lunes, 20 de julio de 2020

La nueva sentencia Facebook-Schrems más allá de la invalidez del Escudo de Privacidad


               Como ha tenido amplio reflejo mediático, aspecto fundamental de la sentencia del Tribunal de Justicia del pasado jueves en el asunto Facebook Ireland y Schrems, C-311/18, EU:C:2020:559, es la declaración de invalidez de la Decisión de Ejecución (UE) 2016/1250 de la Comisión sobre la adecuación de la protección conferida por el Escudo de la Privacidad UE-EEUU. Hasta esa declaración el llamado Escudo de Privacidad servía de fundamento legal a una parte muy significativa de las transferencias de datos personales desde la UE hasta EEUU, en la medida en que estuvieran destinadas a entidades establecidas en EEUU adheridas al Escudo de privacidad. La trascendencia práctica de la declaración de invalidez se ve acentuada por el pronunciamiento del Tribunal de Justicia de no mantener los efectos de la mencionada Decisión de Ejecución (UE) 2016/1250, por considerar que su anulación no crea un vacío legal, habida cuenta de que el régimen aplicable a las transferencias de datos entre la UE y EEUU viene determinado, en ausencia de una decisión de adecuación –como la que establecía el Escudo de Privacidad y que resulta invalidada-, por lo dispuesto básicamente en el artículo 49 RGPD (apdo. 202 de la sentencia). Más allá de las consecuencias derivadas de la anulación del Escudo de Privacidad y la imposibilidad de realizar transferencias a EEUU sin necesidad de autorización con base en esa decisión de adecuación conforme al artículo 45 RGPD, el fundamento de la sentencia reseñada para declarar la invalidez tiene también implicaciones muy significativas en relación con las posibles alternativas para transferir datos a EEUU (y otros terceros Estados) en virtud del Capítulo V del RGPD.  


I. Fundamento de la declaración de invalidez de la Decisión de la Comisión sobre el Escudo de Privacidad

               La anulación de la Decisión sobre el Escudo de Privacidad es consecuencia de la apreciación por el Tribunal de Justicia de que la constatación por la Comisión en esa Decisión de que EEUU garantiza efectivamente un nivel de protección adecuado –es decir, sustancialmente equivalente al que asegura el ordenamiento jurídico de la Unión- de los datos personales transferidos en virtud del Escudo de Privacidad no se corresponde con la realidad. Básicamente los derechos fundamentales implicados son los garantizados en los artículos 7 y 8 de la Carta. El primero recoge el derecho al respeto a la vida privada y familiar, de su domicilio y de sus comunicaciones, mientras que el artículo 8.1 reconoce a toda persona el derecho a la protección de los datos de carácter personal que le conciernan. Pero también resultan relevantes otros, especialmente el derecho fundamental a la tutela judicial efectiva del artículo 47 de la Carta.

               En concreto, el Tribunal de Justicia constata que la Decisión sobre el Escudo de Privacidad admite con carácter general posibles injerencias de las autoridades de EEUU en los derechos fundamentales de los afectados cuyos datos son objeto de transferencia que puedan resultar de exigencias concernientes a la seguridad nacional, el interés público y el cumplimiento de la ley de EEUU. La principal preocupación a este respecto deriva de la eventual utilización de esos datos por las autoridades estadounidenses a esos efectos en el marco de programas de vigilancia de sus servicios de inteligencia, como los sistemas de vigilancia PRISM o Upstream, que no se encuentran sujetos a exigencias que aseguren el respeto del principio de proporcionalidad en el alcance de esas injerencias, ya que no se ciñen a lo estrictamente necesario. El Tribunal pone de relieve la falta de limitaciones en lo relativo a la ejecución de esos programas de vigilancia –que, por ejemplo, permiten la recopilación en bloque de datos personales en tránsito hacia EEUU sin ningún control judicial-, la ausencia de garantías para las personas no nacionales de los EEUU que sean objeto de tales programas, así como la no atribución a esos interesados de derechos exigibles a las autoridades estadounidenses ante los tribunales (apdos.  180-185 de la sentencia de 16 de julio de 2020).

               El segundo ámbito en la que el Tribunal de Justicia constata que la situación en EEUU no permite garantizar un nivel de protección sustancialmente equivalente al garantizado en el ordenamiento jurídico de la Unión es el relativo a la exigencia de un control jurisdiccional efectivo, proclamado por el artículo 47 de la Carta y que reclama posibilidades efectivas de que el interesado ejercite acciones administrativas y judiciales en el país tercero destino de la transferencia de sus datos personales.  El Tribunal pone de relieve que las lagunas existentes a este respecto en el ordenamiento de EEUU –en especial, la inexistencia en el marco de los programas de vigilancia de derechos de los interesados exigibles a las autoridades de EEUU ante los tribunales- no son subsanadas mediante la creación en marco del Escudo de Privacidad de la figura del mecanismo específico del Defensor del Pueblo establecido a estos efectos por las autoridades de EEUU. Ese singular mecanismo no garantiza que los interesados tengan la posibilidad de ejercer acciones ante un tribunal independiente e imparcial para acceder a los datos personales que les conciernen o para obtener su rectificación o supresión (apdos. 194 a 198 de la sentencia).

