Asunto C‑311/18
Data Protection Commissioner
contra
Facebook IrelandLtd
y
Maximillian Schrems
[Petición de decisión prejudicial planteada por la High Court (Irlanda)]
Sentencia del Tribunal de Justicia (Gran Sala) de 16 de julio de2020
«Procedimiento prejudicial— Protección de las personas físicas en lo que respecta al tratamiento de datos personales— Carta de los Derechos Fundamentales de la Unión Europea— Artículos 7, 8y47— Reglamento (UE) 2016/679— Artículo 2, apartado2— Ámbito de aplicación— Transferencias de datos personales a terceros países con fines comerciales— Artículo45— Decisión de adecuación de la Comisión— Artículo 46— Transferencias mediante garantías adecuadas— Artículo58— Facultades de las autoridades de control— Tratamiento de los datos transferidos por parte de las autoridades públicas de un tercer país con fines de seguridad nacional— Apreciación de la adecuación del nivel de protección garantizado en el país tercero— Decisión 2010/87/UE— Cláusulas tipo de protección para la transferencia de datos personales a terceros países— Garantías adecuadas ofrecidas por el responsable del tratamiento— Validez— Decisión de Ejecución (UE) 2016/1250— Adecuación de la protección garantizada por el Escudo de la Privacidad Unión Europea-Estados Unidos— Validez— Reclamación de una persona física cuyos datos fueron transferidos de la Unión Europea a Estados Unidos»
1.Protección de las personas físicas en lo que respecta al tratamiento de datos personales— Reglamento (UE) 2016/679— Ámbito de aplicación— Concepto de tratamiento de datos personales— Transferencias de datos personales realizadas con fines comerciales por un operador económico establecido en un Estado miembro a otro operador establecido en un tercerpaís— Inclusión— Datos que pueden ser tratados por las autoridades del tercer país de que se trate con fines de seguridad nacional— Irrelevancia
[Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, arts.2, aps.1 y2, letrasa),b) yd), y 4, punto2]
(véanse los apartados 82, 83 y 85 a 89 y el punto 1 del fallo)
2.Protección de las personas físicas en lo que respecta al tratamiento de datos personales— Reglamento (UE) 2016/679— Transferencias de datos personales a países terceros— Transferencias mediante garantías adecuadas, basadas en cláusulas contractuales tipo de protección de datos— Concepto de nivel de protección adecuado que debe garantizar el país tercero de que se trate en el marco de dichas transferencias— Interpretación a la luz del Derecho de la Unión— Criterios de apreciación
[Carta de los Derechos Fundamentales de la Unión Europea, art.52, ap.3; Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, art.46, aps.1 y 2, letrac)]
(véanse los apartados 92 a 96, 98 a 101 y 103 a 105 y el punto 2 del fallo)
3.Protección de las personas físicas en lo que respecta al tratamiento de datos personales— Reglamento (UE) 2016/679— Transferencias de datos personales a países terceros— Transferencias mediante garantías adecuadas, basadas en cláusulas contractuales tipo de protección de datos— Autoridades nacionales de control— Facultades— Control de las transferencias de datos personales a países terceros— Obligación de suspender o prohibir tales transferencias en caso de incumplimiento del nivel de protección adecuado en el país tercero de que se trate— Requisitos
[Carta de los Derechos Fundamentales de la Unión Europea, art.8, ap.3; Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, arts.45, 46, 51, ap.1, 57, ap.1, letrasa) yf), y 58, aps.1 y 2, letrasf)yj)]
(véanse los apartados 107, 108 y 112 a 121 y el punto 3 del fallo)
4.Protección de las personas físicas en lo que respecta al tratamiento de datos personales— Reglamento (UE) 2016/679— Transferencias de datos personales a países terceros— Transferencias mediante garantías adecuadas, basadas en cláusulas contractuales tipo de protección de datos— Decisión 2010/87/UE por la que se establecen cláusulas contractuales tipo para la transferencia de datos personales a países terceros— Garantías adecuadas ofrecidas por los responsables del tratamiento de datos establecidos en la Unión y por las autoridades de control— Obligación que tienen esas autoridades de suspender o prohibir las referidas transferencias en caso de incumplimiento de las mencionadas cláusulas— Derecho al respeto de la vida privada, a la protección de datos de carácter personal y a la tutela judicial efectiva— Inexistencia de violación— Validez de la Decisión
[Carta de los Derechos Fundamentales de la Unión Europea, arts.7, 8 y 47; Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, art.46, aps.1 y 2, letrac); Decisión 2010/87/UE de la Comisión, anexo]
(véanse los apartados 128 a 130, 133 a 145, 148 y 149 y el punto 4 del fallo)
