Decisión de Ejecución (UE) 2016/2295 de la Comisión, de 16 de diciembre de 2016, por la que se modifican las Decisiones 2000/518/CE, 2002/2/CE, 2003/490/CE, 2003/821/CE, 2004/411/CE, 2008/393/CE, 2010/146/UE, 2010/625/UE, 2011/61/UE, y las Decisiones de Ejecución 2012/484/UE y 2013/65/UE, relativas a la protección adecuada de los datos personales por determinados países, en aplicación del artículo 25, apartado 6, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo [notificada con el número C(2016) 8353]

• Section: Decisión de ejecución
• Issuing Organization: Parlamento Europeo y Consejo de la Unión Europea

17.12.2016 ES Diario Oficial de la Unión Europea L 344/83

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1), y en particular su artículo 25, apartado 6,

Previa consulta al Supervisor Europeo de Protección de Datos,

Considerando lo siguiente:

(1) En su sentencia de 6 de octubre de 2015 en el asunto C-362/14, Maximillian Schrems/Data Protection Commissioner (2), el Tribunal de Justicia de la Unión Europea consideró que, al adoptar el artículo 3 de la Decisión 2000/520/CE (3), la Comisión excedió los límites de la competencia que le atribuye el artículo 25, apartado 6, de la Directiva 95/46/CE, interpretado a la luz de la Carta de los Derechos Fundamentales de la Unión Europea, y declaró inválido el artículo 3 de dicha Decisión.

(2) El artículo 3, apartado 1, párrafo primero, de la Decisión 2000/520/CE establece condiciones restrictivas en las que las autoridades nacionales de supervisión podrían ejercer su facultad de suspender los flujos de datos hacia una entidad de los Estados Unidos de América que haya autocertificado su adhesión a los principios y su cumplimiento, a pesar de la decisión de adecuación de la Comisión.

(3) En la sentencia Schrems, el Tribunal de Justicia aclaró que las autoridades nacionales de supervisión siguen siendo competentes para supervisar las transferencias de datos personales a un tercer país que haya sido objeto de una decisión de adecuación de la Comisión, y que la Comisión no tiene competencia para restringir las facultades que les confiere el artículo 28 de la Directiva 95/46/CE. Con arreglo a dicho artículo, estas autoridades disponen, en particular, de facultades de investigación, como la de recabar toda la información necesaria para el cumplimiento de su misión de control, y de facultades efectivas de intervención, como la de prohibir provisional o definitivamente el tratamiento de determinados datos o la de emprender acciones judiciales (4).

(4) Por otro lado, en la sentencia Schrems, el Tribunal de Justicia recordó que, de conformidad con el artículo 25, apartado 6, párrafo segundo, de la Directiva 95/46/CE, los Estados miembros y sus órganos deben adoptar las medidas necesarias para dar cumplimiento a los actos de las instituciones de la Unión, los cuales disfrutan, en principio, de una presunción de legalidad y producen, por tanto, efectos jurídicos mientras no hayan sido revocados, anulados en virtud de un recurso de anulación o declarados inválidos a raíz de una cuestión prejudicial o de una excepción de ilegalidad.

(5) En consecuencia, una decisión de adecuación de la Comisión adoptada de conformidad con el artículo 25, apartado 6, de la Directiva 95/46/CE es vinculante para todos los órganos de los Estados miembros a los que se dirige, incluidas sus autoridades de supervisión independientes, en la medida en que tiene el efecto de autorizar transferencias de datos personales desde los Estados miembros al tercer país cubierto por la misma (5). De ello se deduce que las autoridades nacionales de supervisión no pueden adoptar medidas contrarias a una decisión de adecuación de la Comisión como actos que declaren inválida la Decisión o que pretendan establecer con efecto obligatorio que el tercer país afectado no garantiza un nivel de protección adecuado. Como se aclara en la sentencia Schrems, ello no impide que una autoridad nacional de supervisión examine la solicitud de una persona por lo que se refiere al nivel de protección de los datos personales garantizado en un tercer país sujeto a una decisión de adecuación de la Comisión y pueda, si lo considera fundado, emprender acciones judiciales ante los tribunales nacionales, para que estos, si comparten las dudas en cuanto a la validez de la decisión de la Comisión, planteen una decisión prejudicial con respecto a dicha validez (6).

(6) Las Decisiones 2000/518/CE (7), 2002/2/CE (8), 2003/490/CE (9), 2003/821/CE (10), 2004/411/CE (11), 2008/393/CE (12), 2010/146/UE (13), 2010/625/UE (14), 2011/61/UE (15) de la Comisión y las Decisiones de Ejecución 2012/484/UE (16), y 2013/65/UE (17) de la Comidión, que son decisiones de adecuación, imponen una limitación de las facultades de las autoridades nacionales de supervisión comparable a la contemplada en el artículo 3, apartado 1, párrafo primero, de la Decisión 2000/520/CE, considerada inválida por el Tribunal de Justicia.

