Tribunal de Justicia de La Unioìn Europea - Schrems

10/6/2015
CURIADocumentos
InfoCuriaJurisprudenciadelTribunaldeJusticia espaol(es)
Inicio>Formulariodebsqueda>Listaderesultados>Documentos
Lenguadeldocumento: espaol
SENTENCIADELTRIBUNALDEJUSTICIA(GranSala)
de6deoctubrede2015(*)
ProcedimientoprejudicialDatospersonalesProteccindelaspersonasfsicasfrentealtratamientodeesos
datosCartadelosDerechosFundamentalesdelaUninEuropeaArtculos7,8y47Directiva
95/46/CEArtculos25y28TransferenciadedatospersonalesapasestercerosDecisin2000/520/CE
TransferenciadedatospersonalesaEstadosUnidosNiveldeproteccininadecuadoValidezReclamacin
deunapersonafsicacuyosdatoshansidotransferidosdesdelaUninEuropeaaEstadosUnidosFacultadesde
lasautoridadesnacionalesdecontrol
EnelasuntoC362/14,
quetieneporobjetounapeticindedecisinprejudicialplanteada,conarregloalartculo267TFUE,porlaHigh
Court(Irlanda),medianteresolucinde17dejuliode2014,recibidaenelTribunaldeJusticiael25dejuliode
2014,enelprocedimientoentre
MaximillianSchrems
y
DataProtectionCommissioner,
conintervencinde:
DigitalRightsIrelandLtd,
ELTRIBUNALDEJUSTICIA(GranSala),
integradoporelSr.V.Skouris,Presidente,elSr.K.Lenaerts,Vicepresidente,elSr.A.Tizzano,laSra.R.Silvade
Lapuerta, los Sres. T. von Danwitz (Ponente) y S. Rodin y la Sra. K. Jrime, Presidentes de Sala, y los
Sres.A.Rosas,E.Juhsz,A.BorgBarthet,J.MalenovskyD.vby,laSra.M.BergerylosSres.F.Biltgeny
C.Lycourgos,Jueces
AbogadoGeneral:Sr.Y.Bot
Secretario:Sra.L.Hewlett,administradoraprincipal
habiendoconsideradolosescritosobrantesenautosycelebradalavistael24demarzode2015
consideradaslasobservacionespresentadas:
en nombre del Sr. Schrems, por el Sr. N. Travers, SC, el Sr. P. OShea, BL, el Sr. G. Rudden, Solicitor, y el
Sr.H.Hofmann,Rechtsanwalt
en nombre del Data Protection Commissioner, por el Sr. P. McDermott, BL, la Sra. S. More OFerrall y el
Sr.D.Young,Solicitors
ennombredeDigitalRightsIrelandLtd,porelSr.F.Crehan,BL,ylosSres.S.McGarryE.McGarr,Solicitors
ennombredeIrlanda,porlosSres.A.JoyceyB.CounihanylaSra.E.Creedon,encalidaddeagentes,asistidos
porelSr.D.Fennelly,BL
ennombredelGobiernobelga,porelSr.J.C.HalleuxylaSra.C.Pochet,encalidaddeagentes
ennombredelGobiernocheco,porlosSres.M.SmolekyJ.Vlil,encalidaddeagentes
en nombre del Gobierno italiano, por la Sra. G. Palmieri, en calidad de agente, asistida por el Sr. P. Gentili,
avvocatodelloStato
ennombredelGobiernoaustriaco,porlosSres.G.HesseyG.Kunnert,encalidaddeagentes
en nombre del Gobierno polaco, por las Sras. M. Kamejsza y M. Pawlicka y el Sr. B. Majczyna, en calidad de
agentes
ennombredelGobiernoesloveno,porlasSras.A.GrumyV.Klemenc,encalidaddeagentes
ennombredelGobiernodelReinoUnido,porelSr.L.ChristieylaSra.J.Beeko,encalidaddeagentes,asistidos
porelSr.J.Holmes,Barrister
en nombre del Parlamento Europeo, por los Sres. D. Moore y A. Caiola y la Sra. M. Pencheva, en calidad de
agentes
ennombredelaComisinEuropea,porlosSres.B.Schima,B.MartenczukyB.SmuldersylaSra.J.Vondung,
encalidaddeagentes
ennombredelSupervisorEuropeodeProteccindeDatos(SEPD),porlosSres.C.Docksey,A.BuchtayV.Prez
Asinari,encalidaddeagentes
http://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pageIndex=0&doclang=ES&mode=req&dir=&occ=first&part=1&cid=158088
1/18
10/6/2015
CURIADocumentos
odaslasconclusionesdelAbogadoGeneral,presentadasenaudienciapblicael23deseptiembrede2015
dictalasiguiente
Sentencia
Lapeticindedecisinprejudicialtieneporobjetolainterpretacindelosartculos7,8y47delaCartadelos
DerechosFundamentalesdelaUninEuropea(enlosucesivo,Carta),delosartculos25,apartado6,y28de
laDirectiva95/46/CEdelParlamentoEuropeoydelConsejo,de24deoctubrede1995,relativaalaproteccin
delaspersonasfsicasenloquerespectaaltratamientodedatospersonalesyalalibrecirculacindeestosdatos
(DOL281,p.31),ensuversinmodificadaporelReglamento(CE)n1882/2003delParlamentoEuropeoydel
Consejo, de 29 de septiembre de 2003 (DO L 284, p. 1) (en lo sucesivo, Directiva 95/46), as como, en
sustancia,lavalidezdelaDecisin2000/520/CEdelaComisin,de26dejuliode2000,conarregloalaDirectiva
95/46,sobrelaadecuacindelaproteccinconferidaporlosprincipiosdepuertoseguroparalaproteccindela
vidaprivadaylascorrespondientespreguntasmsfrecuentes,publicadasporelDepartamentodeComerciode
EstadosUnidosdeAmrica(DOL215,p.7).
EsapeticinsehapresentadoenelmarcodeunlitigioentreelSr.SchremsyelDataProtectionCommissioner
(comisarioparalaproteccindedatosenlosucesivo,comisario),acercadelanegativadesteainstruiruna
reclamacin presentada por el Sr. Schrems, basada en que Facebook Ireland Ltd (en lo sucesivo, Facebook
Ireland) transfiere a Estados Unidos los datos personales de sus usuarios y los conserva en sus servidores
situadosenesepas.
Marcojurdico
Directiva95/46
Losconsiderandos2,10,56,57,60,62y63delaDirectiva95/46estnasredactados:
(2) [...] los sistemas de tratamiento de datos estn al servicio del hombre [] deben, cualquiera que sea la
nacionalidad o la residencia de las personas fsicas, respetar las libertades y derechos fundamentales de las
personasfsicasy,enparticular,la[vidaprivada],ycontribuir[]albienestardelosindividuos
(10) [...] las legislaciones nacionales relativas al tratamiento de datos personales tienen por objeto garantizar el
respeto de los derechos y libertades fundamentales, particularmente del derecho al respeto de la vida privada
reconocidoenelartculo8delConvenioEuropeoparalaProteccindelosDerechosHumanosydelasLibertades
Fundamentales[,firmadoenRomael4denoviembrede1950],ascomoenlosprincipiosgeneralesdelDerecho
comunitario[...]porlotanto,laaproximacindedichaslegislacionesnodebeconduciraunadisminucindela
proteccinquegarantizansinoque,porelcontrario,debetenerporobjetoasegurarunaltoniveldeproteccin
dentrodelaComunidad
(56) [...] los flujos transfronterizos de datos personales son necesarios para [el] desarrollo del comercio
internacional [...] la proteccin de las personas garantizada en la Comunidad por la presente Directiva no se
oponealatransferenciadedatospersonalesatercerospasesquegaranticenunniveldeproteccinadecuado
[...]elcarcteradecuadodelniveldeproteccinofrecidoporunpastercerodebeapreciarseteniendoencuenta
todaslascircunstanciasrelacionadasconlatransferenciaolacategoradetransferencias
(57)[...]porotraparte,[...]cuandounpasterceronoofrezcaunniveldeproteccinadecuadodebeprohibirsela
transferenciaalmismodedatospersonales
(60) [...] en cualquier caso, las transferencias hacia pases terceros slo podrn efectuarse si se respetan
plenamente las disposiciones adoptadas por los Estados miembros en aplicacin de la presente Directiva, y, en
particular,desuartculo8
(62)[...]lacreacindeunaautoridaddecontrolqueejerzasusfuncionesconplenaindependenciaencadaunode
los Estados miembros constituye un elemento esencial de la proteccin de las personas en lo que respecta al
tratamientodedatospersonales
(63)[...]dichaautoridaddebedisponerdelosmediosnecesariosparacumplirsufuncin,yasetratedepoderesde
investigacinodeintervencin,enparticularencasosdereclamacionespresentadasalaautoridadodepoder
comparecerenjuicio[...]
Losartculos1,2,25,26,28y31delaDirectiva95/46disponen:
Artculo1
ObjetodelaDirectiva
1.LosEstadosmiembrosgarantizarn,conarregloalasdisposicionesdelapresenteDirectiva,laproteccin
delaslibertadesydelosderechosfundamentalesdelaspersonasfsicas,y,enparticular,delderechoala[vida
privada],enloquerespectaaltratamientodelosdatospersonales.
[...]
Artculo2
Definiciones
AefectosdelapresenteDirectiva,seentenderpor:
2/18
10/6/2015
CURIADocumentos
a) datos personales: toda informacin sobre una persona fsica identificada o identificable (el interesado) se
consideraridentificabletodapersonacuyaidentidadpuedadeterminarse,directaoindirectamente,enparticular
medianteunnmerodeidentificacinounoovarioselementosespecficos,caractersticosdesuidentidadfsica,
fisiolgica,psquica,econmica,culturalosocial
b)tratamientodedatospersonales(tratamiento):cualquieroperacinoconjuntodeoperaciones,efectuadaso
no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro,
organizacin, conservacin, elaboracin o modificacin, extraccin, consulta, utilizacin, comunicacin por
transmisin,difusinocualquierotraformaquefaciliteelaccesoalosmismos,cotejoointerconexin,ascomo
subloqueo,supresinodestruccin
[...]
d)responsabledeltratamiento:lapersonafsicaojurdica,autoridadpblica,servicioocualquierotroorganismo
que slo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales en
caso de que los fines y los medios del tratamiento estn determinados por disposiciones legislativas o
reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios especficos para su
nombramientopodrnserfijadosporelDerechonacionalocomunitario
[...]