II. Tratamiento de datos personales con fines de seguridad nacional

               En la medida en que las prácticas de EEUU cuya compatibilidad con la garantía de un nivel de protección adecuado se cuestionaba resultaban básicamente del eventual tratamiento de los datos transferidos por las autoridades de ese país por razones de seguridad nacional y a efectos de la aplicación de la ley y de la administración de los asuntos exteriores del país, la primera de las cuestiones prejudiciales planteadas buscaba respuesta a las dudas que podían surgir con respecto a la eventual aplicación de la legislación sobre datos personales de la Unión a estas situaciones. Conforme al artículo 4.2 del Tratado de la Unión Europea, la Unión respeta las funciones esenciales del Estado, como mantener el orden público y salvaguardar la seguridad nacional, especificando que la seguridad nacional seguirá siendo responsabilidad exclusiva de cada Estado miembro. Por su parte, el artículo 2.2 RGPD establece que el Reglamento no se aplica al tratamiento de datos personales en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión (apdo a); al tratamiento por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de la Política Exterior y de Seguridad Común (apdo. b); ni al tratamiento por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención (apdo d).

               El Tribunal de Justicia considera que ninguna de estas exclusiones resulta relevante a los efectos de que el Derecho de la Unión en materia de protección de datos personales no sea aplicable con respecto a transferencias de datos personales entre dos operadores económicos con fines comerciales, en el caso del litigio principal Facebook Ireland y Facebook Inc. Una vez constatado que el Derecho de la Unión en materia de protección de datos personales es aplicable en todo caso a ese tipo de transferencias, el Tribunal considera que eso necesariamente debe incluir el eventual control de los ulteriores tratamientos a que esos datos personales se puedan ver expuestos como consecuencia de su transferencia aunque tengan lugar con fines de seguridad pública, defensa o seguridad del Estado por parte de las autoridades del país tercero de que se trate (apdos. 86 y 87 de la sentencia).

               Más allá del caso concreto, este planteamiento del Tribunal de Justicia será relevante a efectos de futuras decisiones de adecuación respecto de Estados terceros condicionando la evaluación de la Comisión contemplada en el artículo 45.3, que habrá de prestar especial atención a los ulteriores tratamientos a los que puedan verse sometidos los datos transferidos por las autoridades del tercer Estado con fines de seguridad pública. Ciertamente, esta constatación puede condicionar futuras decisiones de adecuación, por ejemplo, en relación con el Reino Unido en el marco del Brexit, e incluso requerir la revisión de alguna de las ya adoptadas, en la medida en que puedan surgir dudas sobre este particular. A este respecto, resulta relevante la doctrina del Tribunal de Justicia según la cual las decisiones de la Comisión sobre adecuación tienen carácter obligatorio para las autoridades de control nacionales, que no pueden suspender o prohibir transferencias comprendidas en una de esas decisiones mientras no sea declarada inválida por el Tribunal de Justicia. Ahora bien, en caso de que un interesado cuyos datos sean objeto de transferencia ponga en entredicho fundadamente el que las transferencias basadas en una de esas decisiones cumplen con las exigencias establecidas por el RGPD, la autoridad de control debe interponer un recurso ante los tribunales nacionales para que estos planteen al Tribunal de Justicia una cuestión prejudicial sobre la validez de esa decisión (apdos. 156 a 158 de la sentencia).

III. Transferencias mediante cláusulas tipo de protección de datos y otras garantías adecuadas

               Como es sabido, en la medida en que con respecto al tercer Estado destino de la transferencia de datos personales no exista una decisión de adecuación en virtud del artículo 45 RGPD, las transferencias solo pueden realizarse si existen garantías adecuadas conforme a lo previsto en el artículo 46.2 RGPD o, en su defecto, cuando sea aplicable alguna de las excepciones para situaciones específicas establecidas en el artículo 49 RGPD.

               Con respecto a las garantías adecuadas, la sentencia de 16 de julio en el asunto C-311/18 dedica atención detallada al empleo de cláusulas tipo de protección de datos (art. 46.2.c) RGPD), habida cuenta de que Facebook Ireland había puesto de relieve su empleo como fundamento de las transferencias cuestionadas. Si bien el Tribunal de Justicia confirma la validez de la Decisión de la Comisión 2010/87/UE relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, en su versión modificada por la Decisión de Ejecución (UE) 2016/2297, lo cierto es que la sentencia está llamada a tener una profunda repercusión sobre el uso de este tipo de garantías como fundamento de transferencias a terceros Estados, en particular en las relaciones transatlánticas.