(7) A la luz de la sentencia Schrems y de conformidad con el artículo 266 del Tratado, debe, por lo tanto, procederse a la sustitución de las disposiciones de estas Decisiones que limitan las facultades de las autoridades nacionales de supervisión.

(8) En la sentencia Schrems, el Tribunal de Justicia aclara también que, dado que el nivel de protección garantizado por un tercer país puede estar sujeto a cambios, corresponde a la Comisión, tras adoptar una decisión conforme al artículo 25, apartado 6, de la Directiva 95/46/CE, comprobar periódicamente si la conclusión relativa a la adecuación del nivel de protección ofrecido por el tercer país en cuestión aún está objetiva y jurídicamente justificada (18). A la luz de las conclusiones de la sentencia en lo que se refiere al acceso a los datos personales por parte de las autoridades públicas, también deberá hacerse un seguimiento de las normas y prácticas que regulen dicho acceso.

(9) Por lo tanto, en el caso de los países para los que se haya adoptado una decisión de adecuación, la Comisión realizará un seguimiento continuo, tanto en la legislación como en la práctica, de los cambios que puedan afectar al funcionamiento de este tipo de decisiones, y en particular de la evolución de las normas que regulan el acceso a los datos personales por parte de las autoridades públicas.

(10) A fin de facilitar el control eficaz del funcionamiento de las decisiones de adecuación actualmente en vigor, los Estados miembros deberían informar a la Comisión sobre las medidas relevantes adoptadas por las autoridades nacionales de supervisión.

(11) El Grupo de trabajo de protección de las personas en lo que respecta al tratamiento de datos personales, creado en virtud del artículo 29 de la Directiva 95/46/CE, ha emitido un dictamen que ha sido tenido en cuenta a la hora de redactar la presente Decisión.

(12) Las medidas previstas en la presente Decisión se ajustan al dictamen del Comité creado en virtud del artículo 31, apartado 1, de la Directiva 95/46/CE.

(13) Deben, por lo tanto, modificarse en consecuencia las Decisiones 2000/518/CE, 2002/2/CE, 2003/490/CE, 2003/821/CE, 2004/411/CE, 2008/393/CE, 2010/146/UE, 2010/625/UE, 2011/61/UE y las Decisiones de Ejecución 2012/484/UE y 2013/65/UE.

HA ADOPTADO LA PRESENTE DECISIÓN:

La Decisión 2000/518/CE se modifica del siguiente modo:

1) El artículo 3 se sustituye por el texto siguiente: «Artículo 3 Cuando las autoridades competentes de los Estados miembros ejerzan sus facultades con arreglo al artículo 28, apartado 3, de la Directiva 95/46/CE, y ello dé lugar a la suspensión o la prohibición definitiva de los flujos de datos hacia Suiza con el fin de proteger a las personas en lo que respecta al tratamiento de sus datos personales, el Estado miembro afectado informará inmediatamente a la Comisión, que remitirá la información a los demás Estados miembros.».

2) Se inserta el artículo 3 bis siguiente: «Artículo 3 bis 1. La Comisión realizará un seguimiento continuo de toda evolución del ordenamiento jurídico suizo que pueda afectar al funcionamiento de la presente Decisión, y en particular de la evolución de las normas que regulan el acceso a los datos personales por parte de las autoridades públicas, con el fin de determinar si Suiza sigue garantizando un nivel adecuado de protección de los datos personales. 2. Los Estados miembros y la Comisión se informarán recíprocamente de aquellos casos en que la actuación de los organismos responsables del cumplimiento de las normas de protección en Suiza no garantice dicho cumplimiento. 3. Los Estados miembros y la Comisión se informarán recíprocamente cuando haya algún indicio de que las injerencias por parte de los poderes públicos suizos competentes en materia de seguridad nacional, aplicación de la ley u otros intereses públicos en el derecho de las personas a la protección de sus datos de carácter personal van más allá de lo estrictamente necesario, o de que no existe una tutela judicial efectiva frente a tales injerencias. 4. Si se demuestra que ya no está garantizado un nivel adecuado de protección, incluso en las situaciones a que se refieren los apartados 2 y 3 del presente artículo, la Comisión informará de ello a la autoridad competente suiza y, en caso necesario, propondrá un proyecto de medidas de conformidad con el procedimiento a que se refiere el artículo 31, apartado 2, de la Directiva 95/46/CE, a fin de anular o suspender la presente Decisión, o limitar su ámbito de aplicación.».

La Decisión 2002/2/CE se modifica del siguiente modo:

1) El artículo 3 se sustituye por el texto siguiente: «Artículo 3 Cuando las autoridades competentes de los Estados miembros ejerzan sus facultades con arreglo al artículo 28, apartado 3, de la Directiva 95/46/CE, y ello dé lugar a la suspensión o la prohibición definitiva de los flujos de datos hacia un receptor canadiense cuyas actividades entren en el ámbito de la ley canadiense Personal Information and Electronic Documents Act con el fin de proteger a las...