La Sentencia del Tribunal de Justicia de la Unión Europea (TJUE) con fecha 16 de julio de 2020, caso C‑311/18, estima que el Derecho de la Unión y, en particular, el Reglamento General de Protección de Datos (“RGPD”), es de aplicación “una transferencia de datos personales realizada con fines comerciales por un operador económico establecido en un Estado miembro a otro operador económico establecido en un país tercero, a pesar del hecho de que, en el transcurso de dicha transferencia o tras ella, esos datos puedan ser tratados por las autoridades del país tercero en cuestión con fines de seguridad nacional, defensa y seguridad del Estado.”
En este sentido, el Tribunal de Justicia declara que, a menos que exista una decisión de adecuación válidamente adoptada por la Comisión Europea, las autoridades de control competentes en materia de protección de datos tienen obligación de suspender o prohibir una transferencia de datos personales a un país tercero cuando consideren que, teniendo en cuenta la especial casuísticas relacionadas con dichas transferencias, las denominadas Cláusulas Contractuales Tipo (“Standard Contractual Clauses”) de protección de datos no se respetan o no pueden respetarse en ese país y que la protección de los datos afectados por dicha transferencia, demandada por el Derecho de la Unión, no puede garantizarse adecuadamente por otros medios, si el propio exportador establecido en la Unión no ha suspendido o ha puesto fin a esa transferencia.
Además, la sentencia entra a examinar la validez de la Decisión 2010/87, de 5 de febrero de 2010, relativa a las denominadas cláusulas contractuales tipo para la transferencia internacionales de datos a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo. En este sentido, el Tribunal reafirma la validez de las mismas entendiendo que, debido a su carácter contractual, las cláusulas tipo de protección de datos recogidas en ella no vinculen a las autoridades del país tercero al que podrían transferirse los datos; eso sí, resalta que esta validez va a depender de si la referida Decisión incluye mecanismos efectivos que permitan garantizar en la práctica que el nivel de protección exigido por el Derecho de la Unión sea respetado y que las transferencias internacionales de datos personales con base a la mencionadas cláusulas sean suspendidas o prohibidas en caso de que estas se incumplan o de que, en su caso, resulte imposible su cumplimiento. Más adelante, el TJUE indica que la mencionada Decisión 2010/87 sí que establece los mencionados mecanismos garantistas ya que establece una obligación al exportador de los datos y al destinatario de la transferencia internacional de los mismos a comprobar con carácter previo el respeto y cumplimiento de los mencionados niveles de protección adecuados.
Por último, la TJUE entra a examinar la validez de la Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad (el famoso “Privacy Shield”) entre la Unión Europea y Estados Unidos en base a lo dispuesto en la Carta de los Derechos Fundamentales de la Unión Europea, la cual garantizan el respeto de la vida privada y familiar, la protección de datos de carácter personal y el derecho a la tutela judicial efectiva., declarando su invalidez en base principalmente a los siguientes criterios:
-El Tribunal señala que la referida Decisión reconoce, al igual que sucede con la Decisión de puerto seguro, la primacía de las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense, posibilitando de este modo injerencias en los derechos fundamentales de las personas titulares cuyos datos personales se transfieren a ese país tercero. Por tanto, las limitaciones de la protección de datos personales que se derivan de la normativa americana relativa al acceso y la utilización por sus autoridades de los datos transferidos desde la Unión Europea a este país, no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas, en el Derecho de la Unión, por el principio de proporcionalidad, en la medida en que los programas de vigilancia basados en la mencionada normativa no se limitan a lo estrictamente necesario.
– El Tribunal declara que el mecanismo del Defensor del Pueblo contemplado en la decisión del Puerto Seguro no proporciona a los titulares de los datos ninguna vía de recurso ante un órgano que ofrezca garantías sustancialmente equivalentes a las exigidas en el Derecho de la Unión frente a las autoridades y servicios de inteligencia estadounidenses. Por todas esas razones, el Tribunal de Justicia declara inválida la señalada Decisión de Ejecución (UE) 2016/1250.
