Petición de decisión prejudicial planteada por la High Court (Irlanda) el 9 de mayo de 2018 — Data Protection Commissioner / Facebook Ireland Limited, Maximillian Schrems
(Asunto C-311/18)
Lengua de procedimiento: inglés
Órgano jurisdiccional remitente
High Court (Irlanda)
Partes en el procedimiento principal
Demandante: Data Protection Commissioner
Demandadas: Facebook Ireland Limited, Maximillian Schrems
Cuestiones prejudiciales
1) ¿Es la normativa de la Unión [,incluida la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»)], sin perjuicio de lo dispuesto en los artículos 4 TUE, apartado 2, respecto a la seguridad nacional, y 3, apartado 2, primer guion, de la Directiva 95/46/CE 1 (en lo sucesivo, «Directiva»), en relación con la seguridad pública, la defensa y la seguridad del Estado, aplicable a la transferencia de datos personales en un contexto en el que una empresa privada de un Estado miembro de la Unión Europea transfiere, con arreglo a la Decisión 2010/87/UE, 2 en su versión modificada por la Decisión 2016/2297 3 de la Comisión (en lo sucesivo, «Decisión CCT»), a una empresa privada de un tercer país datos personales con fines comerciales que pueden ser tratados posteriormente por las autoridades de ese tercer país no solo por razones de seguridad nacional, sino también a efectos de la aplicación de la ley y de la administración de los asuntos exteriores del país?
2) 1. A efectos de la Directiva, al determinar si el hecho de transferir con arreglo a la Decisión CCT datos desde la Unión Europea a un tercer país en el que posteriormente pueden tratarse dichos datos por razones de seguridad nacional constituye una vulneración de los derechos de una persona, ¿el elemento de referencia pertinente es:
a) la Carta, el TUE, el TFUE, la Directiva, el CEDH (o cualquier otra disposición del Derecho de la Unión), o bien
b) la legislación nacional de uno o varios Estados miembros?
2. Si el elemento de referencia pertinente es el mencionado en la letra b), ¿deben incluirse en él también las prácticas seguidas en el contexto de la seguridad nacional en uno o varios Estados miembros?
3) Al valorar si un tercer país garantiza el nivel de protección que exige la normativa de la Unión para transferir datos personales a dicho país a efectos del artículo 26 de la Directiva, ¿deberá evaluarse el nivel de protección ofrecido en ese tercer país atendiendo a:
a) las reglas aplicables en ese tercer país derivadas de la legislación interna o de los compromisos internacionales de este, así como a la práctica seguida para asegurar el cumplimiento de esas reglas, al efecto de incluir las normas profesionales y las medidas de seguridad que aplica dicho país,
o bien
b) las reglas referidas en la letra a) junto con tales prácticas administrativas, reglamentarias y de ejecución y las medidas de protección y los procedimientos, protocolos, mecanismos de control y recursos extrajudiciales aplicables en el tercer país?
4) ¿Constituye una violación de los derechos de toda persona contemplados en los artículos 7 y/u 8 de la Carta la transferencia de datos personales desde la Unión Europea a EE.UU. [con arreglo a la Decisión CCT], habida cuenta de los hechos probados por la High Court (Tribunal Superior) en relación con la normativa de EE.UU.?
5) Habida cuenta de los hechos probados por la High Court respecto a la normativa de EE.UU., en el supuesto de que se transfieran datos personales desde la Unión Europea a EE.UU. con arreglo a la Decisión CCT:
a) ¿Respeta el nivel de protección proporcionado por EE.UU. el contenido esencial del derecho de toda persona a la tutela judicial efectiva garantizado por el artículo 47 de la Carta en caso de violación del derecho a mantener la privacidad de sus datos?