Artculo25
Principios
1. Los Estados miembros dispondrn que la transferencia a un pas tercero de datos personales que sean
objetodetratamientoodestinadosaserobjetodetratamientoconposterioridadasutransferencia,nicamente
puedaefectuarsecuando,sinperjuiciodelcumplimientodelasdisposicionesdeDerechonacionaladoptadascon
arregloalasdemsdisposicionesdelapresenteDirectiva,elpastercerodequesetrategaranticeunnivelde
proteccinadecuado.
2.Elcarcteradecuadodelniveldeproteccinqueofreceunpasterceroseevaluaratendiendoatodaslas
circunstanciasqueconcurranenunatransferenciaoenunacategoradetransferenciasdedatosenparticular,
se tomar en consideracin la naturaleza de los datos, la finalidad y la duracin del tratamiento o de los
tratamientosprevistos,elpasdeorigenyelpasdedestinofinal,lasnormasdeDerecho,generalesosectoriales,
vigentesenelpastercerodequesetrate,ascomolasnormasprofesionalesylasmedidasdeseguridadenvigor
endichospases.
3.LosEstadosmiembrosylaComisinseinformarnrecprocamentedeloscasosenqueconsiderenqueun
tercerpasnogarantizaunniveldeproteccinadecuadoconarregloalapartado2.
4.CuandolaComisincompruebe,conarregloalprocedimientoestablecidoenelapartado2delartculo31,
queuntercerpasnogarantizaunniveldeproteccinadecuadoconarregloalapartado2delpresenteartculo,
losEstadosmiembrosadoptarnlasmedidasnecesariasparaimpedircualquiertransferenciadedatospersonales
altercerpasdequesetrate.
5.LaComisininiciarenelmomentooportunolasnegociacionesdestinadasaremediarlasituacinquese
produzcacuandosecompruebeestehechoenaplicacindelapartado4.
6.LaComisinpodrhacerconstar,deconformidadconelprocedimientoprevistoenelapartado2delartculo
31,queunpastercerogarantizaunniveldeproteccinadecuadodeconformidadconelapartado2delpresente
artculo, a la vista de su legislacin interna o de sus compromisos internacionales, suscritos especialmente al
trminodelasnegociacionesmencionadasenelapartado5,aefectosdeproteccindelavidaprivadaodelas
libertadesodelosderechosfundamentalesdelaspersonas.
LosEstadosmiembrosadoptarnlasmedidasnecesariasparaajustarsealadecisindelaComisin.
Artculo26
Excepciones
1.Noobstantelodispuestoenelartculo25ysalvodisposicincontrariadelDerechonacionalqueregulelos
casosparticulares,losEstadosmiembrosdispondrnquepuedaefectuarseunatransferenciadedatospersonales
aunpasterceroquenogaranticeunniveldeproteccinadecuadoconarregloaloestablecidoenelapartado2
delartculo25,siempreycuando:
a)elinteresadohayadadosuconsentimientoinequvocamentealatransferenciaprevista,o
b) la transferencia sea necesaria para la ejecucin de un contrato entre el interesado y el responsable del
tratamientooparalaejecucindemedidasprecontractualestomadasapeticindelinteresado,o
c)latransferenciaseanecesariaparalacelebracinoejecucindeuncontratocelebradooporcelebrareninters
delinteresado,entreelresponsabledeltratamientoyuntercero,o
d)latransferenciaseanecesariaolegalmenteexigidaparalasalvaguardiadeuninterspblicoimportante,opara
elreconocimiento,ejercicioodefensadeunderechoenunprocedimientojudicial,o
e)latransferenciaseanecesariaparalasalvaguardiadelintersvitaldelinteresado,o
f)latransferenciatengalugardesdeunregistropblicoque,envirtuddedisposicioneslegalesoreglamentarias,
est concebido para facilitar informacin al pblico y est abierto a la consulta por el pblico en general o por
cualquierpersonaquepuedademostraruninterslegtimo,siemprequesecumplan,encadacasoparticular,las
condicionesqueestablecelaleyparalaconsulta.
3/18
10/6/2015
CURIADocumentos
2.Sinperjuiciodelodispuestoenelapartado1,losEstadosmiembrospodrnautorizarunatransferenciao
una serie de transferencias de datos personales a un tercer pas que no garantice un nivel de proteccin
adecuado con arreglo al apartado 2 del artculo 25, cuando el responsable del tratamiento ofrezca garantas
suficientes respecto de la proteccin de la vida privada, de los derechos y libertades fundamentales de las
personas, as como respecto al ejercicio de los respectivos derechos dichas garantas podrn derivarse, en
particular,declusulascontractualesapropiadas.
3. Los Estados miembros informarn a la Comisin y a los dems Estados miembros acerca de las
autorizacionesqueconcedanconarregloalapartado2.
EnelsupuestodequeotroEstadomiembroolaComisinexpresarensuoposicinylajustificarendebidamente
por motivos derivados de la proteccin de la vida privada y de los derechos y libertades fundamentales de las
personas,laComisinadoptarlasmedidasadecuadasconarregloalprocedimientoestablecidoenelapartado2
delartculo31.
LosEstadosmiembrosadoptarnlasmedidasnecesariasparaajustarsealadecisindelaComisin.
[...]
Artculo28
Autoridaddecontrol
1.LosEstadosmiembrosdispondrnqueunaomsautoridadespblicasseencarguendevigilarlaaplicacin
ensuterritoriodelasdisposicionesadoptadasporellosenaplicacindelapresenteDirectiva.
Estasautoridadesejercernlasfuncionesquelessonatribuidascontotalindependencia.
2. Los Estados miembros dispondrn que se consulte a las autoridades de control en el momento de la
elaboracindelasmedidasreglamentariasoadministrativasrelativasalaproteccindelosderechosylibertades
delaspersonasenloqueserefierealtratamientodedatosdecarcterpersonal.
3.Laautoridaddecontroldispondr,enparticular,de:
poderesdeinvestigacin,comoelderechodeaccederalosdatosqueseanobjetodeuntratamientoyelde
recabartodalainformacinnecesariaparaelcumplimientodesumisindecontrol,
poderes efectivos de intervencin, como, por ejemplo, el de formular dictmenes antes de realizar los
tratamientos, con arreglo al artculo 20, y garantizar una publicacin adecuada de dichos dictmenes, o el de
ordenar el bloqueo, la supresin o la destruccin de datos, o incluso prohibir provisional o definitivamente un
tratamiento, o el de dirigir una advertencia o amonestacin al responsable del tratamiento o el de someter la
cuestinalosparlamentosuotrasinstitucionespolticasnacionales,
capacidadprocesalencasodeinfraccionesalasdisposicionesnacionalesadoptadasenaplicacindelapresente
Directivao[capacidadpara]ponerdichasinfraccionesenconocimientodelaautoridadjudicial.
Lasdecisionesdelaautoridaddecontrollesivasdederechospodrnserobjetoderecursojurisdiccional.
4.Todaautoridaddecontrolentenderdelassolicitudesquecualquierpersona,ocualquierasociacinquela
represente, le presente en relacin con la proteccin de sus derechos y libertades respecto del tratamiento de
datospersonales.Esapersonaserinformadadelcursodadoasusolicitud.
Toda autoridad de control entender, en particular, de las solicitudes de verificacin de la licitud de un
tratamientoquelepresentecualquierpersonacuandoseandeaplicacinlasdisposicionesnacionalestomadasen
virtuddelartculo13delapresenteDirectiva.Dichapersonaserinformadaentodosloscasosdequehatenido
lugarunaverificacin.
[...]
6. Toda autoridad de control ser competente, sean cuales sean las disposiciones de Derecho nacional
aplicablesaltratamientodequesetrate,paraejercerenelterritoriodesupropioEstadomiembrolospoderes
queseleatribuyenenvirtuddelapartado3delpresenteartculo.Dichaautoridadpodrserinstadaaejercersus
poderesporunaautoridaddeotroEstadomiembro.
[...]
Artculo31
[...]
2.Enloscasosenquesehagareferenciaalpresenteartculo,serndeaplicacinlosartculos4y7dela
Decisin1999/468/CE[delConsejo,de28dejuniode1999,porlaqueseestablecenlosprocedimientosparael
ejerciciodelascompetenciasdeejecucinatribuidasalaComisin(DOL184,p.23)],observandolodispuesto
ensuartculo8.
[...]
Decisin2000/520
La Decisin 2000/520 fue adoptada por la Comisin con fundamento en el artculo 25, apartado 6, de la
Directiva95/46.
Losconsiderandos2,5y8deesaDecisinestnasredactados:
(2) La Comisin puede determinar que un tercer pas garantiza un nivel de proteccin adecuado. En tal caso,
pueden transferirse datos personales desde los Estados miembros sin que sea necesaria ninguna garanta
adicional.
