Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems.

• Jurisdiction: European Union
• Celex Number: 62018CJ0311
• ECLI: ECLI:EU:C:2020:559
• Docket Number: C-311/18
• Date: 16 July 2020
• Court: Court of Justice (European Union)

Edición provisional

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Gran Sala)

de 16 de julio de 2020 (*)

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Carta de los Derechos Fundamentales de la Unión Europea — Artículos 7, 8 y 47 — Reglamento (UE) 2016/679 — Artículo 2, apartado 2 — Ámbito de aplicación — Transferencias de datos personales a terceros países con fines comerciales — Artículo 45 — Decisión de adecuación de la Comisión — Artículo 46 — Transferencias mediante garantías adecuadas — Artículo 58 — Facultades de las autoridades de control — Tratamiento de los datos transferidos por parte de las autoridades públicas de un tercer país con fines de seguridad nacional — Apreciación de la adecuación del nivel de protección garantizado en el país tercero — Decisión 2010/87/UE — Cláusulas tipo de protección para la transferencia de datos personales a terceros países — Garantías adecuadas ofrecidas por el responsable del tratamiento — Validez — Decisión de Ejecución (UE) 2016/1250 — Adecuación de la protección garantizada por el Escudo de la Privacidad Unión Europea-Estados Unidos — Validez — Reclamación de una persona física cuyos datos fueron transferidos de la Unión Europea a Estados Unidos»

En el asunto C‑311/18,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267TFUE, por la High Court (Tribunal Superior, Irlanda), mediante resolución de 4 de mayo de 2018, recibida en el Tribunal de Justicia el 9 de mayo de 2018, en el procedimiento entre

Data Protection Commissioner

y

Facebook Ireland Ltd,

Maximillian Schrems,

con intervención de:

The United States of America,

Electronic Privacy Information Centre,

BSA Business Software Alliance Inc.,

Digitaleurope,

EL TRIBUNAL DE JUSTICIA (Gran Sala),

integrado por el Sr. K. Lenaerts, Presidente, la Sra. R. Silva de Lapuerta, Vicepresidenta, el Sr. A. Arabadjiev, la Sra. A. Prechal, los Sres. M. Vilaras, M. Safjan, S. Rodin y P. G. Xuereb, la Sra. L. S. Rossi y el Sr. I. Jarukaitis, Presidentes de Sala, y los Sres. M. Ilešič, T. von Danwitz (Ponente) y D. Šváby, Jueces;

Abogado General: Sr. H. Saugmandsgaard Øe;

Secretaria: Sra. C. Strömholm, administradora;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 9 de julio de 2019;

consideradas las observaciones presentadas:

– en nombre del Data Protection Commissioner, por el Sr. D. Young, Solicitor, los Sres. B. Murray y M. Collins, SC, y la Sra. C. Donnelly, BL;

– en nombre de Facebook Ireland Ltd, por el Sr. P. Gallagher y la Sra. N. Hyland, SC, la Sra. A. Mulligan y el Sr. F. Kieran, BL, y los Sres. P. Nolan, C. Monaghan, C. O’Neill y R. Woulfe, Solicitors;

– en nombre del Sr. Schrems, por el Sr. H. Hofmann, Rechtsanwalt, los Sres. E. McCullough, J. Doherty y S. O’Sullivan, SC, y el Sr. G. Rudden, Solicitor;

– en nombre de The United States of America, por la Sra. E. Barrington, SC, la Sra. S. Kingston, BL, y los Sres. S. Barton y B. Walsh, Solicitors;

– en nombre de Electronic Privacy Information Centre, por la Sra. S. Lucey, Solicitor, la Sra. G. Gilmore y el Sr. A. Butler, BL, y el Sr. C. O’Dwyer, SC;

– en nombre de BSA Business Software Alliance Inc., por los Sres. B. Van Vooren y K. Van Quathem, advocaten;

– en nombre de Digitaleurope, por la Sra. N. Cahill, Barrister, el Sr. J. Cahir, Solicitor, y el Sr. M. Cush, SC;

– en nombre de Irlanda, por el Sr. A. Joyce y la Sra. M. Browne, en calidad de agentes, asistidos por el Sr. D. Fennelly, BL;

– en nombre del Gobierno belga, por los Sres. J.‑C. Halleux y P. Cottin, en calidad de agentes;

– en nombre del Gobierno checo, por los Sres. M. Smolek, J. Vláčil y O. Serdula y por la Sra. A. Kasalická, en calidad de agentes;

– en nombre del Gobierno alemán, por los Sres. J. Möller, D. Klebs y T. Henze, en calidad de agentes;

– en nombre del Gobierno francés, por la Sra. A.‑L. Desjonquères, en calidad de agente;

– en nombre del Gobierno neerlandés, por los Sras. C. S. Schillemans, M. K. Bulterman y M. Noort, en calidad de agentes;