5.Protección de las personas físicas en lo que respecta al tratamiento de datos personales— Reglamento (UE) 2016/679— Transferencia de datos personales a países terceros— Adopción por la Comisión de una decisión mediante la que se constata un nivel de protección adecuado en un país tercero— Decisión de Ejecución (UE) 2016/1250 mediante la que se constata un nivel adecuado de protección garantizado por el Escudo de la Privacidad Unión Europea-Estados Unidos— Autoridad nacional de control ante la que se presenta una reclamación que pone en entredicho el carácter adecuado del nivel de protección garantizado en ese país tercero— Obligación de que dicha autoridad examine la reclamación— Examen de la validez de la Decisión de Ejecución (UE) 2016/1250
[Art.288TFUE, párr.4; Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, arts.45, ap.3 y 77, ap.1; Decisión de Ejecución (UE) 2016/1250 de la Comisión, anexoII]
(véanse los apartados 151 a161)
6.Derechos fundamentales— Carta de los Derechos Fundamentales de la Unión Europea— Respeto de la vida privada— Protección de datos personales— Conservación y acceso a los datos personales para su utilización por las autoridades públicas— Injerencia en los derechos fundamentales— Limitaciones al ejercicio de dichos derechos— Respeto del principio de proporcionalidad
[Carta de los Derechos Fundamentales de la Unión Europea, arts.7, 8, 52, ap.1, segunda frase; Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo]
(véanse los apartados 170 a176)
7.Protección de las personas físicas en lo que respecta al tratamiento de datos personales— Reglamento (UE) 2016/679— Transferencia de datos personales a países terceros— Adopción por la Comisión de una decisión mediante la que se constata un nivel de protección adecuado en un país tercero— Decisión (UE) 2016/1250 mediante la que se constata un nivel adecuado de protección garantizado por el Escudo de la Privacidad Unión Europea-Estados Unidos— Ausencia de un nivel de protección sustancialmente equivalente al garantizado en el Derecho de la Unión— Violación del derecho al respeto de la vida privada, a la protección de datos de carácter personal y a la tutela judicial efectiva de las personas afectadas por las referidas transferencias— Establecimiento del mecanismo del Defensor del Pueblo en el marco del Escudo de la Privacidad— Inexistencia de incidencia en la violación del derecho a la tutela judicial efectiva— Invalidez de la Decisión
[Carta de los Derechos Fundamentales de la Unión Europea, arts.7, 8, 47 y 52, ap.1, segunda frase; Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, art.45, aps.2, letraa), y 3; Decisión (UE) 2016/1250, anexoII]
(véanse los apartados 180 a 185, 187 a 192 y 195 a 201 y el punto 5 del fallo)
8.Cuestiones prejudiciales— Apreciación de validez— Declaración de invalidez de un acto de la Unión— Decisión (UE) 2016/1250 mediante la que se constata un nivel adecuado de protección garantizado por el Escudo de la Privacidad Unión Europea-Estados Unidos— Efectos— Limitación en el tiempo— Inexistencia
[Art.267TFUE; Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, art.49; Decisión (UE) 2016/1250 de la Comisión]
(véase el apartado202)
Resumen
El Tribunal de Justicia invalida la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la Privacidad UE‑EE.UU.
En cambio, declara que la Decisión 2010/87 de la Comisión, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, es válida
El Reglamento general de protección de datos(1) (RGPD) dispone que la transferencia de esos datos a un país tercero solo puede, en principio, llevarse a cabo si el país tercero en cuestión garantiza un nivel de protección adecuado a dichos datos. Según el referido Reglamento, la Comisión puede constatar que un país tercero, a la vista de su legislación interna o de sus compromisos internacionales, garantiza un nivel de protección adecuado.(2) A falta de esa decisión de adecuación, la mencionada transferencia solo podrá realizarse si el exportador de datos personales, establecido en la Unión, ofrece garantías adecuadas, que pueden, en particular, derivarse de cláusulas tipo de protección de datos adoptadas por la Comisión y si los interesados cuentan con derechos exigibles y acciones legales efectivas.(3) Asimismo, el RGPD establece, de modo preciso, bajo qué condiciones puede tener lugar esa transferencia en ausencia de una decisión de adecuación o de garantías adecuadas.(4)
El Sr.Maximiliam Schrems, nacional austriaco residente en Austria, es usuario de Facebook desde 2008. Como ocurre con el resto de usuarios residentes en la Unión, los datos personales del Sr.Schrems son transferidos, total o parcialmente, por Facebook Ireland a servidores pertenecientes a Facebook Inc., situados en el territorio de Estados Unidos, donde son objeto de tratamiento. El Sr.Schrems presentó una reclamación ante la autoridad irlandesa de control en la que solicitaba, en esencia, que se prohibiesen esas transferencias. Alegó que el Derecho y las prácticas de los Estados Unidos no ofrecían suficiente protección frente al acceso, por parte de las autoridades públicas, a los datos transferidos a ese país. Esa reclamación fue desestimada basándose en que, en particular, en su Decisión 2000/520(5) (denominada Decisión «puerto seguro para la protección de la vida privada»), la Comisión había declarado que los Estados Unidos ofrecían un nivel adecuado de protección. Mediante sentencia de 6 de octubre de 2015, el Tribunal de Justicia, en respuesta a una cuestión prejudicial planteada por la High Court (Tribunal Superior, Irlanda), declaró inválida la referida Decisión (en lo sucesivo, «sentencia SchremsI»).(6)
