El Tribunal de Justicia de la Unión Europea ha anulado este martes la decisión de la Comisión Europea de considerar Estados Unidos como «puerto seguro» para la transferencia de datos personales de europeos, y deja en manos de los Estados miembros «decidir si debe suspenderse la transferencia» de la información de usuarios europeos en compañías como Facebook a Estados Unidos.
En su sentencia de este martes, el Tribunal señala que la ley estadounidense prevalece sobre el régimen de puerto seguro, por lo que las entidades del país «están obligadas a dejar de aplicar, sin limitación, las reglas de protección previstas» cuando entre en conflicto con las exigencias de seguridad nacional.
Ello permite «injerencias» de las autoridades norteamericanas en los derechos fundamentales de las personas y el acuerdo que firmó Bruselas con Washington en 2000 «no pone de manifiesto que en Estados Unidos haya reglas destinadas a limitar esas posibles injerencias, ni exista una protección jurídica eficaz contra éstas», explica la sentencia.
La Justicia europea recuerda al Ejecutivo comunitario que su obligación de comprobar si Estados Unidos «garantiza efectivamente un nivel de protección de los derechos fundamentales sustancialmente equivalente al garantizado en la UE». «El TUE observa que la Comisión no llevó a cabo ese examen, sino que se limitó a analizar el régimen de puerto seguro», advierte.
El tribunal europeo tiene competencia exclusiva para declarar la invalidez de un acto de la Unión, pero las autoridades nacionales pueden examinar si la transferencia de los datos de una persona a un tercer país respeta las exigencias de seguridad.
La sentencia de la Justicia europea responde al caso de un ciudadano austríaco, Maximillian Schrems, usuario de Facebook desde 2008. Sus datos, como el del resto de usuarios de esta red social en la UE, se transfieren total o parcialmente de la filial irlandesa de la compañía a servidores situados en suelo estadounidense, en donde son «objeto de tratamiento».
Schrems denunció ante la autoridad en Irlanda esta práctica, al considerar que las revelaciones de Edward Snowden en 2013 –sobre las actividades de los servicios secretos de Estados Unidos– demostraban que la normativa y la práctica de Estados Unidos «no garantizaban una protección suficiente de los datos transferidos a ese país, frente a las actividades de vigilancia por las autoridades públicas».
El Tribunal Supremo irlandés consultó al TUE si la decisión de 'puerto seguro' adoptada por el Ejecutivo comunitario impide a las autoridades nacionales impedir la transferencia de datos de sus nacionales en un caso así.
En su respuesta, el TUE deja claro que la existencia de un acuerdo de la Comisión que considera adecuado el nivel de protección de datos de un país tercero, «no puede dejar sin efecto ni limitar las facultades de las que disponen las autoridades nacionales de control, en virtud de la Carta de los Derechos Fundamentales de la UE y de la Directiva».