4/18
10/6/2015
CURIADocumentos
(5)ElniveladecuadodeproteccindelatransferenciadedatosdesdelaComunidadaEstadosUnidosdeAmrica,
reconocidoporlapresenteDecisin,debealcanzarsesilasentidadescumplenlosprincipiosdepuertoseguropara
laproteccindelavidaprivada,conobjetodeprotegerlosdatospersonalestransferidosdeunEstadomiembroa
Estados Unidos de Amrica (en lo sucesivo denominados los principios), as [como] las preguntas ms
frecuentes(enlosucesivodenominadasFAQ),enlasqueseproporcionaorientacinparaaplicarlosprincipios,
publicadasporelGobiernodeEstadosUnidosdeAmricaconfecha21dejuliode2000.Adems,lasentidades
debendaraconocerpblicamentesuspolticasdeproteccindelavidaprivadaysometersealajurisdiccindela
Federal Trade Commission (Comisin Federal de Comercio, FTC) a tenor de lo dispuesto en el artculo 5 de la
FederalTradeCommissionAct,enlaqueseprohbenactosoprcticasdeslealesofraudulentasenelcomercioo
enrelacinconl,oalajurisdiccindeotrosorganismospblicosquegaranticenelcumplimientoefectivodelos
principiosysuaplicacindeconformidadconlasFAQ.
(8) Aunque se compruebe el nivel adecuado de la proteccin, por motivos de transparencia y para proteger la
capacidad de las autoridades correspondientes de los Estados miembros de garantizar la proteccin de las
personasenloquerespectaaltratamientodesusdatospersonales,resultanecesarioespecificarenlapresente
Decisin las circunstancias excepcionales que pudieran justificar la suspensin de flujos especficos de
informacin.
Atenordelosartculos1a4delaDecisin2000/520:
Artculo1
1.Alosefectosdelapartado2delartculo25delaDirectiva95/46/CE,paratodaslasactividadescubiertas
porlamisma,seconsiderarquelosprincipiosdepuertoseguro(enlosucesivodenominadoslosprincipios),
quefiguranenelanexoIdelapresenteDecisin,aplicadosdeconformidadconlaorientacinqueproporcionan
laspreguntasmsfrecuentes(enlosucesivodenominadasFAQ)publicadasporelDepartamentodeComercio
deEstadosUnidosdeAmricaconfecha21dejuliode2000,quefiguranenelanexoIIdelapresenteDecisin,
garantizanunniveladecuadodeproteccindelosdatospersonalestransferidosdesdelaComunidadaentidades
establecidas en Estados Unidos de Amrica, habida cuenta de los siguientes documentos publicados por el
DepartamentodeComerciodeEstadosUnidosdeAmrica:
a)Estudiodeaplicacin,quefiguraenelanexoIII
b)Memorandosobredaosyperjuiciosporviolacindelavidaprivadayautorizacionesexplcitasenlalegislacin
estadounidense,quefiguraenelanexoIV
c)CartadelaComisinFederaldeComercio,quefiguraenelanexoV
d)CartadelDepartamentoestadounidensedeTransporte,quefiguraenelanexoVI.
2.Enrelacinconcadatransferenciadedatosdeberncumplirselascondicionessiguientes:
a) la entidad receptora de los datos deber haber manifestado de forma inequvoca y pblica su compromiso de
cumplirlosprincipiosaplicadosdeconformidadconlasFAQ
b)laentidadestarsujetaalajurisdiccindeunodelosorganismospblicosestadounidensesquefiguranenel
anexo VII de la presente Decisin, que estar facultado para investigar las quejas que se presenten y solicitar
medidasprovisionalescontralasprcticasdeslealesofraudulentas,ascomoreparacionesparalosparticulares,
independientementedesupasderesidenciaodesunacionalidad,encasodeincumplimientodelosprincipiosy
suaplicacindeconformidadconlasFAQ.
3.Seconsiderarquelaentidadqueautocertificasuadhesinalosprincipiosysuaplicacindeconformidad
con las FAQ cumple las condiciones mencionadas en el apartado 2 a partir de la fecha en que notifique al
DepartamentodeComerciodeEstadosUnidosdeAmricaoasurepresentanteelcompromisoaqueserefierela
letraa)delapartado2,ascomolaidentidaddelorganismopblicoaqueserefierelaletrab)delapartado2.
Artculo2
LapresenteDecisinserefierenicamentealaadecuacindelaproteccinproporcionadaenEstadosUnidosde
AmricaconarregloalosprincipiosysuaplicacindeconformidadconlasFAQafindeajustarsealosrequisitos
delapartado1delartculo25delaDirectiva95/46/CE,ynoafectaalaaplicacindelasdemsdisposicionesde
dichaDirectiva[correspondientes]altratamientodedatospersonalesenlosEstadosmiembros,yenparticulara
suartculo4.
Artculo3
1. Sin perjuicio de sus facultades para emprender acciones que garanticen el cumplimiento de las
disposiciones nacionales adoptadas de conformidad con disposiciones diferentes del artculo 25 de la Directiva
95/46/CE, las autoridades competentes de los Estados miembros podrn ejercer su facultad de suspender los
flujos de datos hacia una entidad que haya autocertificado su adhesin a los principios y su aplicacin de
conformidadconlasFAQ,afindeprotegeralosparticularescontraeltratamientodesusdatospersonales,enlos
casossiguientes:
a)elorganismopblicodeEstadosUnidosdeAmricacontempladoenelanexoVIIdelapresenteDecisin,oun
[rgano]independientederecurso,aefectosdelaletraa)delprincipiodeaplicacin,quefiguraenelanexoIde
lapresenteDecisin,haresueltoquelaentidadhavulneradolosprincipiosysuaplicacindeconformidadconlas
FAQo
5/18
10/6/2015
CURIADocumentos
b) existen grandes probabilidades de que se estn vulnerando los principios existen razones para creer que el
[rgano]deaplicacincorrespondientenohatomadoonotomarlasmedidasoportunaspararesolverelcasoen
cuestinlacontinuacindelatransferenciapodracrearunriesgoinminentedegraveperjuicioalosafectadosy
las autoridades competentes del Estado miembro han hecho esfuerzos razonables en estas circunstancias para
notificrseloalaentidadyproporcionarlelaoportunidaddealegar.
Lasuspensincesarencuantoestgarantizadoelcumplimientodelosprincipiosysuaplicacindeconformidad
conlasFAQylasautoridadescorrespondientesdelaUninEuropeahayansidonotificadasdeello.
2.LosEstadosmiembrosinformarnalaComisinalamayorbrevedaddelaadopcindemedidasconarreglo
alapartado1.
3.Asimismo,losEstadosmiembrosylaComisinseinformarnrecprocamentedeaquelloscasosenquela
actuacindelosorganismosresponsablesdelcumplimientodelosprincipiosysuaplicacindeconformidadcon
lasFAQenEstadosUnidosdeAmricanogaranticedichocumplimiento.
4.Silainformacinrecogidaconarregloalosapartados1a3demuestraqueunorganismoresponsabledel
cumplimientodelosprincipiosysuaplicacindeconformidadconlasFAQenEstadosUnidosdeAmricanoest
ejerciendosufuncin,laComisinlonotificaralDepartamentodeComerciodeEstadosUnidosdeAmricay,si
procede, presentar un proyecto de medidas con arreglo al procedimiento que establece el artculo 31 de la
Directiva,afindeanularosuspenderlapresenteDecisinolimitarsumbitodeaplicacin.
Artculo4
1.LapresenteDecisinpodradaptarseencualquiermomentodeconformidadconlaexperienciaresultante
desuaplicacinosielniveldeproteccinestablecidoporlosprincipiosylasFAQessuperadoporlosrequisitosde
lalegislacinestadounidense.
LaComisinanalizarentodocaso,basndoseenlainformacindisponible,laaplicacindelapresenteDecisin
tres aos despus de su notificacin a los Estados miembros e informar de cualquier resultado pertinente al
Comitprevistoenelartculo31delaDirectiva95/46/CE,enparticulardetodapruebaquepuedaafectarala
evaluacin de que las disposiciones del artculo 1 de la presente Decisin proporcionan proteccin adecuada a
efectosdelartculo25delaDirectiva95/46/CEydetodapruebadequelapresenteDecisinseestaplicandode
formadiscriminatoria.
2.LaComisinpresentar,siprocede,proyectosdemedidasdeconformidadconelprocedimientoestablecido
enelartculo31delaDirectiva95/46/CE.
ElanexoIdelaDecisin2000/520tienelasiguienteredaccin:
Principiosdepuertoseguro(proteccindelavidaprivada)
PublicadosporelDepartamentodeComerciodeEstadosUnidosdeAmricael21dejuliode2000
[...]
[...]elDepartamentoFederaldeComerciopublicaelpresentedocumentomslaspreguntasmsfrecuentes(los
principios), o FAQ, en su calidad de autoridad competente para estimular, fomentar y desarrollar el comercio
internacional. Dichos principios se formularon en consulta con la industria y la opinin pblica para facilitar el
comercioylastransaccionesentreEstadosUnidosdeAmricaylaUninEuropea.Sondeutilizacinexclusivade
lasentidadesestadounidensesquerecibendatospersonalesdelaUninEuropea,alefectodereunirlosrequisitos
de puerto seguro y obtener la correspondiente presuncin de adecuacin. Puesto que los principios se
concibieronexclusivamenteparalograresteobjetivoconcreto,resultaraimpropiasuutilizacinconotrosfines.
[...]
La decisin de adherirse a los requisitos de puerto seguro es totalmente voluntaria, pero stos pueden
cumplirsededistintasmaneras[...]
La adhesin a estos principios puede limitarse: a) [en] cuanto sea necesario para cumplir las exigencias de
seguridad nacional, inters pblico y cumplimiento de la ley [de Estados Unidos] b) por disposicin legal o
reglamentaria,ojurisprudencia,queoriginenconflictosdeobligacionesoautorizaciones[explcitas],siempreque
las entidades que recurran a tales autorizaciones puedan demostrar que el incumplimiento de los principios se
limita a las medidas necesarias para garantizar los intereses legtimos esenciales contemplados por las
mencionadasautorizacionesc)porexcepcinodispensaprevistaenlaDirectivaolasnormasdeDerechointerno
delosEstadosmiembrossiemprequetalexcepcinodispensaseapliqueencontextoscomparables.Afindeser
coherentesconelobjetivodemejorarlaproteccindelavidaprivada,lasentidadesdebernesforzarseenaplicar
estos principios de manera completa y transparente, lo que incluye indicar en sus polticas de proteccin de la
vida privada cundo se aplicarn de manera regular las limitaciones a los principios permitidas por la anterior
letra b). Por esta misma razn, cuando se permita la opcin a tenor de los principios y/o de la legislacin de
EstadosUnidosdeAmrica,seesperaquelasentidadesoptenporelmayorniveldeproteccinposible.