A raíz de la sentencia SchremsI y de la anulación consecutiva, por parte del órgano jurisdiccional irlandés, de la decisión por la que se desestimaba la reclamación del Sr.Schrems, la autoridad de control irlandesa instó a este a que modificase su reclamación, habida cuenta de la invalidación por el Tribunal de Justicia de la Decisión 2000/520. En su reclamación modificada, el Sr.Schrems sostiene que los Estados Unidos no ofrecen una protección suficiente de los datos que se transfieren a ese país. Solicita la suspensión o prohibición, para el futuro, de las transferencias de sus datos personales desde la Unión a los Estados Unidos que Facebook Ireland lleva a cabo actualmente sobre la base de las cláusulas tipo de protección recogidas en el anexo de la Decisión 2010/87.(7) Al considerar que la tramitación de la reclamación del Sr.Schrems depende, en particular, de la validez de la Decisión 2010/87, la autoridad de control irlandesa inició un procedimiento ante la High Court (Tribunal Superior) para que esta plantease al Tribunal de Justicia una petición de decisión prejudicial. Tras el inicio de ese procedimiento, la Comisión adoptó la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la Privacidad UE‑EE.UU(8) (denominada Decisión «Escudo de la Privacidad»).
En su petición de decisión prejudicial, el órgano jurisdiccional remitente pregunta al Tribunal de Justicia acerca de la aplicabilidad del RGPD a las transferencias de datos personales basadas en las cláusulas tipo de protección recogidas en la Decisión 2010/87, acerca del nivel de protección exigido en el antedicho Reglamento en el marco de una transferencia de esas características y acerca de las obligaciones que incumben a las autoridades de control en ese contexto. Asimismo, la High Court plantea la cuestión de la validez de la Decisión 2010/87 y de la Decisión 2016/1250.
En su sentencia de hoy, el Tribunal de Justicia constata que el examen de la Decisión 2010/87 a la luz de la Carta de los Derechos Fundamentales no ha puesto de manifiesto la existencia de ningún elemento que pueda afectar a su validez. En cambio, declara que la Decisión 2016/1250 es inválida.
Para empezar, el Tribunal de Justicia considera que el Derecho de la Unión, y en particular el RGPD, se aplica a una transferencia de datos personales realizada con fines comerciales por un operador económico establecido en un Estado miembro a otro operador económico establecido en un país tercero incluso si, en el transcurso de dicha transferencia o tras ella, esos datos pueden ser tratados con fines de seguridad nacional, defensa y seguridad del Estado por las autoridades del país tercero en cuestión. El Tribunal de Justicia precisa que ese tipo de tratamiento de datos por parte de las autoridades de un país tercero no puede excluir a la referida transferencia del ámbito de aplicación del Reglamento.
Por lo que atañe al nivel de protección exigido en el marco de tal transferencia, el Tribunal de Justicia declara que las exigencias establecidas a este efecto por las disposiciones del RGPD, referentes a las garantías adecuadas, los derechos exigibles y las acciones legales efectivas, deben interpretarse en el sentido de que las personas cuyos datos personales se transfieren a un país tercero sobre la base de cláusulas tipo de protección de datos deben gozar de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión por el antedicho Reglamento, interpretado a la luz de la Carta. En este contexto, el Tribunal de Justicia precisa que la evaluación de ese nivel de protección debe tener en cuenta tanto las estipulaciones contractuales acordadas entre el exportador de datos establecido en la Unión y el destinatario de la transferencia establecido en el país tercero de que se trate como, por lo que atañe a un eventual acceso de las autoridades públicas de ese país tercero a los datos personales de ese modo transferidos, los elementos pertinentes del sistema jurídico de dichopaís.
Por lo que respecta a las obligaciones que incumben a las autoridades de control en el contexto de una transferencia de esas características, el Tribunal de Justicia declara que, a no ser que exista una decisión de adecuación válidamente adoptada por la Comisión, esas autoridades están, en particular, obligadas a suspender o prohibir una transferencia de datos personales a un país tercero cuando consideran, a la luz de las circunstancias específicas de la referida transferencia, que las cláusulas tipo de protección de datos no se respetan o no pueden respetarse en ese país y que las protección de los datos transferidos, exigida por el Derecho de la Unión, no puede garantizarse mediante otros medios, si el exportador establecido en la Unión no ha suspendido tal transferencia o puesto fin a esta por sí mismo.
