Sentencia del Tribunal de Justicia de la UE 061015


 

Por Javier Puyol

+

La reciente Sentencia del Tribunal de Justicia de las Comunidades Europeas de 6 de octubre de 2.015, ha puesto un nuevo hito en el camino de lo que es y debe ser la protección de datos de carácter personal. Sus pronunciamientos, aunque hayan causado una cierta sorpresa, no son para nada novedosos, ya que enlazan con los efectuados por el Grupo de Trabajo del artículo 29 de la Directiva 95/46/CE, en el WP 196, de 1 de julio de 2012, donde ya se manifestó que:

En ausencia de un sistema más robusto que vele por el cumplimiento de los principios de protección de datos en el entorno de la nube, obtener sólo la autocertificación de “Puerto Seguro” puede resultar insuficiente… Las empresas –en el ámbito de la unión Europea- que exporten datos no deberían confiar exclusivamente en la declaración del importador de datos afirmando que posee la certificación de Puerto Seguro. Por el contrario, la empresa que exporte datos debería obtener pruebas de que las autocertificaciones de Puerto Seguro existen realmente y deberían solicitar pruebas que demostraran que se cumplen los principios relacionados con dichas autocertificaciones. Esto resulta especialmente importante en lo que respecta a la información proporcionada a los sujetos de datos a quienes afecta el procesamiento de datos”.

El concepto de “Safe Harbor” había dejado de constituir una presunción de eficacia general, para pasar a ser básicamente otra de naturaleza “iuris tantum”, de modo que el responsable del fichero, no debería dejarse llevar por dicha declaración de principios, sino que tiene que velar porque efectivamente en cada caso concreto los mismos tengan un efectivo cumplimiento. El Grupo de Trabajo del artículo 29 se decantaba abiertamente por un sistema de cumplimiento material, donde los principios propios de la protección de datos de carácter personal tuvieran un real y efectivo cumplimiento en cada transferencia de datos, atribuyendo la responsabilidad de verificar dicho cumplimiento al responsable del fichero.

La Sentencia ahora dictada continúa, por tanto, el camino emprendido por dicho WP196, proyectando dicha obligación en este caso, sobre las autoridades nacionales de protección de datos de carácter personal. Y ello determina la necesidad de proceder a un examen exhaustivo de las garantías, afectando en este caso el asunto estudiado, tal como se ha puesto de manifiesto, especialmente al régimen derivado del “Safe Harbor”. En este orden de cosas, dicha Sentencia recoge que en el punto 3.2 de la Comunicación COM (2013) 846 final la Comisión señaló la existencia de diversas deficiencias en la aplicación de la Decisión 2000/520. Puso de manifiesto que algunas empresas estadounidenses certificadas no respetaban los principios enunciados en el artículo 1, apartado 1, de la Decisión 2000/520 (en lo sucesivo, «principios de puerto seguro»), y que, mediante mejoras de esa Decisión, «deben subsanarse las deficiencias estructurales relacionadas con la transparencia y la aplicación y deben reforzarse los principios sustantivos del régimen de puerto seguro y la aplicación de la excepción por motivos de seguridad nacional». Por otra parte, observó que «el régimen de puerto seguro sirve asimismo de interfaz para la transferencia de los datos personales de los ciudadanos [europeos] desde la [Unión Europea] a los Estados Unidos por parte de las empresas [a] las que se pide que suministren datos a los servicios de información de los Estados Unidos en el marco de los programas de recogida de información de los Estados Unidos».

A los efectos de solventar esta situación, el Tribunal señala que se debe recordar previamente que las disposiciones de la Directiva 95/46, en cuanto regulan el tratamiento de datos personales, que puede vulnerar las libertades fundamentales y, en particular, el derecho al respeto de la vida privada, deben ser necesariamente interpretadas a la luz de los derechos fundamentales protegidos por la Carta1.

Con lo que, sobre esta base, el Tribunal trata de establecer la primacía real y efectiva de los derechos fundamentales de la persona, sobre la base de una protección eficaz de los mismos, estableciéndose como garantía de la efectiva de la protección del derecho a la privacidad la existencia de autoridades nacionales de control, con las cuales se pretende asegurar un control eficaz y fiable del respeto de la normativa en materia de protección de las personas físicas frente al tratamiento de datos personales y debe interpretarse a la luz de dicho objetivo. Esa garantía se ha establecido para reforzar la protección de las personas y de los organismos afectados por las decisiones de dichas autoridades. La creación en los Estados miembros de autoridades de control independientes constituye, pues, un elemento esencial de la protección de las personas frente al tratamiento de datos personales, como señala el considerando 62 de la Directiva 95/462.

Por ello se señala en la Sentencia que cuando una persona, cuyos datos personales hayan sido o pudieran ser transferidos a un tercer país que haya sido objeto de una decisión de la Comisión en virtud del artículo 25, apartado 6, de la Directiva 95/46, presenta a la autoridad nacional de control una solicitud para la protección de sus derechos y libertades frente al tratamiento de esos datos, e impugna con ocasión de esa solicitud, la compatibilidad de dicha decisión con la protección de la vida privada y de las libertades y derechos fundamentales de las personas, incumbe a esa autoridad examinar la referida solicitud con toda la diligencia exigible.

Es decir, se reconoce la facultad de cualquier persona física de acceder a su autoridad de control en materia de protección de datos, la cual con independencia de los pronunciamientos establecidos con carácter general por la Comisión Europea, debe investigar y garantizar de forma efectiva que las garantías materiales que deben presidir toda transferencia internacional de datos se cumplan de manera real y efectiva, velando por la transparencia y el cumplimiento de los requisitos legales establecidos al efecto.

En definitiva, esta Sentencia viene a reclamar de las autoridades nacionales de protección de datos más control sobre las transferencias internacionales de datos, y sobre todo, un mayor cumplimiento material de la normativa que garantiza el derecho a la protección de datos, evitando interpretaciones puramente formales de la regulación vigente, que a la postre pueden determinar violaciones del derecho a la privacidad.

1 Véanse las sentencias Österreichischer Rundfunk y otros, C‑465/00, C‑138/01 y C‑139/01, EU:C:2003:294, apartado 68; Google Spain y Google, C‑131/12, EU:C:2014:317, apartado 68, y Ryneš, C‑212/13, EU:C:2014:2428, apartado 29.

2Véanse las sentencias Comisión/Alemania, C‑518/07, EU:C:2010:125, apartado 25 y Comisión/Hungría C‑288/12, EU:C:2014:237, apartado 48 y la jurisprudencia citada).

Javier Puyol