¿Cuál es el problema con las CCT detectado por la High Court de Irlanda en el caso Europa contra Facebook?

El pasado 3 de Octubre, la High Court de Irlanda decidió paralizar el caso entre el Irish Protection Comissioner (la Autoridad de Protección de Datos de Irlanda), Max Schrems y Facebook en relación con la transferencia de datos personales de los usuarios europeos de Facebook de Facebook Irlanda a Facebook, Inc; y decidió elevar una serie de cuestiones prejudiciales al Tribunal de Justicia de la Unión Europea (TJUE) por la posible invalidez de la Decisión sobre Cláusulas Contractuales Tipo (CCT) (Decisión 2010/87/EU).

En el presente post, realizaré un breve resumen sobre el problema detectado por la High Court de Irlanda.

A pesar que a fecha de hoy las cuestiones que van a ser elevadas al TJUE aún no han sido acordadas por las partes, la controversia principal del caso fue debidamente indicada por la Jueza Justice Costello, Jueza a cargo de este asunto, en la resolución publicada el pasado 3 de Octubre. Y, ¿Cuál es dicha controversia? La Juez ha indicado que las CCT puede que no aseguren un “adecuado nivel de protección” requerido por la normativa.

 

El articulo 25.1 de la Directiva 95/467CE establece que para que pueda realizarse una transferencia de datos fuera de la Unión Europea el tercer país al que se remitan dichos datos debe asegurar un nivel adecuado de protección.

“Los Estados miembros dispondrán que la transferencia a un país tercero de datos personales que sean objeto de tratamiento o destinados a ser objeto de tratamiento con posterioridad a su transferencia, únicamente pueda efectuarse cuando, sin perjuicio del cumplimiento de las disposiciones de Derecho nacional adoptadas con arreglo a las demás disposiciones de la presente Directiva, el país tercero de que se trate garantice un nivel de protección adecuado.”

Pero, ¿Qué significa que deban “asegurar un nivel de protección adecuado”?

El concepto “nivel adecuado de protección” fue analizado en la Sentencia del Caso C-362/14 del TJUE “Max Schrems contra Data Protection Commissioner” (caso en el que el sistema de Safe Harbour fue invalidado).

“ Es verdad que el término «adecuado» que figura en el artículo 25, apartado 6, de la Directiva 95/46 significa que no cabe exigir que un tercer país garantice un nivel de protección idéntico al garantizado en el ordenamiento jurídico de la Unión. Sin embargo, como ha manifestado el Abogado General en el punto 141 de sus conclusiones, debe entenderse la expresión «nivel de protección adecuado» en el sentido de que exige que ese tercer país garantice efectivamente, por su legislación interna o sus compromisos internacionales, un nivel de protección de las libertades y derechos fundamentales sustancialmente equivalente al garantizado en la Unión por la Directiva 95/46, entendida a la luz de la Carta. En efecto, a falta de esa exigencia el objetivo mencionado en el anterior apartado de la presente sentencia se frustraría. Además, el elevado nivel de protección garantizado por la Directiva 95/46 entendida a la luz de la Carta se podría eludir fácilmente con transferencias de datos personales desde la Unión a terceros países para su tratamiento en éstos.”

Así, aunque el concepto establezca que no es necesaria una idéntica protección como la existente en el sistema legal de la Unión Europea, sí se requiere que éstos terceros estados garanticen un nivel de protección equivalente teniendo en cuenta los derechos fundamentales y libertades establecidas tanto en la Directive 95/46/CE como en la Carta de Derechos Fundamentales de la Unión Europea.

Y, ¿Cuál es el problema detectado por la High Court de Irlanda?

Tal y como fue publicado por Edward Snowden en el año 2013, Estados Unidos realiza programas de vigilancia masiva hacia ciudadanos americanos como no americanos. En este caso, la ley más relevante en relación con estos programas de vigilancia masiva es la FISA Section 702, aplicable a compañias americanas proveedoras de servicios de comunicaciones electrónicas (como Facebook).

La High Court cuestiona que las CCT no garantizan el Derecho a la tutela judicial efectiva y a un juez imparcial establecido en el artículo 47 de la Carta de los Derechos Fundamentales de la Unión Europea, causando que los derechos a respeto de la vida privada y familiar (artículo 7) y protección de datos (artículo 8) sean vulnerados. Y ello significaría que las CCT no aseguran un “adecuado nivel de protección” requerido por el artículo 25 de la Directiva.

Y, ¿Por qué la High Court cree que el Derecho a la tutela judicial efectiva y a un juez imparcial (artículo 47 CDFUE) no se respeta?

El problema detectado es que los ciudadanos no americanos no se encuentran protegidos por las protecciones constitucionales indicadas en la legislación americana, así como que existen múltiples dificultades de acceso a los remedios contra un procesamiento de datos ilegal.

Estos son algunos de los párrafos más relevantes de la resolución de la High Court sobre éste asunto:

 

“230. Under FISA, the personal data of an EU citizen can be seized, accessed and retained by a US government agency without the agency proving probable cause prior to obtaining a warrant in respect of the individual EU citizen from the FISC. There is no need to obtain any authorization for surveillance conducted under EO 12333.

231. By far the most significant avenue of redress for unlawful interference with personal data is a claim for violation of the provisions of the Fourth Amendment. Such a claim is not open to EU citizens lacking a substantial voluntary connection with the US.

(…)

234. In my opinion, despite the number of possible causes of action, it cannot be said that US law provides the right of every person to a judicial remedy for any breach of his data privacy by its intelligence agencies. On the contrary, the individual remedies are few and far between and certainly not complete or comprehensive.”

Traducción:

“230. Mediante el uso de FISA, los datos personales de ciudadanos europeos pueden ser incautados, accesibles y retenidos por una Agencia del Gobierno de los Estados Unidos sin que dicha Agencia haya probado la existencia de una causa probable antes de obtener la orden judicial del FISC respecto el ciudadano europeo concreto al que se va a investigar. No existe la necesidad de obtener ningún tipo de autorización para la vigilancia realizada bajo el EO 12333.

231. El medio más relevante para enmendar una interferencia ilegal con los datos personales es una demanda por violación de las previsiones de la Cuarta Enmienda. Dicha demanda no está abierta a ciudadanos europeos si no existe una conexión con los Estados Unidos.

(…)

234. En mi opinión, a pesar del número de posibles causas para la acción, no puede decirse que el Derecho de los Estados Unidos respete el derecho de toda persona a una tutela judicial efectiva por cualquier incumplimiento de su privacidad por las agencias de inteligencia. Al contrario, los remedios son pocos y incompletos o incomprensibles”.

En los próximos días conoceremos las cuestiones exactas que serán elevadas al TJUE. A pesar de ello, la respuesta a estas preguntas podría llevar uno o dos años -como sucedió en el caso de Safe Harbour-.

A día de hoy, las transferencias de datos personales entre Facebook Irlanda y Facebook, Inc no se encuentran cubiertas por el Contrato basado en CCT entre dichas compañías sino por el Privacy Shield approvado el año pasado.

Pueden encontrar las diferentes peticiones así como resoluciones del Caso en la siguiente página web www.europe-v-facebook.org  (no disponible en Español).

 

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *