Safe Harbor: retos para el modelo europeo de la privacidad (V). La nulidad de la Decisión.

Comenzar la lectura: Safe Harbor: retos para el modelo europeo de la privacidad (I)

Viene de Safe Harbor: retos para el modelo europeo de la privacidad (IV). Las DPA y la Comisión

Vistos los antecedentes, la sentencia podría haberse detenido afirmando que correspondía a la DPA tutelar y en su caso a la Comisión actuar revisando la Decisión. Sin embargo, el TJUE va mucho más allá y revisa la propia Decisión desde un punto de vista de constitucionalidad. En primer lugar, al examinar el mecanismo de mera declaración, de autodeclaración pública de la adhesión a los principios de Puerto Seguro el Tribunal identifica una puerta abierta por completo a la prevalencia de los intereses de seguridad nacional de los Estados Unidos. Dicho de otro modo, en el momento en que una empresa suscribe Puerto Seguro está sujeta a ciertas obligaciones y controles, por ejemplo por parte de la Federal Trade Commision. Pero la tutela se limita a aspectos meramente comerciales. Si la entidad decide abrir de par en par sus servidores a la NSA o al FBI la posibilidad de invocar la tutela de nuestros derechos fundamentales es nula. No se aplican aquí los artículos 197 y ss. del Código Penal, no hay una inspección de la Agencia Española de Protección de Datos, no tenemos un juez del Supremo controlando al CNI y un cauce procesal claro. Los ciudadanos extranjeros carecen de derechos frente a la ley FISA, y las autorizaciones son secretas y bajo condiciones muy por debajo del estándar de la cinematográfica causa probable.

Y lo que es más grave, desde su firma no se previó un modelo de tutela, de garantía de los derechos frente a las injerencias estatales. Ni tampoco después de las modificaciones procesales de la USA Patriot Act detectadas por la doctrina jurídica norteamericana y europea de modo inmediato incluido quien esto escribe. La descripción de este hecho es contundente:

«90. Por otro lado, el análisis precedente de la Decisión 2000/520 se confirma por la apreciación que la misma Comisión ha realizado sobre la situación resultante de la aplicación de esa Decisión. En efecto, en particular en los puntos 2 y 3.2 de la Comunicación COM(2013) 846 final y en los puntos 7.1, 7.2 y 8 de la Comunicación COM(2013) 847 final, cuyo contenido se expone respectivamente en los apartados 13 a 16, y 22, 23 y 25 de la presente sentencia, la Comisión constató que las autoridades estadounidenses podían acceder a los datos personales transferidos a partir de los Estados miembros a Estados Unidos y tratarlos de manera incompatible con las finalidades de esa transferencia, que va más allá de lo que era estrictamente necesario y proporcionado para la protección de la seguridad nacional. De igual modo, la Comisión apreció que las personas afectadas no disponían de vías jurídicas administrativas o judiciales que les permitieran acceder a los datos que les concernían y obtener, en su caso, su rectificación o supresión.

Y ello tiene una consecuencia obvia, no resulta admisible una norma que lesiona materialmente los derechos fundamentales de los artículos 7 y 8 de la Carta al no establecer garantías suficientes. La crudeza en los obiter dicta del Tribunal es significativa ya que no sólo cuestiona la norma, también la diligencia de la propia Comisión. Merece la pena prestar atención a su reproducción literal.

«94. En particular, se debe considerar que una normativa que permite a las autoridades públicas acceder de forma generalizada al contenido de las comunicaciones electrónicas lesiona el contenido esencial del derecho fundamental al respeto de la vida privada garantizado por el artículo 7 de la Carta (véase, en ese sentido, la sentencia Digital Rights Ireland y otros, C   293/12 y C   594/12, EU:C:2014:238, apartado 39).

  1. De igual manera, una normativa que no prevé posibilidad alguna de que el justiciable ejerza acciones en Derecho para acceder a los datos personales que le conciernen o para obtener su rectificación o supresión no respeta el contenido esencial del derecho fundamental a la tutela judicial efectiva que reconoce el artículo 47 de la Carta. (…) En ese sentido, la existencia misma de un control jurisdiccional efectivo para garantizar el cumplimiento de las disposiciones del Derecho de la Unión es inherente a la existencia de un Estado de Derecho (…).

  2. (…) se ha de observar que la Comisión no manifestó en la Decisión 2000/520 que Estados Unidos «garantiza» efectivamente un nivel de protección adecuado en razón de su legislación interna o sus compromisos internacionales».

Pero además, el artículo 3 de la decisión limita las capacidades de acción de las autoridades de control, ya que aunque les permite suspender individualmente los flujos de datos lo hace «de manera restrictiva, ya que sólo es posible la intervención a partir de un alto umbral de condiciones». Una y otra cuestión dejan vacías de contenido las mínimas garantías del derecho fundamental a la protección de datos y conducen a su declaración de nulidad.

Continua en Safe Harbor: retos para el modelo europeo de la privacidad: final. ¿Y ahora qué?