CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2015:650

Asunto C‑362/14

Maximillian Schrems

contra

Data Protection Commissioner

[Petición de decisión prejudicial planteada por la High Court (Irlanda)]

«Procedimiento prejudicial — Datos personales — Protección de las personas físicas frente al tratamiento de esos datos — Carta de los Derechos Fundamentales de la Unión Europea — Artículos 7, 8 y 47 — Directiva 95/46/CE — Artículos 25 y 28 — Transferencia de datos personales a países terceros — Decisión 2000/520/CE — Transferencia de datos personales a Estados Unidos — Nivel de protección inadecuado — Validez — Reclamación de una persona física cuyos datos han sido transferidos desde la Unión Europea a Estados Unidos — Facultades de las autoridades nacionales de control»

Sumario — Sentencia del Tribunal de Justicia (Gran Sala) de 6 de octubre de 2015

1. Aproximación de las legislaciones — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Directiva 95/46/CE — Interpretación a la luz de los derechos fundamentales

(Carta de los Derechos Fundamentales de la Unión Europea; Directiva 95/46/CE del Parlamento Europeo y del Consejo)

2. Aproximación de las legislaciones — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Directiva 95/46/CE — Autoridades nacionales de control — Exigencia de independencia

(Art. 16 TFUE, ap. 2; Carta de los Derechos Fundamentales de la Unión Europea, art. 8, ap. 3; Directiva 95/46/CE del Parlamento Europeo y del Consejo, considerando 62 y art. 28, ap. 1)

3. Aproximación de las legislaciones — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Directiva 95/46/CE — Autoridades nacionales de control — Facultades — Control de las transferencias de datos personales a terceros países — Inclusión

(Carta de los Derechos Fundamentales de la Unión Europea, art. 8, ap. 3; Directiva 95/46/CE del Parlamento Europeo y del Consejo, art. 28)

4. Aproximación de las legislaciones — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Directiva 95/46/CE — Transferencia de datos personales a países terceros — Adopción por la Comisión de una Decisión que constata un nivel de protección adecuado en un tercer país — Decisión de carácter obligatorio para todos los Estados miembros destinatarios — Examen de la validez de esa Decisión — Funciones respectivas de las autoridades nacionales de control y de los tribunales nacionales

(Art. 288 TFUE, párr. 4; Carta de los Derechos Fundamentales de la Unión Europea, arts. 8, ap. 3, y 47; Directiva 95/46/CE del Parlamento Europeo y del Consejo, arts. 25, ap. 6, y 28, aps. 3 y 4)

5. Aproximación de las legislaciones — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Directiva 95/46/CE — Transferencia de datos personales a países terceros — Adopción por la Comisión de una Decisión que constata un nivel de protección adecuado en un tercer país — Autoridad nacional de control a la que se presenta una solicitud de protección de los derechos y libertades frente al tratamiento de datos transferidos concernientes al solicitante — Solicitante que niega el nivel de protección adecuado en ese tercer país — Obligación de esa autoridad de examinar la solicitud — Alcance del examen

(Carta de los Derechos Fundamentales de la Unión Europea, arts. 7, 8 y 47; Directiva 95/46/CE del Parlamento Europeo y del Consejo, arts. 25, ap. 6, y 28)

6. Aproximación de las legislaciones — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Directiva 95/46/CE — Transferencia de datos personales a países terceros — Adopción por la Comisión de una Decisión que constata un nivel de protección adecuado en un tercer país — Concepto de nivel de protección adecuado — Criterios de apreciación — Facultad de apreciación de la Comisión

(Directiva 95/46/CE del Parlamento Europeo y del Consejo, art. 25, aps. 2 y 6)

7. Aproximación de las legislaciones — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Directiva 95/46/CE — Transferencia de datos personales a países terceros — Adopción por la Comisión de una Decisión que constata un nivel de protección adecuado en un tercer país — Decisión 2000/520/CE que constata un nivel de protección adecuado en los Estados Unidos — Invalidez

(Carta de los Derechos Fundamentales de la Unión Europea; Directiva 95/46/CE del Parlamento Europeo y del Consejo, arts. 25, ap. 6, y 28; Decisión 2000/520 de la Comisión, arts. 1 a 4)

8. Derechos fundamentales — Respeto de la vida privada — Protección de los datos personales — Normativa de la Unión que conlleva una injerencia en esos derechos fundamentales — Requisitos — Garantías suficientes contra los riesgos de abuso — Respeto del principio de proporcionalidad

(Carta de los Derechos Fundamentales de la Unión Europea, arts. 7 y 8)

1. Véase el texto de la resolución.

(véase el apartado 38)

2. Véase el texto de la resolución.

(véanse los apartados 40 y 41)

3. Las autoridades nacionales de control disponen de una amplia gama de facultades, y éstas, enumeradas de forma no exhaustiva por el artículo 28, apartado 3, de la Directiva 95/46, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, constituyen otros tantos medios necesarios para el cumplimiento de sus funciones, como destaca el considerando 63 de esa Directiva. Así pues, esas autoridades disponen, en particular, de facultades de investigación, como la de recabar toda la información necesaria para el cumplimiento de su misión de control, de facultades efectivas de intervención, como la de prohibir provisional o definitivamente un tratamiento de datos, o la capacidad de comparecer en juicio.

En lo que atañe a la facultad de controlar las transferencias de datos personales al tercer país, del artículo 28, apartados 1 y 6, de la Directiva 95/46 resulta ciertamente que las facultades de las autoridades nacionales de control abarcan los tratamientos de datos personales realizados en el territorio del Estado miembro de esas autoridades, de modo que éstas no disponen, con fundamento en ese artículo 28, de facultades respecto a los tratamientos de datos realizados en el territorio de un tercer país. No obstante, la operación consistente en hacer transferir datos personales desde un Estado miembro a un tercer país constituye por sí misma un tratamiento de datos personales realizado en el territorio de un Estado miembro. Por consiguiente, como quiera que las autoridades nacionales de control, conforme al artículo 8, apartado 3, de la Carta de los Derechos Fundamentales de la Unión Europea y al artículo 28 de la Directiva 95/46, están encargadas del control del cumplimiento de las reglas de la Unión para la protección de las personas físicas frente al tratamiento de datos personales, toda autoridad nacional de control está investida, por tanto, de la competencia para comprobar si una transferencia de datos personales desde el Estado miembro de esa autoridad hacia un tercer país respeta las exigencias establecidas por esa Directiva.

(véanse los apartados 43 a 45 y 47)

4. La Comisión puede adoptar con fundamento en el artículo 25, apartado 6, de la Directiva 95/46, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, una decisión que constate que un tercer país garantiza un nivel de protección adecuado. Conforme al párrafo segundo de esa disposición, los destinatarios de esa decisión son los Estados miembros, que deberán adoptar las medidas necesarias para atenerse a ella. En virtud del artículo 288 TFUE, párrafo cuarto, esa decisión tiene carácter obligatorio para todos los Estados miembros destinatarios y vincula por tanto a todos sus órganos, en cuanto tiene el efecto de autorizar transferencias de datos personales desde los Estados miembros al tercer país al que se refiere dicha decisión.

Así pues, mientras la decisión de la Comisión no haya sido declarada inválida por el Tribunal de Justicia, exclusivamente competente para declarar la invalidez de un acto de la Unión, los Estados miembros y sus órganos, entre ellos las autoridades de control independientes, no pueden ciertamente adoptar medidas contrarias a esa decisión, como serían actos por los que se apreciara con efecto obligatorio que el tercer país al que se refiere dicha decisión no garantiza un nivel de protección adecuado. En efecto, los actos de las instituciones de la Unión disfrutan en principio de una presunción de legalidad, y producen por tanto efectos jurídicos mientras no hayan sido revocados, anulados en virtud de un recurso de anulación o declarados inválidos a raíz de una cuestión prejudicial o de una excepción de ilegalidad.

Aunque los tribunales nacionales están ciertamente facultados para examinar la validez de un acto de la Unión, carecen sin embargo de competencia para declarar ellos mismos su invalidez. A fortiori, al examinar una solicitud, prevista en el artículo 28, apartado 4, de esa Directiva, concerniente a la compatibilidad de una decisión de la Comisión con la protección de la vida privada y de las libertades y derechos fundamentales de las personas, las autoridades nacionales de control no están habilitadas para declarar la invalidez de la referida decisión.

En el supuesto de que la referida autoridad llegue a la conclusión de que los datos alegados en apoyo de esa solicitud son infundados y la desestime por ello, la persona que haya presentado la solicitud debe disponer de recursos jurisdiccionales que le permitan impugnar esa decisión lesiva para ella ante los tribunales nacionales, según resulta del artículo 28, apartado 3, párrafo segundo, de la Directiva 95/46, entendido a la luz del artículo 47 de la Carta de los Derechos Fundamentales de la Unión Europea. En esas circunstancias esos tribunales están obligados a suspender el procedimiento y plantear al Tribunal de Justicia una cuestión prejudicial de validez si estiman que uno o varios de los motivos de invalidez alegados por las partes o, en su caso, suscitados de oficio son fundados.

En el supuesto contrario, cuando esa autoridad considere fundadas las alegaciones expuestas por la persona que le haya presentado una solicitud para la protección de sus derechos y libertades frente al tratamiento de sus datos personales, la referida autoridad debe tener capacidad para comparecer en juicio, conforme al artículo 28, apartado 3, párrafo primero, tercer guion, de la Directiva 95/46, entendido a la luz del artículo 8, apartado 3, de la Carta de los Derechos Fundamentales de la Unión Europea. A ese efecto, corresponde al legislador nacional prever las vías de acción que permitan a la autoridad nacional de control exponer las alegaciones que juzgue fundadas ante los tribunales nacionales, para que éstos, si concuerdan en las dudas de esa autoridad sobre la validez de la decisión de la Comisión, planteen al Tribunal de Justicia una cuestión prejudicial sobre la validez de ésta.

(véanse los apartados 51, 52, 61, 62, 64 y 65)

5. El artículo 25, apartado 6, de la de la Directiva 95/46, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, entendido a la luz de los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales de la Unión Europea, debe interpretarse en el sentido de que una Decisión adoptada en virtud de la referida disposición, por la que la Comisión Europea constata que un tercer país garantiza un nivel de protección adecuado, no impide que una autoridad de control de un Estado miembro, a la que se refiere el artículo 28 de esa Directiva, examine la solicitud de una persona relativa a la protección de sus derechos y libertades frente al tratamiento de los datos personales que la conciernen que se hayan transferido desde un Estado miembro a ese tercer país, cuando esa persona alega que el Derecho y las prácticas en vigor en éste no garantizan un nivel de protección adecuado.

Si no fuera así, las personas cuyos datos personales hayan sido o pudieran ser transferidos al tercer país considerado quedarían privadas del derecho garantizado por el artículo 8, apartados 1 y 3, de la Carta de los Derechos Fundamentales de la Unión Europea de presentar a las autoridades nacionales de control una solicitud para la protección de sus derechos fundamentales.

Además, una solicitud, prevista en artículo 28, apartado 4, de la Directiva 95/46, mediante la que una persona cuyos datos personales hayan sido o pudieran ser transferidos a un tercer país alegue que el Derecho y las prácticas de ese país no garantizan un nivel de protección adecuado, no obstante lo constatado por la Comisión en una decisión adoptada en virtud del artículo 25, apartado 6, de esa Directiva, debe entenderse como concerniente en sustancia a la compatibilidad de esa decisión con la protección de la vida privada y de las libertades y derechos fundamentales de las personas. En esas circunstancias, cuando una persona, cuyos datos personales hayan sido o pudieran ser transferidos a un tercer país que haya sido objeto de una decisión de la Comisión en virtud del artículo 25, apartado 6, de la Directiva 95/46, presenta a la autoridad nacional de control esa solicitud, incumbe a dicha autoridad examinarla con toda la diligencia exigible.