[...]
ElanexoIIdelaDecisin2000/520estredactadocomosigue:
Preguntasmsfrecuentes(FAQ)
[...]
FAQn6Autocertificacin
P:Dequmodounaentidadautocertificasuadhesinalosprincipiosdepuertoseguro?
6/18
10/6/2015
CURIADocumentos
R: Los beneficios del puerto seguro se garantizan desde la fecha en que una entidad autocertifica ante el
DepartamentodeComercio,osurepresentante,suadhesinalosprincipiosdeconformidadconlasdirectrices
queseindicanacontinuacin.
Para proceder a la autocertificacin, las entidades pueden proporcionar al Departamento de Comercio (o a su
representante) una carta firmada por uno de los responsables de la empresa en nombre de la entidad que se
adhierealpuertoseguro,quecontendrcuandomenoslainformacinsiguiente:
1)nombredelaentidad,seaspostalesydecorreoelectrnico,telfonoyfax
2)descripcindelasactividadesdelaentidadenlorelativoalainformacinpersonalrecibidadelaUninEuropeay
3)descripcindesupolticadeproteccindelavidaprivadarespectodedichainformacinpersonal,conindicacin
de:a)ellugardondepuedeconsultarlaelpblicob)lafechadeentradaenvigordedichapolticac)unaoficina
decontactoparalatramitacindelasquejas,lassolicitudesdeaccesoycualquierotracuestinrelacionadacon
losprincipiosdepuertosegurod)elorganismooficialconcretoconjurisdiccinparaentenderdecualquierqueja
contralaentidadporposiblesprcticasdeslealesofraudulentasyvulneracionesdelasleyesonormassobrela
vida privada (y citado en el anexo de los principios) e) el nombre de los programas de proteccin de la vida
privadaalosqueestadscritalaentidadf)elmtododeverificacin(porejemplo,interna,porterceros)[]y
g)lainstanciaindependientederecursoqueseocupardeinvestigarlasquejasnoresueltas.
Si la entidad desea que los beneficios del puerto seguro se apliquen a la informacin sobre recursos humanos
transferidadesdelaUninEuropeaparausarlaenelcontextodelarelacinlaboral,puedehacerlosiempreque
exista un organismo oficial con jurisdiccin para entender de cualquier queja contra la entidad provocada por
informacinsobrerecursoshumanoscitadoenelanexodelosprincipios.[...]
El Departamento (o su representante) llevar una lista de las entidades que presenten dichas cartas,
dispensndoles por consiguiente los beneficios del puerto seguro. Asimismo, actualizar la lista con las cartas
anualesylasnotificacionesrecibidasdeconformidadconlaFAQn11.[...]
[...]
FAQn11Resolucindelitigiosyejecucin
P:Cmodeberncumplirselosrequisitosderesolucindelitigiosimpuestosporelprincipiodeaplicacinycmose
deberactuaranteelcasodequeunaentidadincumplasistemticamentelosprincipios?
R:Elprincipiodeaplicacinestablecelosrequisitosenvirtuddeloscualesseregulanlosmecanismosdeaplicacin
delpuertoseguro.LaFAQsobreverificacin(FAQn7)establecelaformadereunirlosrequisitosdelaletrab)
delprincipio.EnlapresenteFAQn11seabordanlasletrasa)yc),querequiereninstanciasindependientesde
recurso.Dichasinstanciaspuedenadoptarformasdiversas,perosiempredebenreunirlosrequisitosexigidospor
elprincipiodeaplicacin.Lasentidadespodrncumplirlosdelamanerasiguiente:1)conformidadconprogramas
deproteccindelavidaprivadaconcebidosporelsectorprivadoqueincorporenlosprincipiosdepuertoseguroen
sus normas y cuenten con mecanismos de aplicacin eficaces, similares a los descritos en el principio de
aplicacin2)conformidadconlodispuestoporlasautoridadesdecontrolestablecidaslegaloreglamentariamente
[encargadas de] la tramitacin de las quejas individuales y la resolucin de litigios o 3) compromiso de
colaboracin con las autoridades de proteccin de datos establecidas en la Comunidad Europea o sus
representantesautorizados.Estalistaseofreceattuloilustrativoynoesdeningunamanerataxativa.Elsector
privado puede crear otros mecanismos de aplicacin, siempre que renan los requisitos contemplados en el
principiodeaplicacinyenlasFAQ.Obsrvesequelosrequisitosdelprincipiodeaplicacinseaadenalrequisito
expuestoenelapartado3delaintroduccinalosprincipios,enelsentidodequelasiniciativasautorreguladoras
debernservinculantesconarregloalartculo5delaFederalTradeCommissionAct(LeydelaComisinFederal
deComercio)olegislacinsimilar.
Instanciasderecurso
Sealentaralosconsumidoresapresentarcualquierquejaquetenganantelaentidadcorrespondienteantesde
acudiralasinstanciasderecursoindependientes.[...]
[...]
RecursoantelaFTC
La FTC se ha comprometido a tramitar prioritariamente los casos presentados por los organismos de
autorregulacin privados, como BBBOnline y TRUSTe, y [por] los Estados miembros de la Unin Europea que
aleguenelincumplimientodelosprincipiosdepuertoseguro,afindedeterminarsisehavulneradoelartculo5
delaLeyFTC,porlaqueseprohbenlosactosoprcticasdeslealesofraudulentosenelcomercio.[...]
[...]
AtenordelanexoIVdelaDecisin2000/520:
Memorando sobre [indemnizacin] por violacin de las reglas sobre proteccin de la [vida privada],
autorizacionesexplcitasyfusionesyabsorcionesenelDerechoestadounidense
Este documento viene a responder a las aclaraciones solicitadas por la Comisin Europea sobre la legislacin
estadounidenseenmateriade:a)demandasdeindemnizacindedaosyperjuiciosporviolacindelderecho[al
respetodelavidaprivada],b)autorizacionesexplcitasparalautilizacindedatospersonalessinatenersealos
principios [] de puerto seguro y c) efectos de las fusiones y absorciones sobre las obligaciones contradas en
virtuddedichosprincipios.
7/18
10/6/2015
CURIADocumentos
[...]
B.Autorizacioneslegalesexplcitas
Los principios de puerto seguro recogen una excepcin cuando las normas legales o reglamentarias o la
jurisprudencia crean obligaciones en contrario o autorizaciones explcitas, siempre que en el ejercicio de tal
autorizacinlaentidadacreditequeelincumplimientodedichosprincipiosselimitaalonecesarioparasatisfacer
los intereses legtimos que tal autorizacin considera deben prevalecer. Es evidente que, si la legislacin
estadounidenseestableceunaobligacinencontrario,lasentidadesdebencumplirla,dentroofueradelmbitode
losprincipiosdepuertoseguro.Conrespectoalasautorizacionesexplcitas,aunqueestosprincipiostienencomo
finalidadsalvarlasdiferenciasentrelosregmenesestadounidenseyeuropeodeproteccindela[vidaprivada],
debemos respetar las facultades legislativas de nuestros legisladores. Esta limitada excepcin del cumplimiento
estrictodelosprincipiosdepuertosegurotratadeencontrarunequilibrioentrelosintereseslegtimosdecada
parte.
Laexcepcinsecircunscribealoscasosenlosquehayaunaautorizacinexplcita.Portanto,comocuestinde
partida, la norma legal o reglamentaria o la resolucin judicial en cuestin debe autorizar expresamente la
conductaconcretadelasentidadesadheridasalosprincipiosdepuertoseguro.[Conotraspalabras,laexcepcin
noseraplicablesilaleyguardasilencio].[Adems,]laexcepcinsloseraplicablesilaautorizacinexplcita
entra en conflicto con el cumplimiento de dichos principios. Aun en tal caso, la excepcin est limitada a lo
necesario para satisfacer los intereses legtimos que tal autorizacin considera deben prevalecer. A modo de
ejemplo,silaLeyselimitaaautorizaraunaempresaaproporcionardatospersonalesalasautoridadespblicas,
laexcepcinnoseradeaplicacin.Porelcontrario,silaLeyautorizaexpresamentealaempresaaproporcionar
informacin personal a organismos oficiales sin el consentimiento del interesado, esto constituira una
autorizacinexplcitaparaactuardemodocontrarioaloestablecidoenlosprincipiosdepuertoseguro.Porsu
parte, las excepciones concretas a los requisitos expresos de notificar y prestar consentimiento caeran en el
mbitodelaexcepcin(dadoqueseraequivalenteaunaautorizacinexplcitaarevelarlosdatossinnotificacin
niconsentimiento).Porejemplo,unaleyqueautoricealosmdicosaproporcionarloshistorialesmdicosdesus
pacientesalasautoridadessanitariassinelprevioconsentimientodestospuedepermitirunaexcepcindelos
principiosdenotificacinyopcin.Estaautorizacinnopermitiraalmdicoentregarestosmismoshistorialesa
lasorganizacionesdeproteccindelasaludoloslaboratoriosfarmacuticoscomerciales,quequedaranfueradel
mbito de los fines autorizados por la ley y, por tanto, de la excepcin.[]. La autorizacin legal en cuestin
puedeserunaautorizacinaisladaparahacerdeterminadascosasconlosdatospersonales,pero,comoilustran
losejemplossiguientes,serprobablementeunaexcepcinaunanormamsampliaqueprohbaobtener,utilizar
orevelardatospersonales.
[...]
ComunicacinCOM(2013)846
El27denoviembrede2013laComisinadoptlaComunicacinalParlamentoEuropeoyalConsejotitulada
Restablecer la confianza en los flujos de datos entre la UE y EE.UU [COM(2013) 846 final en lo sucesivo,
ComunicacinCOM(2013)846final].AcompaabaaesaComunicacinuninforme,tambindefecha27de
noviembre de 2013, que contiene las conclusiones de los copresidentes de la Unin Europea del grupo de
trabajoadhocUninEuropeaEstadosUnidossobreproteccindedatospersonales(ReportontheFindingsby
the EU Cochairs of the ad hoc EUUS Working Group on Data Protection). Como expone su punto 1, ese
informesehabaelaboradoencooperacinconEstadosUnidosarazdelarevelacindelaexistenciaenesepas
devariosprogramasdevigilanciaquecomprendanlarecogidayeltratamientodeinformacinagranescalade
datospersonales.Eseinformecontena,enparticular,unanlisisdetalladodelordenamientojurdicodeEstados
Unidos en lo que concierne especialmente a las bases legales que autorizan la existencia de programas de
vigilanciaylarecogidayeltratamientodedatospersonalesporautoridadesestadounidenses.
Enelpunto1delaComunicacinCOM(2013)846finallaComisinprecisquelosintercambioscomerciales
son objeto de la Decisin [2000/520], y aadi que dicha Decisin establece una base jurdica para la
transferenciadedatospersonalesdesdelaUEalasempresasestablecidasenEstadosUnidosquesehanadherido
alosprincipiosdelrgimendepuertoseguro.Adems,enesemismopunto1laComisinpusonfasisenla
crecienteimportanciadelosflujosdedatospersonales,ligadaenespecialaldesarrollodelaeconomadigital,que
hadadolugarauncrecimientoexponencialdelacantidad,calidad,diversidadynaturalezadelasactividadesde
tratamientodedatos.
Enelpunto2deesaComunicacinlaComisinmanifiestaquehaaumentadolapreocupacinporelnivelde
proteccindelosdatospersonalesdelosciudadanosdela[Unin]transferidosaEstadosUnidosenelmarcodel
rgimendepuertoseguroyqueelcarctervoluntarioydeclarativodelrgimenhacentradolaatencinensu
transparenciaycumplimiento.
Adems, la Comisin expuso en el referido punto 2 que las autoridades estadounidenses pueden acceder y
seguirtratandolosdatospersonalesdelosciudadanosdela[Unin]enviadosaEstadosUnidosenelmarcodel
rgimendepuertosegurodeformaincompatibleconlosmotivosporlosqueserecogieroninicialmentedichos
datos en la [Unin] y con los fines por los que se transfirieron a Estados Unidos y que la mayora de las
empresasestadounidensesdeinternetrelacionadasmsdirectamentecon[los]programas[devigilancia]estn
8/18
10/6/2015
CURIADocumentos
certificadasenelmarcodelrgimendepuertoseguro.
En el punto 3.2 de la Comunicacin COM(2013) 846 final la Comisin seal la existencia de diversas
deficienciasenlaaplicacindelaDecisin2000/520.Pusodemanifiestoquealgunasempresasestadounidenses
certificadasnorespetabanlosprincipiosenunciadosenelartculo1,apartado1,delaDecisin2000/520(enlo
sucesivo, principios de puerto seguro), y que, mediante mejoras de esa Decisin, deben subsanarse las
deficiencias estructurales relacionadas con la transparencia y la aplicacin y deben reforzarse los principios
sustantivosdelrgimendepuertoseguroylaaplicacindelaexcepcinpormotivosdeseguridadnacional.Por
otra parte, observ que el rgimen de puerto seguro sirve asimismo de interfaz para la transferencia de los
datos personales de los ciudadanos [europeos] desde la [Unin Europea] a los Estados Unidos por parte de las
empresas [a] las que se pide que suministren datos a los servicios de informacin de los Estados Unidos en el
marcodelosprogramasderecogidadeinformacindelosEstadosUnidos.
La Comisin concluy en ese mismo punto 3.2 que, habida cuenta de las deficiencias halladas, no puede
mantenerse la aplicacin actual del rgimen de puerto seguro. Sin embargo, su derogacin afectara
negativamente a los intereses de las empresas de la [Unin Europea] y de los Estados Unidos que se han
adherido al mismo.. Finalmente, la Comisin aadi tambin en el mismo punto 3.2 que con carcter de
urgencia,laComisindebatirconlasautoridadesdeEstadosUnidoslasdeficienciasdetectadas.
ComunicacinCOM(2013)847
Elmismoda27denoviembrede2013laComisinadoptlaComunicacinalParlamentoEuropeoyalConsejo
sobre el funcionamiento del puerto seguro desde la perspectiva de los ciudadanos de la UE y las empresas
establecidas en la UE [COM(2013) 847 final en lo sucesivo, Comunicacin COM(2013) 847 final]. Segn
resulta de su punto 1, esa Comunicacin se basa en particular en las informaciones recibidas por el Grupo de
trabajoadhocUninEuropeaEstadosUnidosyconstituyelacontinuacindelosdosinformesdeevaluacinde
laComisin,publicadosrespectivamenteen2002yen2004.
El punto 1 de esa Comunicacin precisa que el funcionamiento de la Decisin 2000/520 se basa en los
compromisosylaautocertificacindelasentidadesquelohansuscritoyaadequesibienlafirmadeestos
acuerdosesvoluntaria,susreglassonvinculantesparalosquelossuscriben.
Adems, del punto 2.2 de la Comunicacin COM(2013) 847 final resulta que, a 26 de septiembre de 2013,
estabancertificadas3246entidadesdenumerosasindustriasysectoresdeservicios.Esasempresasprestaban
principalmenteserviciosenelmercadointeriordelaUnin,enparticularenelsectordeInternet,yalgunasde
ellaseranempresasdelaUninquetenanfilialesenEstadosUnidos.Partedeesasempresastratabanlosdatos
desusempleadosenEuropa,datosquetransferanaEstadosUnidosparalagestindesusrecursoshumanos.
Enesemismopunto2.2laComisinpusoderelievequecualquierfalloenlatransparenciaoenlaaplicacin
porparteestadounidense[haca]quelaresponsabilidad[pasara]alasautoridadesdeproteccindedatosylas
empresaseuropeasqueutilizanelsistema.
De los puntos 3 a 5 y 8 de la Comunicacin COM(2013) 847 final se deduce que en la prctica un nmero
elevadodeempresascertificadasnorespetaban,onolohacanplenamente,losprincipiosdepuertoseguro.
Adems, en el punto 7 de la misma Comunicacin la Comisin manifiesta que aparentemente todas las
empresas involucradas en el programa PRISM [programa de recogida de informaciones a gran escala], y que
concedenalasautoridadesestadounidensesaccesoalosdatosalmacenadosytratadosenEstadosUnidos,tienen
el certificado de puerto seguro y que ello ha hecho de puerto seguro uno de los conductos a travs de los
cuales se da acceso a las autoridades de inteligencia estadounidenses para recopilar datos personales que han
sido tratados inicialmente en la [Unin]. En ese sentido, la Comisin constat en el punto 7.1 de la referida
Comunicacin que diversas bases legales con arreglo al ordenamiento jurdico estadounidense permiten la
recogidayeltratamientoagranescaladedatospersonalesalmacenadosotratadosdeotraformaporentidades
basadas en Estados Unidos y que al tratarse de programas a gran escala, puede ocurrir que las autoridades
estadounidenses accedan y procesen los datos transferidos al amparo del puerto seguro ms all de lo
estrictamente necesario y proporcionado para la proteccin de la seguridad nacional, como reza la excepcin
previstaenlaDecisin[2000/520].
Enelpunto7.2delaComunicacinCOM(2013)847final,tituladoLimitacionesyposibilidadesdereparacin,
la Comisin puso de relieve que las garantas previstas por la legislacin estadounidense se refieren
fundamentalmentealosciudadanosestadounidensesoalosresidenteslegales,yqueesms,noestprevista
laposibilidaddequelostitularesdelosdatos,yaseanestadounidensesodela[Unin],puedanaccederasus
datos,rectificarlososuprimirlos,niobtenerreparacinadministrativaojudicial,enloquerespectaalarecogiday
eltratamientoposteriordesusdatospersonalesenvirtuddelosprogramasdevigilanciaestadounidenses.
Segnelpunto8delaComunicacinCOM(2013)847final,entrelasempresascertificadasseencontrabanlas
empresasdelared,comoGoogle,Facebook,Microsoft,AppleoYahoo,quetienencentenaresdemillonesde
clientesenEuropaytransfierendatospersonalesaEstadosUnidosparasutratamiento.
La Comisin concluy en ese mismo punto 8 que el acceso a gran escala por parte de las agencias de
inteligencia a los datos transferidos a Estados Unidos por entidades con certificacin de puerto seguro suscita
serias cuestiones adicionales en lo que respecta al derecho de los europeos a que sus datos sigan estando
protegidoscuandosetransfierenaesepas.
9/18
10/6/2015
CURIADocumentos
Litigioprincipalycuestionesprejudiciales
El Sr. Schrems, nacional austriaco residente en Austria, es usuario de la red Facebook (en lo sucesivo,
Facebook)desde2008.
TodapersonaresidenteenelterritoriodelaUninquedeseeutilizarFacebookestobligadaaconcluirenel
momentodesuinscripcinuncontratoconFacebookIreland,filialdeFacebookInc.,domiciliadastaltimaen
EstadosUnidos.LosdatospersonalesdelosusuariosdeFacebookIrelandresidentesenelterritoriodelaUnin
setransfierenentodooenparteaservidorespertenecientesaFacebookInc,situadosenelterritoriodeEstados
Unidos,dondesonobjetodetratamiento.
