El TJUE invalida la Decisión de la Comisión de transferir datos personales a USA

1. STJUE, Gran Sala de 6 de octubre de 2.015. Rec. C-362/2014
El TJUE invalida la Decisión de la Comisión que permite la transferencia de datos personales
a USA.
La decisión de la Comisión –arriba citada- conculca la legislación de la Unión Europea respecto
del uso de los datos personales, al permitir a la Administración de USA el acceso a las
comunicaciones electrónicas de los particulares de forma generalizada.
La ratio decidendi de la Comisión se “apoya” en la Seguridad Nacional evitando la vulneración
del derecho fundamental a la vida privada.
El germen de esta Sentencia procede de las revelaciones efectuadas en USA por el Sr. Snowden
“sacadas” de las agencias de inteligencia de aquél país.
Un ciudadano austriaco presentó al comisario para la protección de datos de su país una
reclamación por la que solicitaba que se prohibiese a Facebook Irlanda a transferir los datos
personales a Facebook Inc., ubicada en Estados Unidos, donde son objeto de tratamiento,
porque entendía que el Derecho y las prácticas en vigor de USA no garantizan un nivel de
protección acorde a la legislación de su país.
El comisario desestimó la reclamación y dictaminó que en base a la Decisión 200/520, de 26 de
julio, por la que se ratifica que USA garantiza un nivel de protección adecuado para la
protección de los datos personales transferidos desde la Unión a entidades establecidas en su
territorio, no estaba obligado a investigar aquéllos hechos.
El TJUE “casa” la decisión del comisario dando la razón al ciudadano austriaco. La razón por la
que adopta esta decisión se basa en que la autoridad nacional de control (de cada país de la
UE) es independiente y está investida de la competencia para comprobar si una transferencia
de datos personales desde el Estado miembro hacia un tercer país respeta las exigencias
establecidas por la Directiva comunitaria 95/46, de protección a las personas físicas en el
tratamiento de datos personales.
Siendo cierto que la autoridad nacional de control no es competente para declarar invalida la
Decisión del Comisario –competencia que recae en el TJUE-, sí tiene competencia para
examinar las solicitudes de sus nacionales dirigidas a determinar la concordancia (y
compatibilidad) legislativa de la Decisión del Comisario con su legislación patria; en este caso,
con la protección de las libertades y derechos fundamentales de las personas, máxime cuando
se alega que no se garantiza en el tercer país (en este caso USA) una protección adecuada en
este ámbito.
La razón por la que el TJUE concluye que la Decisión del Comisario es inválida, radica en que en
USA las entidades que reciben datos personales de la Unión Europea están sometidas al
principio de “puerto seguro”, mediante su auto certificación, pero sin embargo, las autoridades
públicas estadounidenses pueden limitar ese adecuado nivel de protección en base a
exigencias de seguridad nacional, interés público y cumplimiento de la ley de Estados Unidos;
es decir, sin acatar la legislación del Estado del que provienen los datos, llevándonos –
indubitadamente- a injerencias en el ámbito privado.

2. No obstante lo expuesto, lo más peliagudo, es que la Decisión que ahora se invalida elimina
casi de un plumazo la posibilidad de que las autoridades nacionales puedan tomar medidas
para asegurar el cumplimiento del art. 25 de la Directiva 95/46, lo que no sólo no es de recibo,
sino que –en mi opinión- conculca la teleología de la protección de datos.
Quizá “lege ferenda” habría que dotar a las autoridades nacionales para que éstas pudieran
tomar las citadas medidas; evidentemente baja, de darse el caso, la ratificación o no del
Órgano Judicial competente.
La consecuencia se desprende de lo expuesto; en lo sucesivo las agencias de inteligencia
norteamericanas, deberán respetar la legislación europea (o legislaciones europeas) en las
transferencias de datos personales.