El Tribunal de Justicia de la Unión Europea (UE) dictó una sentencia histórica contra la transferencia de datos personales de ciudadanos europeos a EEUU, que obligará a Bruselas a negociar con Washington un nuevo marco que garantice un mejor nivel de protección. La máxima instancia judicial comunitaria invalidó una decisión de la Comisión Europea (CE) que declaraba que EEUU garantiza una protección adecuada de los datos personales y avalaba la transferencia de esa información. La Corte de Luxemburgo concluyó que el Ejecutivo comunitario no hizo un examen adecuado para determinar si EEUU garantizaba efectivamente un nivel de protección de los derechos fundamentales equivalente al de la UE en materia de transmisión de datos personales de sus ciudadanos.

En respuesta, la CE subrayó que quiere garantizar que los datos de los ciudadanos de la UE están protegidos cuando son transferidos, asegurar que los flujos transatlánticos puedan continuar a través de otros mecanismos en la legislación de protección de datos, y dar directrices para una respuesta coordinada. Para el vicepresidente primero de la CE, Frans Timmermans, la sentencia solo confirma el enfoque defendido por la Comisión, que desde 2013 negocia con Estados Unidos la revisión del acuerdo.

El dictamen de la Corte responde a la larga batalla legal contra Facebook que inició en 2011 un estudiante austríaco de Derecho, Max Schrems, y puede acabar afectando a las firmas tecnológicas de EEUU con presencia en Europa, como Facebook, Apple, Google y Microsoft. Schrems afirmó a los medios de comunicación tras conocer el fallo que la Justicia europea ha enviado un mensaje claro: "La vigilancia masiva no es posible, va en contra de los derechos fundamentales en Europa". Este universitario subrayó que la sentencia servirá para ejercer una "mayor presión" sobre la CE y el Gobierno estadounidense para que logren un nuevo marco, y dijo que confía en que la industria y las autoridades nacionales de control también ejerzan presión y adopten las acciones necesarias.

El Tribunal de Luxemburgo aclara que aunque exista una decisión de la CE que declare que un país tercero es un puerto seguro, las autoridades nacionales pueden examinar si la transferencia de datos se hace con un nivel de protección adecuado y acudir a los tribunales nacionales en caso contrario.

Schrems, usuario de Facebook desde 2008, presentó una denuncia ante la autoridad irlandesa de control dos años más tarde al considerar que la normativa y la práctica de EEUU no garantizaban una protección suficiente de los datos transferidos a ese país. Decidió dar este paso tras las revelaciones realizadas en 2013 por el ex agente de la CIA Edward Snowden en relación con las actividades de los servicios de información de EEUU, en particular de la Agencia Nacional de Seguridad.

La autoridad irlandesa desestimó la reclamación, en parte porque la CE ya había considerado en su decisión que EEUU era un "puerto seguro" y garantiza un nivel adecuado de protección de los datos personales transferidos. El llamado puerto seguro (Safe Harbour) es un acuerdo de transferencia de datos entre la UE y EEUU. El Tribunal Supremo irlandés decidió preguntar a la Corte de Justicia de la UE si la decisión de la Comisión impide a una autoridad nacional de control investigar una denuncia en la que se alega que un país tercero no garantiza un nivel de protección adecuado y, en su caso, suspender la transferencia de datos.

La Corte de Luxemburgo estimó que esa decisión de la CE no puede dejar sin efecto ni limitar las facultades de las que disponen las autoridades nacionales de control. En cuanto a su decisión de invalidar esa decisión de la Comisión, el Tribunal explica que Bruselas se limitó a analizar el llamado régimen de puerto seguro, que es únicamente aplicable a las entidades estadounidenses que se han adherido a él y que no somete a las autoridades públicas del país. Incide además en que las compañías están obligadas a dejar de aplicar ese régimen cuando entre en conflicto con exigencias de seguridad nacional, interés público y cumplimiento de la ley estadounidense. En la práctica esta posibilidad puede dar lugar a injerencias por parte de las autoridades públicas estadounidenses en los derechos fundamentales de las personas.

Los jueces de Luxemburgo subrayan que la decisión del Ejecutivo comunitario no pone de manifiesto que haya reglas en EEUU destinadas a limitar esas posibles injerencias ni que exista una protección jurídica eficaz contra éstas. Tras la sentencia, la autoridad irlandesa de control está obligada a estudiar la reclamación de Schrems y decidir si debe suspenderse la transferencia de datos de los usuarios europeos de Facebook a EEUU.