El25dejuniode2013elSr.Schremspresentanteelcomisariounareclamacinenlaquelesolicitabaen
sustancia que ejerciera sus competencias estatutarias, prohibiendo a Facebook Ireland transferir sus datos
personalesaEstadosUnidos.AlegabaqueelDerechoylasprcticasenvigorenesteltimopasnogarantizaban
unaproteccinsuficientedelosdatospersonalesconservadosensuterritoriocontralasactividadesdevigilancia
practicadasenlporlasautoridadespblicas.ElSr.Schremshacareferenciaenesesentidoalasrevelaciones
delSr.EdwardSnowdensobrelasactividadesdelosserviciosdeinformacindeEstadosUnidos,enparticularlas
delaNationalSecurityAgency(enlosucesivo,NSA).
Considerando que no estaba obligado a investigar sobre los hechos denunciados por el Sr. Schrems en su
reclamacin, el comisario la desestim por infundada. Apreci en efecto que no haba pruebas de que la NSA
hubieraaccedidoalosdatospersonalesdelinteresado.Elcomisarioaadiquelasimputacionesformuladaspor
el Sr. Schrems en su reclamacin no podan ser eficazmente aducidas, ya que cualquier cuestin referida al
carcter adecuado de la proteccin de los datos personales en Estados Unidos deba resolverse conforme a la
Decisin2000/520,enlaquelaComisinhabaconstatadoqueEstadosUnidosgarantizabaunniveladecuadode
proteccin.
ElSr.SchremsinterpusounrecursoantelaHighCourtcontraladecisindiscutidaenellitigioprincipal.Unavez
examinadaslaspruebaspresentadasporlasparteslitigantes,esetribunalapreciquelavigilanciaelectrnicayla
interceptacin de los datos personales transferidos desde la Unin a Estados Unidos servan a finalidades
necesariaseindispensablesparaelinterspblico.Noobstante,elreferidotribunalaadiquelasrevelaciones
del Sr. Snowden haban demostrado que la NSA y otros organismos federales haban cometido importantes
excesos.
Ahorabien,segnesemismotribunal,losciudadanosdelaUninnodisponendeningnderechoefectivoaser
odos. La supervisin de las acciones de los servicios de informacin se realiza a travs de un procedimiento
secreto y no contradictorio. Una vez transferidos los datos personales a Estados Unidos, la NSA y otros
organismosfederales,comoelFederalBureauofInvestigation(FBI),puedenaccederaellosenelcontextodela
vigilanciaydelasinterceptacionesindiferenciadasqueejecutanagranescala.
LaHighCourtconstatqueelDerechoirlandsprohbelatransferenciadedatospersonalesfueradelterritorio
nacional,exceptocuandoeltercerpasinteresadoaseguraunniveldeproteccinadecuadodelavidaprivaday
delosderechosylibertadesfundamentales.Laimportanciadelosderechosalrespetodelavidaprivadayala
inviolabilidad del domicilio, protegidos por la Constitucin irlandesa, exige que toda injerencia en esos derechos
seaproporcionadayajustadaalasexigenciasprevistasporlaley.
Ahorabien,elaccesomasivoeindiferenciadoalosdatospersonalesesmanifiestamentecontrarioalprincipiode
proporcionalidad y a los valores fundamentales protegidos por la Constitucin irlandesa. Para que las
interceptacionesdecomunicacioneselectrnicaspuedanserconsideradasconformesconesaConstitucin,debe
aportarselapruebadequeesasinterceptacionestienencarcterselectivo,dequelavigilanciadedeterminadas
personas o de determinados grupos de personas est objetivamente justificada en inters de la seguridad
nacional o de la represin de la delincuencia y de que existen garantas adecuadas y comprobables. As pues,
segn la High Court, si el asunto principal se tuviera que resolver con fundamento exclusivo en el Derecho
irlands, se debera apreciar que, dada la existencia de serias dudas de que Estados Unidos garantice un nivel
adecuadodeproteccindelosdatospersonales,elcomisariohabradebidollevaracabounainvestigacinsobre
loshechosdenunciadosporelSr.Schremsensureclamacin,yqueladesestimindebidamente.
Noobstante,laHighCourtestimaqueesteasuntoataealaaplicacindelDerechodelaUnin,enelsentido
delartculo51delaCarta,porloquelalegalidaddeladecisindiscutidaenelasuntoprincipaldebeapreciarsea
laluzdelDerechodelaUnin.Ahorabien,segnesetribunal,laDecisin2000/520noseajustaalasexigencias
derivadastantodelosartculos7y8delaCartacomodelosprincipiosenunciadosporelTribunaldeJusticiaen
lasentenciaDigitalRightsIrelandyotros(C293/12yC594/12,EU:C:2014:238).Elderechoalrespetodela
vidaprivadagarantizadoporelartculo7delaCartayporlosvaloresesencialescomunesalastradicionesdelos
Estados miembros quedara privado de alcance alguno si se permitiera a los poderes pblicos acceder a las
comunicaciones electrnicas de manera aleatoria y generalizada, sin ninguna justificacin objetiva fundada en
razones de seguridad nacional o de prevencin de la delincuencia ligadas especficamente a los individuos
afectados,ysinqueesasprcticasserodeendegarantasadecuadasycomprobables.
LaHighCourtobservaademsque,enrealidad,elSr.Schremsimpugnaensurecursolalicituddelrgimende
puertoseguroestablecidoporlaDecisin2000/520,delacualderivaladecisindiscutidaenellitigioprincipal.
10/18
10/6/2015
CURIADocumentos
As pues, aunque el Sr. Schrems no haya impugnado formalmente la validez de la Directiva 95/46 ni de la
Decisin2000/520,segnesetribunalsesuscitalacuestindesi,envirtuddelartculo25,apartado6,dela
Directiva 95/46, el comisario estaba vinculado por la constatacin realizada por la Comisin en esa Decisin,
segn la cual Estados Unidos garantiza un nivel de proteccin adecuado, o bien si el artculo 8 de la Carta
autorizabaalcomisarioasepararse,ensucaso,deesaconstatacin.
Enesascircunstancias,laHighCourtdecidisuspenderelprocedimientoyplantearalTribunaldeJusticialas
siguientescuestionesprejudiciales:
1)Enelmarcodelaresolucindeunareclamacinpresentadaanteelcomisario,enlaqueseafirmaqueseestn
transmitiendodatospersonalesauntercerpas(enelcasodeautos,EstadosUnidos)cuyalegislacinyprctica
noprevnunaproteccinadecuadadelapersonasobrelaqueversanlosdatos,estvinculadodichocomisario
en trminos absolutos por la declaracin comunitaria en sentido contrario contenida en la Decisin 2000/520,
habidacuentadelosartculos7,8y47delaCartaynoobstantelodispuestoenelartculo25,apartado6,dela
Directiva95/46/CE?
2) En caso contrario, puede o debe realizar dicho comisario su propia investigacin del asunto a la luz de la
evolucindeloshechosquehatenidolugardesdequesepublicporvezprimeralaDecisin2000/520?
Sobrelascuestionesprejudiciales
Consuscuestionesprejudiciales,queesoportunoexaminarconjuntamente,eltribunalremitentepreguntaen
sustanciasi,yenqumedida,elartculo25,apartado6,delaDirectiva95/46,entendidoalaluzdelosartculos
7,8y47delaCarta,debeinterpretarseenelsentidodequeunadecisin,comolaDecisin2000/520,porla
quelaComisinconstataqueuntercerpasgarantizaunniveldeproteccinadecuado,impidequeunaautoridad
decontroldeunEstadomiembro,alaqueserefiereelartculo28deesaDirectiva,puedaexaminarlasolicitud
deunapersonarelativaalaproteccindesusderechosylibertadesfrentealtratamientodelosdatospersonales
que la conciernen, que se hayan transferido desde un Estado miembro a ese tercer pas, cuando esa persona
afirmaqueelDerechoylasprcticasenvigorenstenogarantizanunniveldeproteccinadecuado.
Sobrelasfacultadesdelasautoridadesnacionalesdecontrol,alasqueserefiereelartculo28delaDirectiva
95/46,anteunaDecisindelaComisinadoptadaenvirtuddelartculo25,apartado6,deesaDirectiva
SedeberecordarpreviamentequelasdisposicionesdelaDirectiva95/46,encuantoregulaneltratamientode
datos personales, que puede vulnerar las libertades fundamentales y, en particular, el derecho al respeto de la
vida privada, deben ser necesariamente interpretadas a la luz de los derechos fundamentales protegidos por la
Carta (vanse las sentencias sterreichischer Rundfunk y otros, C465/00, C138/01 y C139/01,
EU:C:2003:294, apartado 68 Google Spain y Google, C131/12, EU:C:2014:317, apartado 68, y Ryne,
C212/13,EU:C:2014:2428,apartado29).
Delartculo1ydelosconsiderandos2y10delaDirectiva95/46sededucequestaseproponegarantizarno
slounaproteccineficazycompletadelaslibertadesydelosderechosfundamentalesdelaspersonasfsicas
frentealtratamientodelosdatospersonales,sinotambinunelevadoniveldeproteccindeesaslibertadesy
derechos fundamentales. La jurisprudencia del Tribunal de Justicia destaca la importancia tanto del derecho
fundamentalalrespetodelavidaprivadagarantizadoporelartculo7delaCartacomodelderechofundamental
a la proteccin de los datos personales que garantiza el artculo 8 de sta (vanse las sentencias Rijkeboer,
C553/07,EU:C:2009:293,apartado47DigitalRightsIrelandyotros,C293/12yC594/12,EU:C:2014:238,
apartado 53, y Google Spain y Google, C131/12, EU:C:2014:317, apartados 53, 66 y 74 y la jurisprudencia
citada).
