Case nº C-362/14 of Tribunal de Justicia, October 06, 2015

• Resolution Date: October 06, 2015
• Issuing Organization: Tribunal de Justicia
• Decision Number: C-362/14

Procedimiento prejudicial - Datos personales - Protección de las personas físicas frente al tratamiento de esos datos - Carta de los Derechos Fundamentales de la Unión Europea - Artículos 7, 8 y 47 - Directiva 95/46/CE - Artículos 25 y 28 - Transferencia de datos personales a países terceros - Decisión 2000/520/CE - Transferencia de datos personales a Estados Unidos - Nivel de protección inadecuado - Validez - Reclamación de una persona física cuyos datos han sido transferidos desde la Unión Europea a Estados Unidos - Facultades de las autoridades nacionales de control

En el asunto C-362/14,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por la High Court (Irlanda), mediante resolución de 17 de julio de 2014, recibida en el Tribunal de Justicia el 25 de julio de 2014, en el procedimiento entre

Maximillian Schrems

y

Data Protection Commissioner,

con intervención de:

Digital Rights Ireland Ltd,

EL TRIBUNAL DE JUSTICIA (Gran Sala),

integrado por el Sr. V. Skouris, Presidente, el Sr. K. Lenaerts, Vicepresidente, el Sr. A. Tizzano, la Sra. R. Silva de Lapuerta, los Sres. T. von Danwitz (Ponente) y S. Rodin y la Sra. K. Jürimäe, Presidentes de Sala, y los Sres. A. Rosas, E. Juhász, A. Borg Barthet, J. Malenovský y D. Šváby, la Sra. M. Berger y los Sres. F. Biltgen y C. Lycourgos, Jueces;

Abogado General: Sr. Y. Bot;

Secretario: Sra. L. Hewlett, administradora principal;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 24 de marzo de 2015;

consideradas las observaciones presentadas:

- en nombre del Sr. Schrems, por el Sr. N. Travers, SC, el Sr. P. O’Shea, BL, el Sr. G. Rudden, Solicitor, y el Sr. H. Hofmann, Rechtsanwalt;

- en nombre del Data Protection Commissioner, por el Sr. P. McDermott, BL, la Sra. S. More O’Ferrall y el Sr. D. Young, Solicitors;

- en nombre de Digital Rights Ireland Ltd, por el Sr. F. Crehan, BL, y los Sres. S. McGarr y E. McGarr, Solicitors;

- en nombre de Irlanda, por los Sres. A. Joyce y B. Counihan y la Sra. E. Creedon, en calidad de agentes, asistidos por el Sr. D. Fennelly, BL;

- en nombre del Gobierno belga, por el Sr. J.-C. Halleux y la Sra. C. Pochet, en calidad de agentes;

- en nombre del Gobierno checo, por los Sres. M. Smolek y J. Vláčil, en calidad de agentes;

- en nombre del Gobierno italiano, por la Sra. G. Palmieri, en calidad de agente, asistida por el Sr. P. Gentili, avvocato dello Stato;

- en nombre del Gobierno austriaco, por los Sres. G. Hesse y G. Kunnert, en calidad de agentes;

- en nombre del Gobierno polaco, por las Sras. M. Kamejsza y M. Pawlicka y el Sr. B. Majczyna, en calidad de agentes;

- en nombre del Gobierno esloveno, por las Sras. A. Grum y V. Klemenc, en calidad de agentes;

- en nombre del Gobierno del Reino Unido, por el Sr. L. Christie y la Sra. J. Beeko, en calidad de agentes, asistidos por el Sr. J. Holmes, Barrister;

- en nombre del Parlamento Europeo, por los Sres. D. Moore y A. Caiola y la Sra. M. Pencheva, en calidad de agentes;

- en nombre de la Comisión Europea, por los Sres. B. Schima, B. Martenczuk y B. Smulders y la Sra. J. Vondung, en calidad de agentes;

- en nombre del Supervisor Europeo de Protección de Datos (SEPD), por los Sres. C. Docksey, A. Buchta y V. Pérez Asinari, en calidad de agentes;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 23 de septiembre de 2015;

dicta la siguiente

Sentencia

1 La petición de decisión prejudicial tiene por objeto la interpretación de los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»), de los artículos 25, apartado 6, y 28 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281, p. 31), en su versión modificada por el Reglamento (CE) nº 1882/2003 del Parlamento Europeo y del Consejo, de 29 de septiembre de 2003 (DO L 284, p. 1) (en lo sucesivo, «Directiva 95/46»), así como, en sustancia, la validez de la Decisión 2000/520/CE de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América (DO L 215, p. 7).

