La segunda oleada del caso Schrems plantea una breve reflexión de urgencia a compartir con los lectores de nuestra Revista. No se trata tanto de realizar aquí una narración que ha realizado magistralmente nuestro compañero Carlos B Fernández en el Diario La Ley (El TJUE invalida el acuerdo Privacy Shield para la transferencia de datos entre la Unión Europea y los EEUU), como de centrar nuestra atención en ciertas consideraciones materialmente relevantes desde un punto de vista constitucional.
En primer lugar, el Tribunal de Justicia de la Unión Europea viene a señalar un elemento relevante. El artículo 45.2 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (LA LEY 6637/2016) (RGPD) señala que: al evaluar la adecuación del nivel de protección, la Comisión tendrá en cuenta, en particular «el Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales (…) así como el reconocimiento a los interesados cuyos datos personales estén siendo transferidos de derechos efectivos y exigibles y de recursos administrativos y acciones judiciales que sean efectivos».
La cuestión prejudicial sitúa la cuestión en la órbita de los artículos 7 (LA LEY 12415/2007) y 8 de la Carta de los Derechos Fundamentales de la Unión Europea (LA LEY 12415/2007) y pone de manifiesto dos cuestiones relevantes: un ciudadano europeo carece de las posibilidades de invocar la Cuarta Enmienda de la Constitución de los Estados Unidos, —precisamente la que ofrece cobertura a la privacidad, la inviolabilidad del domicilio y el secreto de las comunicaciones—, tendrá serias dificultades a la hora de invocar su legitimación ante un tribunal, y la nueva figura del “Defensor del Pueblo” no ofrece una garantía equiparable.
Esta situación arranca con la USA Patriot ACT con un modelo que como ya se afirmaba por este autor en su tesis doctoral en 2004 relajaba extraordinariamente, incluso eliminaba la garantía de los derechos frente a las injerencias estatales. Con motivo de la sentencia Schrems I ya subrayamos que a pesar de la sentencia la Foreign Intelligence Surveillance Act (FISA) existe (Safe Harbor: retos para el modelo europeo de la privacidad) y el problema, como ha sido el caso se iba a volver a reproducir.
Y el TJUE se ha reafirmado en un criterio claro. La subordinación de los Estados Miembros a las Decisiones que les vinculan, no implican un deber de abstención de las autoridades de protección de datos en la tutela y garantía del derecho fundamental a la protección de datos. Simplemente modulan su acción que pasaría por una secuencia de intervención de los tribunales nacionales y el TJUE:
120. Por tanto, incluso habiendo adoptado la Comisión una decisión de adecuación, la autoridad nacional de control competente, a la que una persona haya presentado una reclamación para proteger sus derechos y libertades frente al tratamiento de datos personales que la conciernen, debe poder apreciar con toda independencia si la transferencia de esos datos cumple las exigencias establecidas por el RGPD y, en su caso, interponer un recurso ante los tribunales nacionales, para que estos, si concuerdan en las dudas de esa autoridad sobre la validez de la decisión de adecuación, planteen al Tribunal de Justicia una cuestión prejudicial sobre esta validez (véase por analogía, por lo que respecta al artículo 25, apartado 6, y al artículo 28 de la Directiva 95/46 (LA LEY 5793/1995), la sentencia de 6 de octubre de 2015, Schrems, C-362/14, EU:C:2015:650 (LA LEY 133806/2015), apartado 57 y 65).
En cuanto a las cláusulas contractuales tipo no se cuestiona su validez o regularidad. Cumplen precisamente una función sustantiva consistente en reequilibrar las garantías ofreciendo por vía contractual aquellas que no ofrezca necesariamente el país de destino de los datos. En efecto señala el TJUE:
95. En este contexto, el considerando 107 del RGPD dispone que, cuando «un tercer país, un territorio o sector específico en un tercer país […] ya no garantiza un nivel de protección de datos adecuado […], debe prohibirse la transferencia de datos personales a dicho tercer país […], salvo que se cumplan los requisitos [de dicho Reglamento] relativos a las transferencias basadas en garantías adecuadas». A tal efecto, el considerando 108 del referido Reglamento precisa que, en ausencia de una decisión por la que se constate la adecuación de la protección de los datos, las garantías adecuadas que corresponda adoptar al responsable o el encargado del tratamiento con arreglo al artículo 46, apartado 1, del mismo Reglamento deben «compensar la falta de protección de datos en un tercer país» para «asegurar la observancia de requisitos de protección de datos y derechos de los interesados adecuados al tratamiento dentro de la Unión».
Pero, en nuestra opinión cuando el TJUE define los criterios de valoración de unas cláusulas contractuales introduce un matiz significativo (la negrita es nuestra).
105. (…) A tal efecto, la evaluación del nivel de protección garantizado en el contexto de una transferencia de esas características debe, en particular, tomar en consideración tanto las estipulaciones contractuales acordadas entre el responsable o el encargado del tratamiento establecidos en la Unión y el destinatario de la transferencia establecido en el país tercero de que se trate como, por lo que atañe a un eventual acceso de las autoridades públicas de ese país tercero a los datos personales de ese modo transferidos, los elementos pertinentes del sistema jurídico de dicho país y, en particular, los mencionados en el artículo 45, apartado 2, del referido Reglamento.
Es decir, en el caso concreto podría y debería ser relevante verificar «el Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales (…) así como el reconocimiento a los interesados cuyos datos personales estén siendo transferidos de derechos efectivos y exigibles y de recursos administrativos y acciones judiciales que sean efectivos». Especialmente, teniendo en cuenta que difícilmente las excepciones que tradicionalmente se reservan los estados en materia de inteligencia no pueden ser soslayados por un acuerdo privado, incluido el deber de mantener el secreto ante una intervención de datos o comunicaciones.
Las diferencias entre la concepción europea y norteamericana respecto de los límites y controles en la lucha antiterrorista, inteligencia y contrainteligencia operan como una barrera prácticamente insalvable para las transferencias internacionales de datos
Todo ello plantea varias cuestiones nucleares:
-
1. Las diferencias entre la concepción europea y norteamericana respecto de los límites y controles en la lucha antiterrorista, inteligencia y contrainteligencia operan como una barrera prácticamente insalvable para las transferencias internacionales de datos.
-
2. La ineficacia, por su lentitud, al menos en la investigación de los delitos comunes, de los mecanismos de cooperación judicial internacional, y la propia inercia política y jurídica en EE.UU. abonan una permanente tentación de extraterritorialidad en la aplicación de su legislación en espacios altamente sensibles.
-
3. La carencia de un marco internacional de privacidad, que tan arduamente defendió la AEPD en 2011 en la Conferencia internacional de autoridades de protección de datos con una propuesta de Estándares Internacionales, es una situación insostenible.
Los flujos internacionales de datos personales, la provisión segura de servicios de cloud, Inteligencia Artificial y servicios emergentes de valor añadido, se despliegan en un marco global. La carencia de un marco común, global y confiable en la garantía de los derechos fundamentales es inadmisible y su atención urgente.
Ricard Martínez Martínez
Director de la LEY Privacidad