Ya os adelantábamos la semana pasada que era altamente previsible que la Gran Sala siguiera la misma línea que había sido manifestada por el Abogado General hace escasas dos semanas.
Indicamos algunos de los argumentos sobre los que se basa el TJUE en su Sentencia para fundamentar la invalidación de la Decisión de la Comisión:
1. Que los principios de puerto seguro son aplicables únicamente a las entidades estadounidenses autocertificadas que reciban datos personales desde la Unión, sin que se exija que las autoridades públicas estadounidenses se sometan a esos principios.
2. Que la Decisión se refiere únicamente a la adecuación de la protección proporcionada en EEUU con arreglo a los principios de puerto seguro y su aplicación de conformidad a fin de ajustarse a los requisitos del artículo 25.1 de la Directiva 95/46, sin contener no obstante las constataciones suficientes sobre las medidas con las que EEUU garantiza un nivel de protección adecuado. Sin olvidar que esos principios pueden limitarse por exigencias de seguridad nacional, interés público y cumplimiento de la ley de Estados Unidos. Esto significa que las entidades estadounidenses autocertificadas que reciban datos personales desde la Unión están obligadas, sin limitación, a dejar de aplicar esos principios cuando éstos entren en conflicto con esas exigencias. En consecuencia, una normativa que permite a las autoridades públicas acceder de forma generalizada al contenido de las comunicaciones electrónicas, lesiona el contenido esencial del derecho fundamental al respeto de la vida privada garantizado por la Carta de los Derechos Fundamentales de la Unión Europea.
3. Que no se respeta el derecho fundamental a la tutela judicial efectiva de los ciudadanos europeos, en el mismo momento en que la normativa interna de EEUU no prevé posibilidad alguna al afectado de ejercer acciones en Derecho para acceder a los datos personales que le conciernen o para obtener su rectificación o supresión.
4. Sentencia el TJUE que además la Comisión no manifestó en la Decisión 2000/520 que EEUU garantizase efectivamente un nivel de protección adecuado en razón de su legislación interna o sus compromisos internacionales..
5. Por último destacamos una apreciación que consideramos muy interesante y es que la Gran Sala lanza lo que parece un «reproche» a La Comisión: «dado que el nivel de protección garantizado por un tercer país puede evolucionar, incumbe a la Comisión, tras adoptar una decisión comprobar periódicamente si sigue siendo fundada en Derecho y de hecho la constatación sobre el nivel de protección adecuado garantizado por el tercer país en cuestión. En cualquier caso esa comprobación es obligada cuando hay indicios que generan una duda en ese sentido».
¿Todo esto significa que el fin del acuerdo del Puerto Seguro es el fin de las transferencias Internacionales?
Aunque todavía no sabemos cómo se van a materializar las consecuencias de esta Sentencia, podremos seguir recurriendo a las opciones que ya existían tanto en la normativa comunitaria art. 26.1 y 26.2 de la Directiva 95/46,como en nuestro ordenamiento interno, a través de los artículos 33 y 34 de la LOPD y el 66 del RDLOPD 1720/2007.
Por otro lado, tal y como indica el propio Tribunal, las autoridades de control de un Estado miembro pueden examinar la solicitud de una persona relativa a la protección de sus derechos y libertades frente al tratamiento de los datos personales que la conciernen que se hayan transferido desde un Estado miembro a ese tercer país, cuando esa persona alega que el Derecho y las prácticas en vigor en éste no garantizan un nivel de protección adecuado.