Sentencia del Tribunal de Justicia de 16 de julio de 2020, Facebook (C-311/18).
1. Hechos. Tras el caso Schrems (C-362/14), en el que el TJ invalidó el primer acuerdo entre la UE y EEUU para los flujos de datos personales (“Safe Harbor”), el Sr. Schrems, insiste en su reclamación contra Facebook (FB) en relación con la transferencia de datos de ciudadanos de la UE por FB Ireland a FB Inc. en EEUU.
Schrems mantiene que el derecho estadounidense (art. 702 de la FISA y la E.O. 12333) obliga a FB Inc. a facilitar los datos a las autoridades del país de forma incompatible con los arts. 7, 8 y 47 de la Carta de los Derechos Fundamentales de la Unión Europea (la Carta), de forma que no se garantiza una protección equivalente a las personas afectadas.
Alega que ni las Cláusulas Contractuales Tipo de responsable a encargado (CCT), aprobadas por Decisión de la Comisión 2010/87/UE (Decisión CPT), ni el nuevo acuerdo “Escudo de Privacidad” (“Privacy Shield”) reflejado en Decisión de Ejecución (UE) 2016/1250 de la Comisión (Decisión EP), ofrecen garantías suficientes para los derechos y libertades de los interesados en territorio estadounidense.
Schrems denuncia que los ciudadanos de la UE no tienen los mismos recursos que los ciudadanos de EEUU para actuar o recurrir contra el tratamiento de sus datos por parte de las autoridades estadounidenses, puesto que a) la cuarta enmienda de la Constitución de los EEUU no es aplicable a los ciudadanos de la Unión, b) las actividades de la N.S.A. basadas en la E.O. 12333 no son objeto de control jurisdiccional, c) el Defensor del Pueblo en el ámbito del “Privacy Shield” no constituye un tribunal y d) las CCT no tienen carácter vinculante para las autoridades estadounidenses.
El Tribunal Superior de Irlanda plantea al TJ varias cuestiones prejudiciales dirigidas, en resumen, a determinar el alcance y fuerza vinculatoria tanto de las CCT y Decisión CPT como de la Decisión EP, en relación con el exportador y el importador de los datos y las autoridades del país de destino, así como su suficiencia en aras a garantizar el adecuado nivel de protección de los derechos y libertades de las personas cuyos datos personales son transferidos.
2. Pronunciamientos. El TJ considera:
• El Reglamento general de protección de datos (RGPD) es aplicable a las transferencias de datos a un tercer país, a pesar de que simultánea o posteriormente esos datos puedan tratarse por las autoridades de dicho país con fines de seguridad nacional, defensa y seguridad del Estado.
• Al aplicar cualquier garantía del art. 46 RGPD, y no sólo las CCT, debe evaluarse que efectivamente tal garantía asegura un nivel de protección adecuado teniendo en cuenta a) las estipulaciones contractuales entre el exportador y el importador de los datos, b) un eventual acceso por las autoridades públicas del tercer país a los datos transferidos y c) los elementos pertinentes del sistema jurídico de ese tercer país, en particular los indicados en el art. 45.2 RGPD.
• La autoridad de control competente está obligada a suspender una transferencia de datos basada en unas CCT cuando considere que, a la luz de todas las circunstancias concretas de la transferencia, tales CCT no se respetan o no pueden respetarse en el país de destino y que la protección de los datos no se puede garantizar por otros medios.
• No existe ningún elemento que pueda afectar a la validez de la Decisión CPT.
• La Decisión EP (“Privacy Shield”) es inválida.
En definitiva, con este pronunciamiento, el TJ considera que el acuerdo “Privacy Shield” no otorgaba la protección suficiente, por lo que lo anula, y que las CCT, así como cualquier otra de las garantías que de las previstas en el art. 46 del RGPD se pretenda adoptar, deben ser evaluadas previamente a iniciarse la transferencia, caso por caso, en atención a las circunstancias concretas de la transferencia de datos de que se trate, en aras a determinar si efectivamente ofrece un nivel de protección equivalente al exigido por el Derecho europeo para los derechos y libertades de las personas cuyos datos se vayan a transferir a un tercer país.
3. Comentario. A raíz de esta sentencia, las empresas europeas deben identificar qué transferencias de datos están realizando a destinos fuera del EEE que no cuentan con una Decisión de Adecuación y:
a) Las que realicen a EEUU con base en “Privacy Shield” deben contar con otra garantía y ésta debe ser evaluada conforme se indica en el apartado b) siguiente.
b) Evaluar la garantía a aplicar a las transferencias de datos (existentes o futuras) con base a:
i. El contenido de las CCT o instrumento de que se trate de los previstos en el art. 46 RGPD.
ii. Las circunstancias específicas de la transferencia.
iii. El régimen jurídico aplicable en el país del importador.