Tanto para el uso de esas cláusulas tipo como para el empleo de otras garantías adecuadas tendrá especial repercusión en el futuro las consecuencias que el Tribunal extrae de la exigencia de asegurar que las personas cuyos datos personales son objeto de transferencia a un país tercero con base en una de esas garantías gozan respecto de los datos transferidos de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión (apdo. 96 de la sentencia). En la medida en que las carencias de la normativa del tercer Estado destinatario de los datos, por ejemplo, en lo relativo al ulterior acceso de las autoridades de ese país a los datos transferidos, puedan tener como consecuencia que el empleo de las cláusulas tipo entre las partes de la transferencia no resulta suficiente para asegurar un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión, la transferencia no estará amparada con base en el artículo 46.2 RGPD. De hecho, en tales situaciones, la autoridad nacional de control estará obligada a suspender o prohibir la transferencia de datos personales (apdo. 113 de la sentencia).

Por consiguiente, el empleo de cláusulas tipo no exime de la necesidad de valorar si, a la luz de las circunstancias que rodean la transferencia, las cláusulas tipo de protección de datos no se respetan o no pueden ser respetadas en el país tercero al que los datos van a ser transferidos, de modo que no puede garantizarse un nivel de protección equivalente al existente en la UE. En relación con las transferencias entre la UE y EEUU, las carencias en el sistema jurídico estadounidense que sirven de fundamento en la sentencia a la declaración de invalidez de la Decisión de la Comisión sobre el Escudo de Privacidad, parecen poner también en entredicho el que la transferencia pueda tener lugar de modo respetuoso con lo exigido en el RGPD mediante el empleo de cláusulas tipo de protección. Incluso aunque la sentencia no aborda esta cuestión es de prever que se planteen dudas similares con respecto al empleo de otras garantías contempladas en el artículo 46, como es el caso de las normas corporativas vinculantes, en las transferencias entre la UE y EEUU.

IV. Excepciones para situaciones específicas: el consentimiento explícito del interesado

            En defecto de decisión sobre adecuación y de garantías adecuadas, las transferencias únicamente son posibles si concurre alguna de las excepciones para situaciones específicas establecidas en el artículo 49 RGPD. Al margen de que la transferencia resulte necesaria para determinadas finalidades (como la ejecución de un contrato), tiene especial importancia práctica la posibilidad de que el interesado haya dado explícitamente su consentimiento a la transferencia (art. 49.1.a) RGPD). De hecho, en el asunto C-311/18 el Gobierno alemán consideraba que las cuestiones prejudiciales eran inadmisibles por no haber comprobado el órgano de remisión si el interesado cuyos datos eran objeto de transferencia había dado su consentimiento de forma indubitada a las transferencias, lo que tendría como efecto hacer innecesaria una respuesta a esa cuestión (apdo. 72). No obstante, el Tribunal constató que Facebook Ireland había reconocido que una gran parte de sus transferencias de datos personales a Facebook Inc. cuya legalidad se impugnaba, se realizaban sobre la base de cláusulas tipo de protección de datos (apdo. 74).

               Aunque no aborde esta cuestión, cabe considerar que más allá de lo ya señalado, la nueva sentencia también condicionará el eventual recurso a la excepción basada en el consentimiento del interesado como fundamento de las transferencias a EEUU. En concreto, el artículo 49.1.a) RGPD no solo exige que el consentimiento a la transferencia propuesta haya sido otorgado por el interesado de manera explícita sino que requiere además que tal consentimiento se preste por el interesado “tras haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas”.

V. De nuevo acerca de la deficiente aplicación de la legislación europea sobre protección de datos

               Mucho se ha escrito en los últimos años acerca del RGPD y su importancia como reflejo del potencial de la UE para difundir los valores en los que se funda en otras regiones del mundo, habida cuenta de la influencia clave de la legislación de protección de datos personales de la UE en la elevación de los estándares de protección en la materia en muchos países del mundo. Esta sentencia además de contribuir a perfilar el alcance de la protección de datos personales en la UE y salvaguardar su eficacia en lo relativo a las transferencias internacionales pone una vez más de relieve la deficiente aplicación de la legislación de la Unión en la materia. Así resulta de que pese al poder de las autoridades nacionales de control (y de la Comisión para no adoptar una Decisión como la ahora declarada inválida especialmente tras la experiencia anterior del sistema de Puerto Seguro), sea la reclamación de un particular la que lleve a constatar con evidente retraso la “ilegalidad” de innumerables transferencias de datos de millones de interesados de la Unión Europea. Por ello, esta sentencia debe también mover a la reflexión acerca del coste para la Unión Europea de la deficiente aplicación a operadores situados en terceros Estados del marco europea, en especial ante la evidencia de la ausencia de operadores globales de origen europeo en sectores como las redes sociales o los motores de búsqueda. No se trata de una crítica al elevado nivel de protección del que se ha dotado la Unión Europea sino a su deficiente aplicación práctica en el contexto de globalización de la actividad empresarial característica del entorno digital.