La justicia europea invalida el acuerdo sobre transferencia de datos personales a EEUU

El Tribunal de Justicia de la Unión Europea ha invalidado este martes la decisión de la Comisión Europea (CE) que consideraba que EEUU garantiza un nivel de protección adecuado de los datos personales y permitía la transferencia de información perteneciente a ciudadanos europeos.

La máxima instancia judicial comunitaria ha respondido así a la larga batalla legal contra Facebook que inició en el 2011 un estudiante austríaco de Derecho, Max SchremsFacebook Max Schrems, en una sentencia que sienta precedente y puede acabar afectando a las firmas tecnológicas estadounidenses con presencia en Europa, como la propia Facebook, Apple, Google y Microsoft.

Según la legislación comunitaria, solo se pueden transferir datos personales a un país tercero si este garantiza un nivel de protección adecuado. La CE puede declarar, por su parte, que un país tercero garantiza un nivel de protección adecuado en razón de su legislación interna o de sus compromisos internacionales. En paralelo, cada Estado miembro debe designar una o varias autoridades públicas encargadas de controlar la aplicación en su territorio de las normas de la UE en la materia.

DENUNCIA A FACEBOOK

Schrems, usuario de Facebook desde el 2008, presentó una denuncia ante la autoridad irlandesa de control dos años más tarde al considerar que la normativa y la práctica de EEUU no garantizaban una protección suficiente de los datos transferidos a ese país frente a las actividades de vigilancia por las autoridades públicas.

Este estudiante austríaco decidió dar este paso tras las revelaciones realizadas en el 2013 por el exagente de la CIA Edward Snowden en relación con las actividades de los servicios de información estadounidenses, en particular, de la Agencia Nacional de Seguridad.

SERVIDORES EN EEUU

Como ocurre con los demás usuarios que residen en la UE, los datos proporcionados por Schrems a Facebook se transfieren total o parcialmente de la filial irlandesa de dicha red social a servidores situados en territorio de los EEUU, donde son objeto de tratamiento.

La autoridad irlandesa desestimó la reclamación en parte porque la CE ya había considerado en su decisión que Estados Unidos era un "puerto seguro" y garantiza un nivel adecuado de protección de los datos personales transferidos.

NIVEL DE PROTECCIÓN ADECUADO

Sin embargo, el Tribunal Supremo irlandés decidió preguntar al Tribunal de Justicia de Luxemburgo si esa decisión de la CE impide a una autoridad nacional de control investigar una denuncia en la que se alega que un país tercero no garantiza un nivel de protección adecuado y, en su caso, suspender la transferencia de datos denunciada.

El Tribunal de Luxemburgo ha estimado este martes que esa decisión de la CE no puede dejar sin efecto ni limitar las facultades de las que disponen las autoridades nacionales de control.

CONTROLAR LA TRANSFERENCIA DE DATOS

Ha recalcado que ninguna disposición de la directiva europea en la materia impide que las autoridades nacionales controlen las transferencias de datos personales a terceros países que hayan sido objeto de una decisión de la Comisión.

En cuanto a la validez de la decisión de la CE sobre EEUU, el Tribunal considera que la Comisión no llevó a cabo el examen oportuno para determinar que este país garantiza efectivamente, en razón de su legislación interna o de sus compromisos internacionales, un nivel de protección de los derechos fundamentales sustancialmente equivalente al garantizado en la Unión.