– en nombre del Gobierno austriaco, por la Sra. J. Schmoll y el Sr. G. Kunnert, en calidad de agentes;

– en nombre del Gobierno polaco, por el Sr. B. Majczyna, en calidad de agente;

– en nombre del Gobierno portugués, por el Sr. L. Inez Fernandes y las Sras. A. Pimenta y C. Vieira Guerra, en calidad de agentes;

– en nombre del Gobierno del Reino Unido, por el Sr. S. Brandon, en calidad de agente, asistido por el Sr. J. Holmes, QC, y el Sr. C. Knight, Barrister;

– en nombre del Parlamento Europeo, por la Sra. M. J. Martínez Iglesias y el Sr. A. Caiola, en calidad de agentes;

– en nombre de la Comisión Europea, por los Sres. D. Nardi, H. Krämer y H. Kranenborg, en calidad de agentes;

– en nombre del Comité Europeo de Protección de Datos (EDPB), por la Sra. A. Jelinek y el Sr. K. Behn, en calidad de agentes;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 19 de diciembre de 2019;

dicta la siguiente

Sentencia

1 La petición de decisión prejudicial tiene, en esencia, por objeto:

– la interpretación del artículo 3, apartado 2, primer guion, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31), en relación con el artículo 4TUE, apartado 2, y los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»).

– la interpretación y la validez de la Decisión de la Comisión 2010/87/UE, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46 (DO 2010, L 39, p. 5), en su versión modificada por la Decisión de Ejecución (UE) 2016/2297 de la Comisión, de 16 de diciembre de 2016 (DO 2016, L 344, p. 100) (en lo sucesivo, «Decisión CPT»), así como

– la interpretación y la validez de la Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46 sobre la adecuación de la protección conferida por el Escudo de la Privacidad UE-EE. UU. (DO 2016, L 207, p. 1; en lo sucesivo, «Decisión EP»).

2 Esta petición se ha presentado en el contexto de un litigio entre, por una parte, el Data Protection Commissioner (Comisario para la Protección de Datos, Irlanda) (en lo sucesivo, «Comisario») y, por otra parte, Facebook Ireland Ltd y el Sr. Maximillian Schrems en relación con una reclamación presentada por este por lo que respecta a la transferencia de sus datos personales por parte de Facebook Ireland a Facebook Inc. en los Estados Unidos.

Marco jurídico

Directiva 95/46

3 El artículo 3 de la Directiva 95/46, titulado «Ámbito de aplicación», establecía en su apartado 2:

«Las disposiciones de la presente Directiva no se aplicarán al tratamiento de datos personales:

– efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de los títulos V y VI del Tratado de la Unión Europea y, en cualquier caso, al tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia penal;

[…]».

4 El artículo 25 de la citada Directiva disponía lo siguiente:

«1. Los Estados miembros dispondrán que la transferencia a un país tercero de datos personales […] únicamente pueda efectuarse cuando, sin perjuicio del cumplimiento de las disposiciones de Derecho nacional adoptadas con arreglo a las demás disposiciones de la presente Directiva, el país tercero de que se trate garantice un nivel de protección adecuado.

2. El carácter adecuado del nivel de protección que ofrece un país tercero se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos; […]

[…]

6. La Comisión podrá hacer constar, de conformidad con el procedimiento previsto en el apartado 2 del artículo 31, que un país tercero garantiza un nivel de protección adecuado de conformidad con el apartado 2 del presente artículo, a la vista de su legislación interna o de sus compromisos internacionales, suscritos especialmente al término de las negociaciones mencionadas en el apartado 5, a efectos de protección de la vida privada o de las libertades o de los derechos fundamentales de las personas.

Los Estados miembros adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión.»

5 El artículo 26, apartados 2 y 4, de la antedicha Directiva establecía:

«2. Sin perjuicio de lo dispuesto en el apartado 1, los Estados miembros podrán autorizar una transferencia o una serie de transferencias de datos personales a un tercer país que no garantice un nivel de protección adecuado con arreglo al apartado 2 del artículo 25, cuando el responsable del tratamiento ofrezca garantías suficientes respecto de la protección de la vida privada, de los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los respectivos derechos; dichas garantías podrán derivarse, en particular, de cláusulas contractuales apropiadas.

[…]

4. Cuando la Comisión decida, según el procedimiento establecido en el apartado 2 del artículo 31, que determinadas cláusulas contractuales tipo ofrecen las garantías suficientes establecidas en el apartado 2, los Estados miembros adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión.»

6 A tenor del artículo 28, apartado 3, de la misma Directiva:

«La autoridad de control dispondrá, en particular, de:

– poderes de investigación, como el derecho de acceder a los datos que sean objeto de un tratamiento y el...