ESCUCHAREl Tribunal de Justicia de la Unión Europea declaró días pasados inválida la decisión de la comisión europea que declaró que Estados Unidos garantiza un nivel de protección adecuado de los datos personales transferidos.
La decisión surge por la denuncia del ciudadano austríaco Maximillian Schrems ante la autoridad irlandesa de protección de datos que sostiene, como usuario de Facebook desde 2008, que las actividades de vigilancia por las autoridades públicas estadounidenses, especialmente la National Security Agency, reveladas por Edward Snowden en 2013, no garantizaban una protección suficiente de los datos transferidos a ese país.
Los datos de los usuarios europeos de Facebook se transfieren de la filial irlandesa a servidores en Estados Unidos, donde son objeto de tratamiento. La autoridad irlandesa desestimó la denuncia, sosteniendo que, el 26 de julio de 2000, la comisión había considerado que, en el marco del régimen denominado de “puerto seguro”, Estados Unidos garantiza un nivel adecuado de protección de los datos personales transferidos.
Llegado el asunto al Tribunal de Justicia, éste examina la validez de la decisión de la comisión de julio de 2000, y recuerda que ésta estaba obligada a comprobar si Estados Unidos garantiza efectivamente, en razón de su legislación interna o de sus compromisos internacionales, un nivel de protección de los derechos fundamentales sustancialmente equivalente al garantizado en la unión en virtud de la directiva, interpretada a la luz de la Carta, concluyendo que la Comisión no llevó a cabo ese examen, sino que se limitó a analizar el régimen de puerto seguro.
Destaca que ese régimen únicamente es aplicable a las entidades estadounidenses que se hayan adherido, de modo que las autoridades públicas norteamericanas están exentas.
Además, las exigencias de seguridad nacional, interés público y cumplimiento de la ley de Estados Unidos prevalecen sobre el régimen de puerto seguro, de modo que las entidades de ese país están obligadas a dejar de aplicar, sin limitación, las reglas de protección previstas por ese régimen cuando entren en conflicto con las citadas exigencias.
El régimen estadounidense de puerto seguro posibilita de ese modo injerencias por parte de las autoridades públicas en los derechos fundamentales de las personas, y la decisión de la comisión no pone de manifiesto que en Estados Unidos haya reglas destinadas a limitar esas posibles injerencias ni que exista una protección jurídica eficaz contra éstas.
Declara inválida la decisión cuestionada y dispone que la autoridad irlandesa de control examine el reclamo de Schrems y decida si, en virtud de la directiva, debe suspenderse la transferencia de los datos de los usuarios europeos de Facebook a Estados Unidos porque ese país no ofrece un nivel de protección adecuado de los datos personales.
* Abogado especializado en nuevas tecnologías / [email protected]
