Safe Harbor: retos para el modelo europeo de la privacidad (III). Las condiciones del tratamiento

Viene de Safe Harbor: retos para el modelo europeo de la privacidad (II). El marco jurídico básico

Comenzar la lectura desde el principio: Safe Harbor: retos para el modelo europeo de la privacidad (I)

El caso que da lugar a la interposición de una cuestión prejudicial por la High Court Irlandesa tiene su origen en la denuncia relativa a la verificación de un posible acceso de la NSA a datos de un ciudadano europeo. Estos eran tratados por una red social cuya filial europea en principio transfiere a Estados Unidos los datos de sus usuarios y los conserva en servidores situados en ese país. Ante la negativa de investigar por parte del Comisionado Irlandés, la cuestión acabó en los tribunales. La razón de la abstención no era otra que la existencia de una habilitación para la transferencia, la Decisión 2000/520, en virtud de la cual la Comisión había constatado que Estados Unidos garantizaba un nivel adecuado de protección.

El TJUE no alberga la menor duda sobre la naturaleza de los hechos y afirma que «la operación consistente en hacer transferir datos personales desde un Estado miembro a un tercer país constituye por sí misma un tratamiento de datos personales, en el sentido del artículo 2, letra b), de la Directiva 95/46». Y esta transferencia exige respetar las disposiciones adoptadas por los Estados miembros en aplicación de la misma Directiva.

En el tratamiento objeto de litigio, la Corte irlandesa apreció de algún modo que los ciudadanos de la Unión no disponen de ningún derecho efectivo a ser oídos en el contexto de FISA. De hecho el sistema se caracteriza precisamente por que la supervisión de las acciones de los servicios de información se realiza a través de un procedimiento secreto y no contradictorio. Esto podría suponer, también en España, una limitación excesiva de los derechos a la intimidad, el secreto de las comunicaciones y el derecho fundamental a la protección de datos. Incluso se refiere la sentencia a la inviolabilidad del domicilio. Derechos protegidos por la Constitución irlandesa que exige que toda injerencia en esos derechos sea proporcionada y ajustada a las exigencias previstas por la ley. Es notoriamente conocido que ni la Ley FISA, ni la Directiva 2006/24/CE se sostienen constitucionalmente hablando desde el punto de vista de la proporcionalidad entendida desde el prisma del modelo europeo de garantía de los derechos fundamentales.

Por tanto, las condiciones del tratamiento en el contexto de las relaciones de una empresa Safe Harbor y el Gobierno de los EE.UU infringirían el derecho nacional y, señala la High Court, «si el asunto principal se tuviera que resolver con fundamento exclusivo en el Derecho irlandés, se debería apreciar que, dada la existencia de serias dudas de que Estados Unidos garantice un nivel adecuado de protección de los datos personales, el comisario habría debido llevar a cabo una investigación sobre los hechos denunciados por el Sr. Schrems en su reclamación, y que la desestimó indebidamente».

Ahora bien, se acude al TJUE puesto que de que lo que se trata es de verificar si «la Decisión 2000/520 no se ajusta a las exigencias derivadas tanto de los artículos 7 y 8 de la Carta como de los principios enunciados por el Tribunal de Justicia en la sentencia Digital Rights Ireland y otros». Se trata dice el TJUE de que

«35. La High Court observa además que, en realidad, el Sr. Schrems impugna en su recurso la licitud del régimen de «puerto seguro» establecido por la Decisión 2000/520, de la cual deriva la decisión discutida en el litigio principal. Así pues, aunque el Sr. Schrems no haya impugnado formalmente la validez de la Directiva 95/46 ni de la Decisión 2000/520, según ese tribunal se suscita la cuestión de si, en virtud del artículo 25, apartado 6, de la Directiva 95/46, el comisario estaba vinculado por la constatación realizada por la Comisión en esa Decisión, según la cual Estados Unidos garantiza un nivel de protección adecuado, o bien si el artículo 8 de la Carta autorizaba al comisario a separarse, en su caso, de esa constatación».

En resumidas cuentas, la cuestión es bastante evidente, habida cuenta del régimen normativo y del precedente jurisprudencial. ¿La concesión de un reconocimiento de adecuación opera de manera automática? ¿Limita las capacidades de actuación de una autoridad? ¿Debería ser revisada regularmente? ¿Está sometida a los límites de «constitucionalidad europea» definidos por los artículos 7 y 8 de la Carta Europea de los Derechos Fundamentales?

Continua en Safe Harbor: retos para el modelo europeo de la privacidad (IV). Las DPA y la Comisión.