(véanse los apartados 58, 59, 63 y 66 y el punto 1 del fallo)

6. Debe entenderse la expresión «nivel de protección adecuado» que figura en el artículo 25, apartado 6, de la Directiva 95/46, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en el sentido de que exige que ese tercer país garantice efectivamente, por su legislación interna o sus compromisos internacionales, un nivel de protección de las libertades y derechos fundamentales sustancialmente equivalente al garantizado en la Unión por esa Directiva, entendida a la luz de la Carta de los Derechos Fundamentales de la Unión Europea.

Siendo así, al valorar el nivel de protección ofrecido por un tercer país la Comisión está obligada a apreciar el contenido de las reglas aplicables en ese país, derivadas de la legislación interna o de los compromisos internacionales de éste, así como la práctica seguida para asegurar el cumplimiento de esas reglas, debiendo atender esa institución a todas las circunstancias relacionadas con una transferencia de datos personales a un tercer país, conforme al artículo 25, apartado 2, de la Directiva 95/46. De igual modo, dado que el nivel de protección garantizado por un tercer país puede evolucionar, incumbe a la Comisión, tras adoptar una decisión en virtud del artículo 25, apartado 6, de la Directiva 95/46, comprobar periódicamente si sigue siendo fundada en Derecho y de hecho la constatación sobre el nivel de protección adecuado garantizado por el tercer país en cuestión. En cualquier caso esa comprobación es obligada cuando hay indicios que generan una duda en ese sentido.

Dado el importante papel que cumple la protección de los datos personales en relación con el derecho fundamental al respeto de la vida privada, así como el gran número de personas cuyos derechos fundamentales pueden ser vulnerados en caso de transferencia de datos personales a un tercer país que no garantice un nivel de protección adecuado, la facultad de apreciación de la Comisión sobre el carácter adecuado del nivel de protección garantizado por un tercer país queda reducida, por lo que se debe ejercer un control estricto de las exigencias derivadas del artículo 25 de la Directiva 95/46, entendido a la luz de la Carta de los Derechos Fundamentales de la Unión Europea.

(véanse los apartados 73, 75, 76 y 78)

7. La adopción por la Comisión de una decisión en virtud del artículo 25, apartado 6, de la Directiva 95/46, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, como la Decisión 2000/520, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América, requiere la constatación debidamente motivada por esa institución de que el tercer país considerado garantiza efectivamente, por su legislación interna o sus compromisos internacionales, un nivel de protección de los derechos fundamentales sustancialmente equivalente al garantizado en el ordenamiento jurídico de la Unión.

Pues bien, dado que la Comisión no hizo mención de ello en la Decisión 2000/520, el artículo 1 de ésta vulnera las exigencias establecidas por el artículo 25, apartado 6, de la Directiva 95/46, entendido a la luz de la Carta de los Derechos Fundamentales de la Unión Europea, y es inválido por esa causa. En efecto, los principios de puerto seguro son aplicables únicamente a las entidades estadounidenses autocertificadas que reciban datos personales desde la Unión, sin que se exija que las autoridades públicas estadounidenses se sometan a esos principios. Además, la Decisión 2000/520 hace posibles injerencias, fundadas en exigencias concernientes a la seguridad nacional, el interés público y el cumplimiento de la ley de Estados Unidos, en los derechos fundamentales de las personas cuyos datos personales se transfieren o pudieran transferirse desde la Unión a Estados Unidos, sin contener ninguna constatación sobre la existencia en Estados Unidos de reglas estatales destinadas a limitar las posibles injerencias en esos derechos ni poner de manifiesto la existencia de una protección jurídica eficaz contra injerencias de esa naturaleza.

