El 6 de octubre de 2015 el Tribunal de Justicia de la Unión Europea (TJCE) dictó sentencia en el asunto C-362/14, declarando inválida la Decisión de la Comisión Europea de 26 de julio de 2000 conocida como “Safe Harbor” o de Puerto Seguro.
La sentencia fue dictada a raíz de la Cuestión Prejudicial planteada por la High Court de Irlanda (Tribunal Supremo Irlandés) tras la denuncia presentada por el Sr. Maximillian Schrems (ciudadano austriaco y usuario de Facebook), en la que dicho ciudadano de la Unión Europea cuestionaba el nivel de seguridad y protección de los datos personales transferidos a EEUU por empresas como Facebook, tras las revelaciones realizadas en 2013 por Edward Snowden en relación con las actividades de los servicios de información de Estados Unidos, y más concretamente de la National Security Agency o “NSA”.
Tal y como sucede con el resto de ciudadanos residentes en la UE, los datos proporcionados por el Sr. Schrems a Facebook fueron transferidos por parte de la filial irlandesa de Facebook a servidores ubicados en los EEUU, donde estos datos personales son objeto de tratamiento.
Por cuanto respecta a la Decisión de la Comisión de Safe Harbor, el TJCE considera en su sentencia que la Comisión no llevó a cabo un control oportuno para determinar si EEUU garantizaba un nivel adecuado de protección de datos equivalente a la protección de los derechos fundamentales garantizado en la Unión Europea.
En su sentencia, el TJCE estima asimismo que la existencia de una Decisión de la Comisión que declara que un país tercero garantiza un nivel de protección adecuado de los datos personales transferidos, no puede dejar sin efecto ni limitar las facultades de las que disponen las autoridades nacionales de control en virtud de la Carta de Derechos Fundamentales de la Unión Europea y de la Directiva.
El Tribunal destaca en ese sentido el derecho a la protección de los datos personales garantizado por la Carta y la función que ésta atribuye a las autoridades nacionales de control.
En conclusión, el TJCE declara en su sentencia inválida la Decisión de la Comisión de 26 de julio de 2000, e insta a las autoridades nacionales de control (en nuestro caso la Agencia Española de Protección de Datos) a examinar y someter a su autorización las transferencias de datos personales a los EEUU.
Teniendo en cuenta todo lo anteriormente expuesto, las autoridades europeas de protección de datos están planificando en estos momentos actuaciones para coordinarse en el análisis de las implicaciones de esta sentencia, con el objeto de llevar a cabo las actuaciones a nivel nacional que sean necesarias, de manera que se garantice una aplicación uniforme en todos los países de la Unión Europea.
Por lo tanto, cabría esperar que tras este nuevo giro en materia de privacidad a nivel europeo, resultase necesario tramitar todas las transferencias de datos de aquellas empresas cuyos servidores se encuentren ubicados en los EEUU, como transferencias de datos a un país que no cuenta con un nivel adecuado de protección de datos, debiendo realizarse la correspondiente solicitud administrativa al Director de la AEPD en cada caso.
LetsLaw puntualmente informará de cualquier novedad sobre este asunto.