En lo concerniente a las facultades de las que disponen las autoridades nacionales de control en materia de
transferencia de datos personales a terceros pases, se ha de sealar que el artculo 28, apartado 1, de la
Directiva 95/46 impone a los Estados miembros la obligacin de instituir una o varias autoridades pblicas
encargadas del control, con toda independencia, del cumplimiento de las normas de la Unin en materia de
proteccindelaspersonasfsicasrespectoaltratamientodedatospersonales.Esaexigenciaderivatambindel
DerechoprimariodelaUnin,enparticulardelartculo8,apartado3,delaCartaydelartculo16TFUE,apartado
2 (vanse, en ese sentido, las sentencias Comisin/Austria, C614/10, EU:C:2012:631, apartado 36, y
Comisin/HungraC288/12,EU:C:2014:237,apartado47).
La garanta de independencia de las autoridades nacionales de control pretende asegurar un control eficaz y
fiabledelrespetodelanormativaenmateriadeproteccindelaspersonasfsicasfrentealtratamientodedatos
personales y debe interpretarse a la luz de dicho objetivo. Esa garanta se ha establecido para reforzar la
proteccindelaspersonasydelosorganismosafectadosporlasdecisionesdedichasautoridades.Lacreacinen
los Estados miembros de autoridades de control independientes constituye, pues, un elemento esencial de la
proteccin de las personas frente al tratamiento de datos personales, como seala el considerando 62 de la
Directiva 95/46 (vanse las sentencias Comisin/Alemania, C518/07, EU:C:2010:125, apartado 25 y
Comisin/HungraC288/12,EU:C:2014:237,apartado48ylajurisprudenciacitada).
Paragarantizaresaproteccin,lasautoridadesnacionalesdecontrolhandelograrunjustoequilibrioentreel
respeto del derecho fundamental a la vida privada y los intereses que exigen la libre circulacin de datos
11/18
10/6/2015
CURIADocumentos
personales(vanse,enesesentido,lassentenciasComisin/Alemania,C518/07,EU:C:2010:125,apartado24,
yComisin/HungraC288/12,EU:C:2014:237,apartado51).
A tal efecto, las autoridades nacionales de control disponen de una amplia gama de facultades, y stas,
enumeradas de forma no exhaustiva por el artculo 28, apartado 3, de la Directiva 95/46, constituyen otros
tantos medios necesarios para el cumplimiento de sus funciones, como destaca el considerando 63 de esa
Directiva.Aspues,esasautoridadesdisponen,enparticular,defacultadesdeinvestigacin,comoladerecabar
toda la informacin necesaria para el cumplimiento de su misin de control, de facultades efectivas de
intervencin, como la de prohibir provisional o definitivamente un tratamiento de datos, o la capacidad de
comparecerenjuicio.
Delartculo28,apartados1y6,delaDirectiva95/46resultaciertamentequelasfacultadesdelasautoridades
nacionalesdecontrolabarcanlostratamientosdedatospersonalesrealizadosenelterritoriodelEstadomiembro
deesasautoridades,demodoquestasnodisponen,confundamentoeneseartculo28,defacultadesrespecto
alostratamientosdedatosrealizadosenelterritoriodeuntercerpas.
Noobstante,laoperacinconsistenteenhacertransferirdatospersonalesdesdeunEstadomiembroauntercer
pas constituye por s misma un tratamiento de datos personales, en el sentido del artculo 2, letra b), de la
Directiva 95/46 (vase, en ese sentido, la sentencia Parlamento/Consejo y Comisin, C317/04 y C318/04,
EU:C:2006:346,apartado56),realizadoenelterritoriodeunEstadomiembro.Enefecto,esadisposicindefine
el tratamiento de datos personales como cualquier operacin o conjunto de operaciones, efectuadas o no
medianteprocedimientosautomatizados,yaplicadasadatospersonales,ycitacomoejemplolacomunicacin
portransmisin,difusinocualquierotraformaquefaciliteelaccesoalosmismos.
Elconsiderando60delaDirectiva95/46precisaquelastransferenciasdedatospersonaleshaciatercerospases
slo podrn efectuarse si se respetan plenamente las disposiciones adoptadas por los Estados miembros en
aplicacindelamismaDirectiva.Enesesentido,elcaptuloIVdesta,enelquefiguranlosartculos25y26,
estableci un rgimen dirigido a garantizar un control por los Estados miembros de las transferencias de datos
personaleshaciatercerospases.EsunrgimencomplementariodelrgimengeneralqueestableceelcaptuloII
delamismaDirectiva,queenuncialascondicionesgeneralesdelicituddelostratamientosdedatospersonales
(vase,enesesentido,lasentenciaLindqvist,C101/01,EU:C:2003:596,apartado63).
Como quiera que las autoridades nacionales de control, conforme al artculo 8, apartado 3, de la Carta y al
artculo28delaDirectiva95/46,estnencargadasdelcontroldelcumplimientodelasreglasdelaUninparala
proteccin de las personas fsicas frente al tratamiento de datos personales, toda autoridad nacional de control
est investida, por tanto, de la competencia para comprobar si una transferencia de datos personales desde el
EstadomiembrodeesaautoridadhaciauntercerpasrespetalasexigenciasestablecidasporlaDirectiva95/46.
Al mismo tiempo que el considerando 56 de la Directiva 95/46 reconoce que las transferencias de datos
personales desde los Estados miembros a terceros pases son necesarias para el desarrollo del comercio
internacional,laDirectiva95/46estableceensuartculo25,apartado1,elprincipiodequeesatransferenciaslo
sepuederealizarsiesostercerospasesgarantizanunniveldeproteccinadecuado.
Adems,elconsiderando57delamismaDirectivaprecisaque,cuandountercerpasnoofrezcaunnivelde
proteccinadecuado,debeprohibirselatransferenciaalmismodedatospersonales.
Elartculo25delaDirectiva95/46imponediversasobligacionesalosEstadosmiembrosyalaComisinpara
controlarlastransferenciasdedatospersonalesatercerospasesenfuncindelniveldeproteccinatribuidoa
stosencadaunodeesospases.Deeseartculoresulta,enparticular,quelaconstatacindequeuntercerpas
garantizaonounniveldeproteccinadecuadopuedenrealizarlabienlosEstadosmiembrosobienlaComisin,
comohasealadoelAbogadoGeneralenelpunto86desusconclusiones.
LaComisinpuedeadoptarconfundamentoenelartculo25,apartado6,delaDirectiva95/46,unadecisin
queconstatequeuntercerpasgarantizaunniveldeproteccinadecuado.Conformealprrafosegundodeesa
disposicin, los destinatarios de esa decisin son los Estados miembros, que debern adoptar las medidas
necesarias para atenerse a ella. En virtud del artculo 288 TFUE, prrafo cuarto, esa decisin tiene carcter
obligatorioparatodoslosEstadosmiembrosdestinatariosyvinculaportantoatodossusrganos(vanse,enese
sentido, las sentencias Albako/BALM, 249/85, EU:C:1987:245, apartado 17, y Mediaset, C69/13,
EU:C:2014:71,apartado23),encuantotieneelefectodeautorizartransferenciasdedatospersonalesdesdelos
Estadosmiembrosaltercerpasalqueserefieredichadecisin.
As pues, mientras la decisin de la Comisin no haya sido declarada invlida por el Tribunal de Justicia, los
Estadosmiembrosysusrganos,entreelloslasautoridadesdecontrolindependientes,nopuedenciertamente
adoptarmedidascontrariasaesadecisin,comoseranactosporlosqueseapreciaraconefectoobligatorioqueel
tercerpasalqueserefieredichadecisinnogarantizaunniveldeproteccinadecuado.Enefecto,losactosde
lasinstitucionesdelaUnindisfrutanenprincipiodeunapresuncindelegalidad,yproducenportantoefectos
jurdicosmientrasnohayansidorevocados,anuladosenvirtuddeunrecursodeanulacinodeclaradosinvlidos
a raz de una cuestin prejudicial o de una excepcin de ilegalidad (sentencia Comisin/Grecia, C475/01,
EU:C:2004:585,apartado18ylajurisprudenciacitada).
12/18
10/6/2015
CURIADocumentos
Noobstante,unadecisindelaComisinadoptadaenvirtuddelartculo25,apartado6,delaDirectiva95/46,
comolaDecisin2000/520,nopuedeimpedirquelaspersonascuyosdatospersonaleshayansidoopudieranser
transferidos a un tercer pas presenten a las autoridades nacionales de control una solicitud, prevista en el
artculo 28, apartado 4, de la Directiva 95/46, para la proteccin de sus derechos y libertades frente al
tratamientodeesosdatos.Deigualforma,unadecisindeesanaturalezanopuededejarsinefectonilimitarlas
facultadesexpresamentereconocidasalasautoridadesnacionalesdecontrolporelartculo8,apartado3,dela
Cartayporelartculo28delareferidaDirectiva,comohaexpuestoelAbogadoGeneralenlospuntos61,93y
116desusconclusiones.
Ni el artculo 8, apartado 3, de la Carta, ni el artculo 28 de la Directiva 95/46 excluyen del mbito de la
competencia de las autoridades nacionales designadas a ese efecto el control de las transferencias de datos
personalesatercerospasesalosqueserefieraunadecisindelaComisinenvirtuddelartculo25,apartado6,
deesaDirectiva.
Enparticular,elartculo28,apartado4,prrafoprimero,delaDirectiva95/46,quedisponequelasautoridades
nacionales de control entendern de la solicitud que presente cualquier persona [] en relacin con la
proteccin de sus derechos y libertades respecto del tratamiento de datos personales, no prev ninguna
excepcinenesesentido,enelsupuestodequelaComisinhubieraadoptadounadecisinenvirtuddelartculo
25,apartado6,deesaDirectiva.
Adems,seracontrarioalsistemaestablecidoporlaDirectiva95/46yalafinalidaddesusartculos25y28que
unadecisindelaComisinadoptadaenvirtuddelartculo25,apartado6,dedichaDirectivatuvieraelefectode
impedir que una autoridad nacional de control examine la solicitud de una persona para la proteccin de sus
derechosylibertadesfrentealtratamientodesusdatospersonalesquehayansidoopudieransertransferidos
desdeunEstadomiembroauntercerpasalqueserefiereesadecisindelaComisin.