2 Esa petición se ha presentado en el marco de un litigio entre el Sr. Schrems y el Data Protection Commissioner (comisario para la protección de datos; en lo sucesivo, «comisario»), acerca de la negativa de éste a instruir una reclamación presentada por el Sr. Schrems, basada en que Facebook Ireland Ltd (en lo sucesivo, «Facebook Ireland») transfiere a Estados Unidos los datos personales de sus usuarios y los conserva en sus servidores situados en ese país.

Marco jurídico

Directiva 95/46

3 Los considerandos 2, 10, 56, 57, 60, 62 y 63 de la Directiva 95/46 están así redactados:

(2) [...] los sistemas de tratamiento de datos están al servicio del hombre; […] deben, cualquiera que sea la nacionalidad o la residencia de las personas físicas, respetar las libertades y derechos fundamentales de las personas físicas y, en particular, la [vida privada], y contribuir […] al bienestar de los individuos;

[...]

(10) [...] las legislaciones nacionales relativas al tratamiento de datos personales tienen por objeto garantizar el respeto de los derechos y libertades fundamentales, particularmente del derecho al respeto de la vida privada reconocido en el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales[, firmado en Roma el 4 de noviembre de 1950], así como en los principios generales del Derecho comunitario; [...] por lo tanto, la aproximación de dichas legislaciones no debe conducir a una disminución de la protección que garantizan sino que, por el contrario, debe tener por objeto asegurar un alto nivel de protección dentro de la Comunidad;

[...]

(56) [...] los flujos transfronterizos de datos personales son necesarios para [el] desarrollo del comercio internacional; [...] la protección de las personas garantizada en la Comunidad por la presente Directiva no se opone a la transferencia de datos personales a terceros países que garanticen un nivel de protección adecuado; [...] el carácter adecuado del nivel de protección ofrecido por un país tercero debe apreciarse teniendo en cuenta todas las circunstancias relacionadas con la transferencia o la categoría de transferencias;

(57) [...] por otra parte, [...] cuando un país tercero no ofrezca un nivel de protección adecuado debe prohibirse la transferencia al mismo de datos personales;

[...]

(60) [...] en cualquier caso, las transferencias hacia países terceros sólo podrán efectuarse si se respetan plenamente las disposiciones adoptadas por los Estados miembros en aplicación de la presente Directiva, y, en particular, de su artículo 8;

[...]

(62) [...] la creación de una autoridad de control que ejerza sus funciones con plena independencia en cada uno de los Estados miembros constituye un elemento esencial de la protección de las personas en lo que respecta al tratamiento de datos personales;

(63) [...] dicha autoridad debe disponer de los medios necesarios para cumplir su función, ya se trate de poderes de investigación o de intervención, en particular en casos de reclamaciones presentadas a la autoridad o de poder comparecer en juicio; [...]

4 Los artículos 1, 2, 25, 26, 28 y 31 de la Directiva 95/46 disponen:

«Artículo 1

Objeto de la Directiva

1. Los Estados miembros garantizarán, con arreglo a las disposiciones de la presente Directiva, la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la [vida privada], en lo que respecta al tratamiento de los datos personales.

   [...]

   Artículo 2

   Definiciones

   A efectos de la presente Directiva, se entenderá por:

   1. “datos personales”: toda información sobre una persona física identificada o identificable (el “interesado”); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;

   2. “tratamiento de datos personales” (“tratamiento”): cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción;

      [...]

   4. “responsable del tratamiento”: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario;

      [...]

      Artículo 25

      Principios

1. Los Estados miembros dispondrán que la transferencia a un país tercero de datos personales que sean objeto de tratamiento o destinados a ser objeto de tratamiento con posterioridad a su transferencia, únicamente pueda efectuarse cuando, sin perjuicio del cumplimiento de las disposiciones de Derecho nacional adoptadas con arreglo a las demás disposiciones de la presente Directiva, el país tercero de que se trate garantice un nivel de protección adecuado.

2. El carácter...