embargo, Austria-Hungría y Gran Bretaña no aceptaron el tratado, impusieron su propia partición de los Balcanes y obligaron a Rusia a retirarse de los Balcanes.

España declara la Guerra a Estados Unidos

Exactamente 21 años más tarde, también un 24 de abril, España declara la guerra a Estados Unidos (descrito en el contenido sobre la guerra Hispano-estadounidense). Véase también:

• Las causas de la guerra Hispano-estadounidense: El conflicto entre España y Cuba generó en Estados Unidos una fuerte reacción tanto por razones económicas como humanitarias.
• El origen de la guerra Hispano-estadounidense: Los orígenes del conflicto se encuentran en la lucha por la independencia cubana y en los intereses económicos que Estados Unidos tenía en el Caribe.
• Las consecuencias de la guerra Hispano-estadounidense: Esta guerra significó el surgimiento de Estados Unidos como potencia mundial, dotada de sus propias colonias en ultramar y de un papel importante en la geopolítica mundial, mientras fue el punto de confirmación del declive español.

▷ Lo último (abril 2024)

Lo último publicado esta semana de abril de 2024 en esta plataforma digital:

Yom Kipur

Recursos No Renovables

Proceso de Fabricación

▷ Noticias internacionales de hoy por nuestros amigos de la vanguardia (nota: en muchas noticias tienen muro de pago):

• Pena de muerte a un rapero iraní que apoyó las protestas por Mahsa Amini
• Biden firma la ayuda de 95.000 millones de dólares para Ucrania, Israel y el Indo-Pacífico
• Amnistía Internacional alerta de la amenaza de la inteligencia artificial si no se regula
• Alemania retomará en breve la cooperación con la UNRWA
• El cielo de Atenas se tiñe de naranja por las nubes de polvo procedente del Sáhara

Basado en la experiencia de varios autores, mis opiniones y recomendaciones se expresarán a continuación (o en otros lugares de esta plataforma, respecto a las características y el futuro de esta cuestión):

Vease También

Protección de Datos
Puerto Seguro
Transferencia de Datos a Terceros Países
Costa contra ENEL
Libre Acceso a las Actividades de Servicios
Libre Prestación de Servicios
Autoridad de Control Nacional
Union Europea

▷ Esperamos que haya sido de utilidad. Si conoce a alguien que pueda estar interesado en este tema, por favor comparta con él/ella este contenido. Es la mejor forma de ayudar al Proyecto Lawi.