El Tribunal de Justícia de la Unió Europea (UE) a la sentència de 6 d’octubre ha invalidat la Decisió de la Comissió Europea 200/520/CE que considerava que els Estats Units garanteixen un nivell de protecció adequat de les dades personals i permetia la transferència d’informació pertanyent a ciutadans europeus.
La sentència estableix que les dades personals dels ciutadans europeus emmagatzemades per empreses americanes no tenen un nivell de protecció similar al que se’ls atorga a la UE per l’adhesió a la decisió de port segur i, per tant, les autoritats nacionals de protecció de dades poden suspendre’n l’aplicació si tenen sospites que les normes europees no es compleixen.
El TJUE ha donat resposta a la llarga batalla legal contra Facebook que l’estudiant de dret austríac, Max Schrems, va iniciar després de les revelacions realitzades el 2013 per l’exagent de la CIA, Edward Snowden, de les activitats dels serveis d’informació nord-americans, en particular, de l’Agència Nacional de Seguretat.
Segons la legislació comunitària (Directiva 95/46/CE de 24 d’octubre de 1995 relativa a la protecció de les persones físiques respecte al tractament de dades personals i la lliure circulació d’aquestes), només es poden transferir dades personals a un país tercer si aquest garanteix un nivell de protecció adequat. La Comissió Europea pot declarar, per part seva, que un país tercer garanteix un nivell de protecció adequat pel que fa a la seva legislació interna o als seus compromisos internacionals (article 25.6 de la Directiva 95/46/CE) i així ho va declarar envers els EUA en la Decisió 2000/520/CE.
D’altra banda, aquesta normativa comunitària sobre protecció de dades també estableix que cada Estat membre ha de designar una o diverses autoritats públiques encarregades de controlar l’aplicació al seu territori de les normes de la UE en la matèria.
És per això que Schrems, usuari de Facebook des de 2008, va presentar una denúncia davant l’autoritat irlandesa de protecció de dades per considerar que la normativa i la pràctica d’EUA no garantien una protecció suficient de les dades transferides. Com passa amb la resta d’usuaris que resideixen a la UE, les dades proporcionades per Schrems a Facebook es transfereixen totalment o parcialment de la filial irlandesa d’aquesta xarxa social a servidors situats en territori dels EUA, on són objecte de tractament.
L’autoritat de protecció de dades irlandesa va desestimar la reclamació en part perquè la UE ja havia considerat en la seva Decisió 2000/520/CE que els Estats Units era un “port segur” i que es garantia un nivell adequat de protecció de les dades personals transferides. La llista d’entitats nord-americanes adherides als principis de “port segur” està disponible a http://www.export.gov/safeharbor. No obstant això, el Tribunal Suprem irlandès va decidir preguntar al TJUE si aquesta decisió de la UE efectivament impedeix a una autoritat nacional de protecció de dades investigar una denúncia en la qual s’al·lega que un país tercer no garanteix un nivell de protecció adequat i, si s’escau, suspendre la transferència de dades denunciada.
La sentència de 6 d’octubre el TJUE considera que aquesta Decisió 2000/520/CE no pot deixar sense efecte ni limitar les facultats de què disposen les autoritats nacionals de protecció de dades i que cap disposició de la directiva europea en la matèria impedeix que les autoritats nacionals controlin les transferències de dades personals a tercers països que hagin estat objecte d’una decisió de la Comissió.
D’altra banda, declara invàlida la Decisió 2000/520/CE sobre els EUA, ja que el TJUE considera que la Comissió no va dur a terme l’examen oportú per determinar que aquest país garanteix efectivament, respecte a la seva legislació interna o als seus compromisos internacionals, un nivell de protecció dels drets fonamentals substancialment equivalent al garantit a la Unió.
Els motius pels quals es considera invàlida la decisió, en síntesi, són:
-Que es va fer prevaldre de forma incondicionada i sense cap limitació la seguretat nacional, l’interès públic o el compliment de la llei sobre els drets fonamentals a la intimitat i la protecció de dades, sense atorgar als ciutadans europeus cap mitjà per a obtenir la tutela efectiva d’aquests drets.
-Perquè no atorga als estats membres un marge suficient per suspendre les transferències en cas que aquests apreciessin una vulneració dels drets dels ciutadans europeus.
Les implicacions de la sentència, com assenyalen les autoritats europees de protecció de dades, marquen un punt d’inflexió sobre la forma en què es realitzen les transferències internacionals de dades als EUA, que ja havien observat deficiències en el sistema de “port segur” i les havien plasmat en diverses cartes i dictàmens. La mateixa sentència, parafrasejant la Comissió, destaca que totes les entitats que eren al programa de la NSA que va desvetllar Snowden eren a la llista de “port segur”.
Els darrers pronunciaments jurisprudencials adreçats cap a una exigència de control dels poders d’investigació de l’Estat (sentència de 8 d’abril de 2014, sobre l’anul·lació de la directiva de retenció de dades) i una submissió de les empreses tecnològiques dels EUA a la legalitat europea (sentència 13 de maig de 2014, sobre Google i el dret a l’oblit) junt amb el que invalida la decisió sobre “port segur” en les transferències de dades als EUA conformen un nou bloc d’interpretació que podria donar lloc a un reforçament del dret fonamental a la protecció de dades a Europa.
No obstant això, cal tenir en compte que la protecció de dades va quedar exclosa de les negociacions sobre el tractatd’Associació Transatlàntica de Comerç i Inversions (TTIP) que la Unió Europea i EUA pretenen tancar a finals de 2016, i que, fins ara, les empreses nord-americanes podien obtenir dades dels usuaris europeus i transferir-los als seus servidors dels EUA sense haver de sotmetre’ls a les polítiques de privacitat de la UE molt més estrictes. El Consell Econòmic i Social, en el seudictamen 2014/C 424/02, de 4 de juny de 2014, ja havia subratllat la preocupació perquè l’ATCI pugui dur a un debilitament de les normes sobre protecció de dades personals a la UE i als EUA el que obriria la porta al fet que els ciutadans veiessin la protecció de les seves dades en perill i la seva intimitat vulnerada. D’acord amb el compromís esmentat en el punt 6.1, de les conclusions del dictamen, relatiu al manteniment del rigor dels estàndards normatius existents, és essencial que no es rebaixin les normes de protecció en aquest àmbit i que als ciutadans de la UE se’ls garanteixi el mateix nivell de protecció, de conformitat amb la legislació sobre protecció de dades de la UE, quan operin amb empreses situades als EUA.
Els efectes d’aquest pronunciament, per tant, van molt més enllà de la informació de les xarxes socials i afectarà també les empreses multinacionals que han de transferir dades d’empleats o clients. Els estàndards de protecció i garantia dels drets fonamentals establerts a la Carta dels Drets Fonamentals de la Unió Europea es configuren així com un límit “constitucional” al futur tractat d’Associació Transatlàntica de Comerç i Inversions (TTIP) i a les reglamentacions i normes que se’n puguin derivar.
Maria del Mar Pérez Velasco
Professora del Departament de Dret Constitucional i Ciència Política de la UB.