A continuación, el Tribunal de Justicia examina la validez de la Decisión 2010/87. Según el Tribunal de Justicia, la validez de dicha Decisión no queda puesta en entredicho por el mero hecho de que las cláusulas tipo de protección de datos recogidas en ella no vinculen, debido a su carácter contractual, a las autoridades del país tercero al que podrían transferirse los datos. En cambio, el Tribunal de Justicia precisa que esa validez depende de si la referida Decisión incluye mecanismos efectivos que permitan en la práctica garantizar que el nivel de protección exigido por el Derecho de la Unión sea respetado y que las transferencias de datos personales basadas en esas cláusulas sean suspendidas o prohibidas en caso de violación de dichas cláusulas o de que resulte imposible su cumplimiento. El Tribunal de Justicia constata que la Decisión 2010/87 establece esos mecanismos. A este respecto, subraya, en particular, que la antedicha Decisión obliga al exportador de los datos y al destinatario de la transferencia a comprobar, previamente, que el mencionado nivel de protección se respeta en el país tercero de que se trate y que obliga al antedicho destinatario a informar al exportador de los datos de su eventual incapacidad para cumplir con las cláusulas tipo de protección, incumbiendo entonces a este último suspender la transferencia de datos o rescindir el contrato celebrado con el primero.
Finalmente, el Tribunal de Justicia procede al examen de la validez de la Decisión 2016/1250 habida cuenta de las exigencias derivadas del RGPD, interpretado a la luz de las disposiciones de la Carta que garantizan el respeto de la vida privada y familiar, la protección de datos de carácter personal y el derecho a la tutela judicial efectiva. A este respecto, el Tribunal de Justicia señala que la referida Decisión reconoce, al igual que sucede con la Decisión 2000/520, la primacía de las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense, haciendo así posibles injerencias en los derechos fundamentales de las personas cuyos datos personales se transfieren a ese país tercero. Según el Tribunal de Justicia, las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización, por las autoridades estadounidenses, de los datos transferidos desde la Unión a ese país tercero, y que la Comisión evaluó en la Decisión 2016/1250, no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas, en el Derecho de la Unión, por el principio de proporcionalidad, en la medida en que los programas de vigilancia basados en la mencionada normativa no se limitan a lo estrictamente necesario. Fundándose en las constataciones contenidas en la antedicha Decisión, el Tribunal de Justicia señala que, con respecto a algunos programas de vigilancia, de la referida normativa en modo alguno se desprende que existan limitaciones a la habilitación que otorga para la ejecución de esos programas ni tampoco que existan garantías para las personas no nacionales de los Estados Unidos que sean potencialmente objeto de esos programas. El Tribunal de Justicia añade que, si bien la misma normativa establece exigencias que las autoridades estadounidenses deben respetar al aplicar los programas de vigilancia de que se trata, esta no confiere a los interesados derechos exigibles a las autoridades estadounidenses ante los tribunales.
Por lo que atañe a la exigencia de tutela judicial, el Tribunal de Justicia declara que, contrariamente a lo que la Comisión consideró en la Decisión 2016/1250, el mecanismo del Defensor del Pueblo contemplado en dicha Decisión no proporciona a esas personas ninguna vía de recurso ante un órgano que ofrezca garantías sustancialmente equivalentes a las exigidas en el Derecho de la Unión, que puedan asegurar tanto la independencia del Defensor del Pueblo previsto en el antedicho mecanismo como la existencia de normas que faculten al referido Defensor del Pueblo para adoptar decisiones vinculantes con respecto a los servicios de inteligencia estadounidenses. Por todas esas razones, el Tribunal de Justicia declara inválida la Decisión 2016/1250.
1Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (DO 2016, L119, p.1).
2Artículo 45 delRGPD.
3Artículo 46, apartados 1 y 2, letrac), delRGPD.
4Artículo 49 delRGPD.
5Decisión de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes publicadas por el Departamento de Comercio de Estados Unidos de América (DO 2000, L215, p.7).
6Sentencia del Tribunal de Justicia de 6 de octubre de 2015, Schrems, C‑362/14 (véase también CP n.º117/15).
7Decisión de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo (DO 2010, L39, p.5), en su versión modificada por la Decisión de Ejecución (UE) 2016/2297 de la Comisión, de 16 de diciembre de 2016 (DO 2016, L344, p.100).
8Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la Privacidad UE‑EE.UU. (DO 2016, L207, p.1).