Además, la Comisión excedió los límites de la competencia que le atribuye el artículo 25, apartado 6, de la Directiva 95/46, entendido a la luz de la Carta de los Derechos Fundamentales de la Unión Europea, al adoptar el artículo 3 de la Decisión 2000/520, que es inválido por esa causa. En efecto, ese artículo debe entenderse en el sentido de que priva a las autoridades nacionales de control de las facultades que les atribuye el artículo 28 de la Directiva 95/46, en el supuesto de que una persona alegue, con ocasión de una solicitud basada en esa disposición, factores que puedan afectar a la compatibilidad de una decisión de la Comisión, que haya constatado con fundamento en el artículo 25, apartado 6, de esa Directiva que un tercer país garantiza un nivel de protección adecuado, con la protección de la vida privada y de las libertades y derechos fundamentales de las personas. Ahora bien, la facultad de ejecución atribuida a la Comisión por el legislador de la Unión en el artículo 25, apartado 6, de la Directiva 95/46 no confiere a esa institución la competencia para restringir las facultades de las autoridades nacionales de control.

Toda vez que los artículos 1 y 3 de la Decisión 2000/520 son indisociables de los artículos 2 y 4 y de los anexos de ésta, su invalidez tiene el efecto de afectar a la validez de esa Decisión en su conjunto.

(véanse los apartados 82, 87 a 89, 96 a 98 y 102 a 105 y el punto 2 del fallo)

8. Una normativa de la Unión que haga posible una injerencia en los derechos fundamentales garantizados por los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea debe contener reglas claras y precisas que regulen el alcance y la aplicación de una medida e impongan unas exigencias mínimas, de modo que las personas cuyos datos personales resulten afectados dispongan de garantías suficientes que permitan proteger eficazmente sus datos personales contra los riesgos de abuso y contra cualquier acceso o utilización ilícitos de éstos. La necesidad de disponer de esas garantías es aún más importante cuando los datos personales se someten a un tratamiento automático y existe un riesgo elevado de acceso ilícito a ellos. Además, y sobre todo, la protección del derecho fundamental al respeto de la vida privada al nivel de la Unión exige que las excepciones a la protección de los datos personales y las limitaciones de esa protección no excedan de lo estrictamente necesario.

Pues bien, no se limita a lo estrictamente necesario una normativa que autoriza de forma generalizada la conservación de la totalidad de los datos personales de todas las personas cuyos datos se hayan transferido desde la Unión a Estados Unidos, sin establecer ninguna diferenciación, limitación o excepción en función del objetivo perseguido y sin prever ningún criterio objetivo que permita circunscribir el acceso de las autoridades públicas a los datos y su utilización posterior a fines específicos, estrictamente limitados y propios para justificar la injerencia que constituyen tanto el acceso a esos datos como su utilización.

En particular, se debe considerar que una normativa que permite a las autoridades públicas acceder de forma generalizada al contenido de las comunicaciones electrónicas lesiona el contenido esencial del derecho fundamental al respeto de la vida privada garantizado por el artículo 7 de la Carta de los Derechos Fundamentales de la Unión Europea.

De igual manera, una normativa que no prevé posibilidad alguna de que el justiciable ejerza acciones en Derecho para acceder a los datos personales que le conciernen o para obtener su rectificación o supresión no respeta el contenido esencial del derecho fundamental a la tutela judicial efectiva que reconoce el artículo 47 de la Carta de los Derechos Fundamentales de la Unión Europea. En efecto, el artículo 47, párrafo primero, de ésta establece que toda persona cuyos derechos y libertades garantizados por el Derecho de la Unión hayan sido violados tiene derecho a la tutela judicial efectiva, respetando las condiciones establecidas en dicho artículo. En ese sentido, la existencia misma de un control jurisdiccional efectivo para garantizar el cumplimiento de las disposiciones del Derecho de la Unión es inherente a la existencia de un Estado de Derecho.

(véanse los apartados 91 a 95)