En caso de respuesta afirmativa a la cuestión planteada en la letra a):
b) ¿Son proporcionadas, en el sentido del artículo 52 de la Carta, las limitaciones impuestas por la legislación de EE.UU. al ejercicio del derecho de toda persona a la tutela judicial en el contexto de la seguridad nacional de ese país, y no van más allá de lo necesario para salvaguardar la seguridad nacional en una sociedad democrática?
6) 1. ¿Cuál es, en virtud del artículo 26, apartado 4, a la luz de las disposiciones de la Directiva, y en particular de los artículos 25 y 26, interpretados a la luz de la Carta, el nivel de protección que debe proporcionarse a los datos personales transferidos a un tercer país con arreglo a cláusulas contractuales tipo estipuladas de conformidad con una decisión de la Comisión?
2. ¿Cuáles son los elementos que han de tomarse en consideración al valorar si el nivel de protección proporcionado a los datos transferidos a un tercer país en virtud de la Decisión CCT cumple los requisitos establecidos por la Directiva y la Carta?
7) El hecho de que las cláusulas contractuales tipo sean aplicables al exportador de datos y al importador de datos, pero no resulten vinculantes para las autoridades nacionales de un tercer país, que pueden exigir al importador de datos que facilite a sus servicios de seguridad, para su posterior tratamiento, los datos personales transferidos con arreglo a las cláusulas establecidas en la Decisión CCT, ¿impide que se incluyan en las cláusulas contractuales tipo las garantías de protección adecuadas previstas en el artículo 26, apartado 2, de la Directiva?
8) Si un importador de datos de un tercer país está sujeto a normas de vigilancia que, en opinión de una autoridad de protección de datos, entran en conflicto con las cláusulas mencionadas en el anexo de la Decisión CCT, en los artículos 25 y 26 de la Directiva o en la Carta, ¿está obligada una autoridad de protección de datos a ejercer las facultades en materia de aplicación de la legislación que le confiere el artículo 28, apartado 3, de la Directiva, para suspender los flujos de datos, o bien el ejercicio de dichas facultades se limita únicamente a situaciones excepcionales, a la luz del considerando 11 de la Directiva, o acaso puede la autoridad de protección de datos hacer uso de su potestad discrecional para no suspender tales flujos de datos?
9) 1. A los efectos del artículo 25, apartado 6, de la Directiva, ¿constituye la Decisión de Ejecución (UE) 2016/1250 4 (en lo sucesivo, «Decisión sobre el Escudo de la privacidad») una constatación de alcance general vinculante para las autoridades de protección de datos y los órganos jurisdiccionales de los Estados miembros en el sentido de que EE. UU., en virtud de su legislación nacional o de los compromisos internacionales que ha suscrito, garantiza un nivel de protección adecuado en el sentido del artículo 25, apartado 2, de la Directiva?
2. Si no es así, ¿qué relevancia tiene, en su caso, la Decisión sobre el Escudo de la privacidad en la valoración efectuada en cuanto a la adecuación de la protección ofrecida a los datos transferidos a EE.UU. conforme a la Decisión CCT?
10) Habida cuenta de las consideraciones de la High Court respecto a la legislación de EE.UU., ¿constituye la figura del Defensor del Pueblo en el ámbito del Escudo de la privacidad a que se refiere el anexo A del anexo III de la Decisión sobre el Escudo de la privacidad, en combinación con el régimen vigente en EE.UU., una garantía de que este país ofrece una vía de recurso compatible con el artículo 47 de la Carta a los interesados cuyos datos personales son transferidos a EE.UU. con arreglo a la Decisión CCT?
11. ¿Viola la Decisión CCT los artículos 7, 8 y/o 47 de la Carta?
____________
1 Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31).
2 Decisión de la Comisión de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo (DO 2010, L 39, p. 5).
3 Decisión de Ejecución (UE) 2016/2297 de la Comisión, de 16 de diciembre de 2016, por la que se modifican las Decisiones 2001/497/CE y 2010/87/UE, relativas a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo (DO 2016, L 344, p. 100).
4 Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU. (DO 2016, L 207, p. 1).