Sentencia del Tribunal de Justicia de la UE en el caso C362/14

AdminNoticias

El Tribunal de Justicia de la Unión Europea deja sin efecto la Decisión de la Comisión que declaraba a los EE.UU. como “puerto seguro”

El Tribunal de Justicia de la Unión Europea dictaminó el 6 de octubre de 2015 que el acuerdo de transferencia transatlántica de datos de carácter personal entre Bruselas y Washington celebrado en el año 2000 deja de tener validez. La sentencia dictada en el asunto C-362/2014, promulgada por la Gran Sala del tribunal europeo, ha dictaminado que los Estados Unidos de América no ofrecen un nivel de protección equivalente al de la Unión Europea, ni siquiera aunque las empresas estadounidenses receptoras de los datos se acojan al sistema de “puerto seguro” (“safe harbour”) acordado en el año 2000.

El 26 de Julio de 2000 la Comisión Europea aprobó la Decisión 2000/520/CE en la que se aceptaba que las transferencias de datos de carácter personal pertenecientes a ciudadanos comunitarios a empresas estadounidenses adheridas al sistema de “puerto seguro” gozaban de un nivel de protección equivalente al ofrecido en la Unión Europea. Esto permitió la libre circulación de información de carácter personal desde territorio de la UE a los servidores de las empresas estadounidenses. La Comisión, en virtud de la Directiva de Protección de Datos 95/46/CE, tiene la competencia para realizar este tipo de decisiones. Actualmente, existen once estados más que gozan dicha consideración de “puerto seguro”. Todos ellos fueron designados como tal mediante decisiones de la Comisión Europea.

Sin embargo, últimamente se habían producido denuncias por parte de ciudadanos europeos ante la cada vez mayor injerencia por parte de las autoridades estadounidenses. En efecto, las empresas estadounidenses se enfrentan a la disyuntiva de cumplir con las exigencias de protección y privacidad impuestas por el régimen de “puerto seguro” o bien atender las demandas de diversos organismos gubernamentales estadounidenses de entrega de dicha información. Ante este panorama, el Tribunal de Justicia de la UE ha declarado que el régimen de “puerto seguro” ya no es suficiente y que las autoridades  nacionales de protección de datos (en el caso español, la Agencia Española de Protección de Datos) tienen la facultad y el deber de velar por el cumplimiento de la normativa vigente sobre protección de datos, examinando cualquier denuncia que pudieran recibir.

La referida sentencia:

“…estima que la existencia de una Decisión de la Comisión que declara que un país tercero garantiza un nivel de protección adecuado de los datos personales transferidos no puede dejar sin efecto ni limitar las facultades de las que disponen las autoridades nacionales de control en virtud de la Carta de los Derechos Fundamentales de la Unión Europea y de la Directiva.

Como consecuencia de esta sentencia, se requiere a las autoridades nacionales de protección de datos que examinen cuidadosamente toda reclamación ciudadana  en relación con la potencial vulneración de su derecho a la privacidad por empresas radicadas en los EE.UU., incluso si dichas empresas han adoptado los principios relativos al “puerto seguro”. Al término de su investigación, deberán decidir si, en virtud de la Directiva, debe suspenderse la transferencia de los datos porque ese país no ofrece un nivel de protección adecuado al tratamiento de los datos personales. La sentencia de la Corte Europea ha abierto una ventana para el examen del cumplimiento de los requisitos de protección de datos no solo en los EE.UU., sino en todo territorio calificado por la Comisión como “puerto seguro”.

Ante este panorama,  es muy recomendable que aquellas empresas que transfieren datos personales entre la Unión Europea y los Estados Unidos revisen  sus procedimientos y políticas internas para asegurar el cumplimiento de la Directiva Europea de Protección de Datos así como de las respectivas legislaciones internas. Si bien en los medios de comunicación se ha señalado que la sentencia del tribunal comunitario afecta a empresas como Facebook, Google, etc., lo cierto es que la decisión concierne también a todas las empresas, incluso las de carácter industrial, que de una forma u otra transfieren datos desde Europa a los Estados Unidos de América.

Miquel Campos Faura
FORNESA ABOGADOS

La sentencia dictada en el asunto C-362/2014

Desde el siguiente enlace puede descargar la información completa en PDF