El Tribunal de Justicia declara inválida la Decisión de la Comisión que declaró que Estados Unidos garantiza un nivel de protección adecuado de los datos personales transferidos

Aunque el Tribunal de Justicia tiene competencia exclusiva para declarar la invalidez de un acto de la Unión, las autoridades nacionales de control a las que se haya presentado una solicitud pueden, aun cuando una Decisión de la Comisión declare que un país tercero ofrece un nivel de protección adecuado de los datos personales, examinar si la transferencia de los datos de una persona a ese país respeta las exigencias de la legislación de la Unión sobre la protección de esos datos así como acudir ante los tribunales nacionales, al igual que la persona interesada, con el fin de que éstos planteen una cuestión prejudicial sobre la validez de esa Decisión.

La Directiva sobre el tratamiento de los datos personales 1 dispone que en principio sólo se pueden transferir dichos datos a un país tercero si éste garantiza un nivel de protección adecuado de dichos datos. También conforme a la Directiva, la Comisión puede declarar que un país tercero garantiza un nivel de protección adecuado en razón de su legislación interna o de sus compromisos internacionales. Por último, la Directiva determina que cada Estado miembro debe designar una o varias autoridades públicas encargadas de controlar la aplicación en su territorio de las disposiciones nacionales adoptadas sobre la base de la Directiva («autoridades nacionales de control»).

El Sr. Maximillian Schrems, ciudadano austriaco, es usuario de Facebook desde 2008. Como ocurre con los demás usuarios que residen en la UE, los datos proporcionados por el Sr. Schrems a Facebook se transfieren total o parcialmente de la filial irlandesa de dicha red social a servidores situados en territorio de los Estados Unidos, donde son objeto de tratamiento. El Sr. Schrems presentó una denuncia ante la autoridad irlandesa de control, considerando que, a la luz de las revelaciones realizadas en 2013 por el Sr. Edward Snowden en relación con las actividades de los servicios de información de Estados Unidos (en particular, la National Security Agency o «NSA»), la normativa y la práctica de Estados Unidos no garantizaban una protección suficiente de los datos transferidos a ese país frente a las actividades de vigilancia por las autoridades públicas. La autoridad irlandesa desestimó esa reclamación debido en particular a que, en su Decisión de 26 de julio de 2000 2 la Comisión había considerado que, en el marco del régimen denominado de «puerto seguro», 3 Estados Unidos garantiza un nivel adecuado de protección de los datos personales transferidos. Seguir leyendo en fuente original. 

COMUNICADO DE PRENSA COMPLETO