El Tribunal de Justicia de la Unión Europea, en una sentencia dictada hoy, ha declarado "inválida" la decisión de la Comisión de las Comunidades Europeas del año 2000 que declaró que Estados Unidos, en el marco del régimen denominado puerto seguro, garantiza un nivel adecuado de protección de los datos personales transferidos desde otro país. Considera, vista la denuncia de un usuario de facebook de Austria, que las revelaciones efectuadas en 2013 por Edwar Snowden sobre las actividades de espionaje masivo de uno de los organismos norteamericanos, la Agencia Nacional de Seguridad (NSA), estás claro que "ese país no ofrece un nivel de protección adecuado de los datos personales".
Como consecuencia de esta sentencia, las autoridades irlandesas (donde está la central europea de facebook) están "obligadas a examinar la reclamación" de este usuario "con toda la diligencia exigible" y tras una investigación deberá decidir si "debe suspenderse la transferencia de los datos de los usuarios europeos de facebook a Estados Unidos".
Maximillian Schrems, un austríaco usuario de facebook desde 2008, presentó una denuncia ante la autoridad irlandesa de control , ya que es en Irlanda donde se ubica la central de facebook que transfiere los datos personales de los ciudadanos europeos a servidores situados en Estados Unidos. La denuncia la presentó tras las revelaciones de Snowden (actualmente refugiado en Rusia). La autoridad irlandesa desestimó esa reclamación en base a la decisión de la comisión del 26 de julio de 2000 que consideró que Estados Unidos garantiza un nivel adecuado de protección de los datos personales transferidos por ser puerto seguro.
El Tribunal Supremo irlandés, al conocer este asunto, consultó con el Tribunal de Justicia de la Unión Europea para saber si esa resolución de la Comisión impide a una autoridad nacional de control investigar una denuncia en la que se alega que un país tercero no garantiza un nivel de protección adecuado.
El Tribunal Europeo declara ahora que esta decisión de la Comisión "no puede dejar sin efecto ni limitar las facultades de las que disponen las autoridades nacionales de control en virtud de la Carta de los Derechos Fundamentales de la Unión Europea y de la Directiva. Recuerda que la Comisión estaba obligada a comprobar si Estados Unidos garantiza efectivamente, en razón a su legislación interna o compromisos internacionales, "un nivel de protección de los derechos fundamentales sustancialmente equivalente al garantizado en la Unión en virtud de la directiva" y considera que la Comisión "no llevó a cabo ese examen".
Esta Corte observa que el "régimen estadounidense de puerto seguro posibilita de ese modo injerencias por parte de las autoridades públicas estadounidenses en los derechos fundamentales de las personas" y quedó probado que "las autoridades norteamericanas podían acceder a los datos personales transferidos" desde países europeos y tratarlos "yendo más allá de lo estrictamente necesario y proporcionado par proteger la seguridad nacional".
Añade que debe considerarse que "una normativa que permite a las autoridades públicas acceder de forma generalizada al contenido de las comunicaciones electrónicas lesiona el contenido esencial del derecho fundamental al respeto de la vida privada". Destaca también el Tribunal que la resolución de la Comisión no prevé que un usuario pueda acceder a sus datos personales o pedir rectificación o supresión por lo que "vulnera el contenido esencial del derecho fundamental a la tutela judicial efectiva" . Considera así que "la Comisión carecía de competencia para restringir de ese modo las facultades de las autoridades nacionales de control".
