Safe Harbor: retos para el modelo europeo de la privacidad (IV). Las DPA y la Comisión.

Comenzar la lectura: Safe Harbor: retos para el modelo europeo de la privacidad (I)

Viene de Safe Harbor: retos para el modelo europeo de la privacidad (III). Las condiciones del tratamiento.

¿Cuál es el rol de la autoridad de control?

Una de las cuestiones fundamentales en el caso Safe Harbor reside en determinar si la autoridad venía obligada a una acción positiva, esto es a admitir a trámite la solicitud y a abrir una investigación. El TJUE parte de un elemento crucial en su modo de interpretar la Directiva, su objetivo no es solo definir un marco de garantías, sino de asegurar materialmente hablando «un elevado nivel de protección de esas libertades y derechos fundamentales». Esto se logra, entre otros métodos precisamente estableciendo con carácter obligatorio la institución de una autoridad de control nacional (DPA) dotada de un estatuto de independencia. Es a la DPA a la que compete establecer un balance entre «el respeto del derecho fundamental a la vida privada y los intereses que exigen la libre circulación de datos personales».

Pues bien, constatada la existencia del tratamiento el TJUE admite que difícilmente puede ejercerse esa potestad en un territorio distinto del propio del Estado, pero recuerda que la «transferencia exige respetar las disposiciones adoptadas por los Estados miembros en aplicación de la misma Directiva». Y no sólo esto, que el régimen diseñado por la norma se dirige a garantizar un control por los Estados miembros de las transferencias de datos personales hacia terceros países. Dicho de otro modo, lo que si puede hacer una autoridad incluso sin pisar nunca el suelo del país tercero es verificar si se mantienen las condiciones jurídicas que justificaron la autorización, o en este caso la Decisión, que operaba como causa de legitimación. En este sentido «toda autoridad nacional de control está investida, por tanto, de la competencia para comprobar si una transferencia de datos personales desde el Estado miembro de esa autoridad hacia un tercer país respeta las exigencias establecidas por la Directiva 95/46».

Este régimen jurídico da lugar a un escenario complejo descrito antes al referir el marco jurídico. Una autoridad no podría adoptar decisiones contrarias a la Decisión de la Comisión, pero a la vez la Decisión no puede impedir que presenten una reclamación a las autoridades nacionales de control, denuncia o solicitud, las personas cuyos datos personales hayan sido o pudieran ser transferidos a un tercer país. Y tampoco una Decisión puede significar en la práctica una suspensión funcional. Sencillamente no está previsto, carecería de base jurídica y contravendría la Directiva. Es más materialmente operaría lesionando el derecho fundamental a la protección de datos garantizado por la Carta.

La solución procedimental a este pequeño galimatías pasaría de hecho por trámites similares a los que se han dado en el caso. La solicitud debería ser tramitada por la DPA «con toda la diligencia exigible». Si ésta constatase que una decisión de la Comisión plantea problemas, – cuando esa autoridad considere fundadas las alegaciones-, debería disponer de un recurso en Derecho interno que le permita acudir a los Tribunales «para que éstos, si concuerdan en las dudas de esa autoridad sobre la validez de la decisión de la Comisión, planteen al Tribunal de Justicia una cuestión prejudicial sobre la validez de ésta»

El rol de la Comisión.

Respecto de las tareas y responsabilidades asignadas a la Comisión el TJUE es particularmente contundente: debe ser particularmente diligente y este deber es continuado en el tiempo. No se trata de hacer una foto estática sino de mantener una visión dinámica y actualizada.

«75. (…) al valorar el nivel de protección ofrecido por un tercer país la Comisión está obligada a apreciar el contenido de las reglas aplicables en ese país, derivadas de la legislación interna o de los compromisos internacionales de éste, así como la práctica seguida para asegurar el cumplimiento de esas reglas, debiendo atender esa institución a todas las circunstancias relacionadas con una transferencia de datos personales a un tercer país, conforme al artículo 25, apartado 2, de la Directiva 95/46.

  1. De igual modo, dado que el nivel de protección garantizado por un tercer país puede evolucionar, incumbe a la Comisión, tras adoptar una decisión en virtud del artículo 25, apartado 6, de la Directiva 95/46, comprobar periódicamente si sigue siendo fundada en Derecho y de hecho la constatación sobre el nivel de protección adecuado garantizado por el tercer país en cuestión. En cualquier caso esa comprobación es obligada cuando hay indicios que generan una duda en ese sentido

Y ello alcanza, obviamente, las circunstancias sobrevenidas después de la adopción de una Decisión. La conclusión, podría decirse que política es ciertamente contundente, basta con volver la mirada hacía atrás a las constantes advertencias y reclamaciones del Parlamento, e incluso leer entre líneas algunos documentos de trabajo del Working Party, incluso a las propias indagaciones de la Comisión, para establecer qué es lo que debería haber hecho en realidad la Institución.

Continua en Safe Harbor: retos para el modelo europeo de la privacidad (V). La nulidad de la Decisión.