Porelcontrario,elartculo28delaDirectiva95/46seaplicaporsupropianaturalezaatodotratamientode
datos personales. Por tanto, incluso habiendo adoptado la Comisin una decisin en virtud del artculo 25,
apartado6,deesaDirectiva,lasautoridadesnacionalesdecontrol,alasqueunapersonahayapresentadouna
solicituddeproteccindesusderechosylibertadesfrentealtratamientodedatospersonalesquelaconciernen,
debenpoderapreciarcontodaindependenciasilatransferenciadeesosdatoscumplelasexigenciasestablecidas
porlareferidaDirectiva.
Si no fuera as, las personas cuyos datos personales hayan sido o pudieran ser transferidos al tercer pas
considerado quedaran privadas del derecho garantizado por el artculo 8, apartados 1 y 3, de la Carta de
presentaralasautoridadesnacionalesdecontrolunasolicitudparalaproteccindesusderechosfundamentales
(vase, por analoga, la sentencia Digital Rights Ireland y otros, C293/12 y C594/12, EU:C:2014:238,
apartado68).
Unesolicitud,previstaenartculo28,apartado4,delaDirectiva95/46,mediantelaqueunapersonacuyos
datospersonaleshayansidoopudieransertransferidosauntercerpasalegue,comoenelasuntoprincipal,que
elDerechoylasprcticasdeesepasnogarantizanunniveldeproteccinadecuado,noobstanteloconstatado
porlaComisinenunadecisinadoptadaenvirtuddelartculo25,apartado6,deesaDirectiva,debeentenderse
comoconcernienteensustanciaalacompatibilidaddeesadecisinconlaproteccindelavidaprivadaydelas
libertadesyderechosfundamentalesdelaspersonas.
HayquerecordarenesesentidolareiteradajurisprudenciadelTribunaldeJusticiasegnlacuallaUninesuna
UnindeDerechoenlaquetodoslosactosdesusinstitucionesestnsujetosalcontroldesuconformidad,en
particular,conlosTratados,conlosprincipiosgeneralesdelDerechoyconlosderechosfundamentales(vanse,
en ese sentido, las sentencias Comisin y otros/Kadi, C584/10 P, C593/10 P y C595/10 P, EU:C:2013:518,
apartado66InuitTapiriitKanatamiyotros/ParlamentoyConsejo,C583/11P,EU:C:2013:625,apartado91,y
Telefnica/Comisin, C274/12 P, EU:C:2013:852, apartado 56). Por tanto, las decisiones de la Comisin
adoptadasenvirtuddelartculo25,apartado6,delaDirectiva95/46nopuedenquedarexcluidasdeesecontrol.
Sinperjuiciodeello,elTribunaldeJusticiaesexclusivamentecompetenteparadeclararlainvalidezdeunacto
de la Unin, como una decisin de la Comisin adoptada en virtud del artculo 25, apartado 6, de la Directiva
95/46,competenciaexclusivacuyoobjetoesgarantizarlaseguridadjurdicapreservandolaaplicacinuniforme
delDerechodelaUnin(vanselassentenciasMelkiyAbdeli,C188/10yC189/10,EU:C:2010:363,apartado
54,yCIVAD,C533/10,EU:C:2012:347,apartado40).
AunquelostribunalesnacionalesestnciertamentefacultadosparaexaminarlavalidezdeunactodelaUnin,
comounadecisindelaComisinadoptadaenvirtuddelartculo25,apartado6,delaDirectiva95/46,carecen
sin embargo de competencia para declarar ellos mismos su invalidez (vanse, en ese sentido, las sentencias
FotoFrost, 314/85, EU:C:1987:452, apartados 15 a 20, e IATA y ELFAA, C344/04, EU:C:2006:10, apartado
27). A fortiori, al examinar una solicitud, prevista en el artculo 28, apartado 4, de la Directiva 95/46,
concernientealacompatibilidaddeunadecisindelaComisin,adoptadaenvirtuddelartculo25,apartado6,
de la Directiva 95/46, con la proteccin de la vida privada y de las libertades y derechos fundamentales de las
personas, las autoridades nacionales de control no estn habilitadas para declarar la invalidez de la referida
13/18
10/6/2015
CURIADocumentos
decisin.
Atendiendo a esas consideraciones, cuando una persona, cuyos datos personales hayan sido o pudieran ser
transferidos a un tercer pas que haya sido objeto de una decisin de la Comisin en virtud del artculo 25,
apartado6,delaDirectiva95/46,presentaalaautoridadnacionaldecontrolunasolicitudparalaproteccinde
susderechosylibertadesfrentealtratamientodeesosdatos,eimpugnaconocasindeesasolicitud,comoenel
asunto principal, la compatibilidad de dicha decisin con la proteccin de la vida privada y de las libertades y
derechos fundamentales de las personas, incumbe a esa autoridad examinar la referida solicitud con toda la
diligenciaexigible.
Enelsupuestodequelareferidaautoridadlleguealaconclusindequelosdatosalegadosenapoyodeesa
solicitud son infundados y la desestime por ello, la persona que haya presentado la solicitud debe disponer de
recursos jurisdiccionales que le permitan impugnar esa decisin lesiva para ella ante los tribunales nacionales,
segnresultadelartculo28,apartado3,prrafosegundo,delaDirectiva95/46,entendidoalaluzdelartculo
47 de la Carta. Conforme a la jurisprudencia citada en los apartados 61 y 62 de la presente sentencia, esos
tribunalesestnobligadosasuspenderelprocedimientoyplantearalTribunaldeJusticiaunacuestinprejudicial
de validez si estiman que uno o varios de los motivos de invalidez alegados por las partes o, en su caso,
suscitadosdeoficiosonfundados(vase,enesesentido,lasentenciaT&LSugarsySidulAcares/Comisin,
C456/13P,EU:C:2015:284,apartado48yjurisprudenciacitada).
Enelsupuestocontrario,cuandoesaautoridadconsiderefundadaslasalegacionesexpuestasporlapersonaque
le haya presentado una solicitud para la proteccin de sus derechos y libertades frente al tratamiento de sus
datospersonales,lareferidaautoridaddebetenercapacidadparacomparecerenjuicio,conformealartculo28,
apartado3,prrafoprimero,tercerguion,delaDirectiva95/46,entendidoalaluzdelartculo8,apartado3,de
la Carta. A ese efecto, corresponde al legislador nacional prever las vas de accin que permitan a la autoridad
nacionaldecontrolexponerlasalegacionesquejuzguefundadasantelostribunalesnacionales,paraquestos,si
concuerdanenlasdudasdeesaautoridadsobrelavalidezdeladecisindelaComisin,planteenalTribunalde
Justiciaunacuestinprejudicialsobrelavalidezdesta.
Porlasanterioresconsideracionessehaderesponderalascuestionesplanteadasqueelartculo25,apartado6,
delaDirectiva95/46,entendidoalaluzdelosartculos7,8y47delaCarta,debeinterpretarseenelsentidode
queunaDecisinadoptadaenvirtuddelareferidadisposicin,comolaDecisin2000/520,porlaquelaComisin
constataqueuntercerpasgarantizaunniveldeproteccinadecuado,noimpidequeunaautoridaddecontrolde
un Estado miembro, a la que se refiere el artculo 28 de esa Directiva, examine la solicitud de una persona
relativa a la proteccin de sus derechos y libertades frente al tratamiento de los datos personales que la
conciernenquesehayantransferidodesdeunEstadomiembroaesetercerpas,cuandoesapersonaalegaque
elDerechoylasprcticasenvigorenstenogarantizanunniveldeproteccinadecuado.
SobrelavalidezdelaDecisin2000/520
Segnresultadelasexplicacionesdeltribunalremitentesobrelascuestionesplanteadas,enelasuntoprincipal
el Sr. Schrems alega que el Derecho y las prcticas de Estados Unidos no garantizan un nivel de proteccin
adecuado,enelsentidodelartculo25delaDirectiva95/46.ComohasealadoelAbogadoGeneralenlospuntos
123y124desusconclusiones,elSr.Schremsmanifiestadudas,queesetribunalparececompartirensustancia,
sobrelavalidezdelaDecisin2000/520.Siendoas,porlasconsideracionesexpuestasenlosapartados60a63
de la presente sentencia, y para dar una respuesta completa al referido tribunal, es preciso apreciar si esa
DecisinseajustaalasexigenciasderivadasdedichaDirectivaentendidaalaluzdelaCarta.
Sobrelasexigenciasderivadasdelartculo25,apartado6,delaDirectiva95/46
Comoyasehaobservadoenlosapartados48y49delapresentesentencia,elartculo25,apartado1,dela
Directiva 95/46 prohbe las transferencias de datos personales a un tercer pas que no garantice un nivel de
proteccinadecuado.
No obstante, a efectos del control de esas transferencias el artculo 25, apartado 6, prrafo primero, de esa
DirectivadisponequelaComisinpodrhacerconstar[...]queunpastercerogarantizaunniveldeproteccin
adecuado de conformidad con el apartado 2 [de ese artculo], a la vista de su legislacin interna o de sus
compromisosinternacionales[],aefectosdeproteccindelavidaprivadaodelaslibertadesodelosderechos
fundamentalesdelaspersonas.
Esciertoquenielartculo25,apartado2,delaDirectiva95/46niningunaotradesusdisposicionescontienen
unadefinicindelconceptodeniveldeproteccinadecuado.Enparticular,elartculo25,apartado2,deesa
Directiva se limita a enunciar que el carcter adecuado del nivel de proteccin que ofrece un tercer pas se
evaluar atendiendo a todas las circunstancias que concurran en una transferencia o en una categora de
transferenciasdedatos,yenumerasincarcterexhaustivolascircunstanciasquesedebenconsiderarenesa
apreciacin.
No obstante, segn resulta de los mismos trminos del artculo 25, apartado 6, de la Directiva 95/46, esta
disposicin exige que un tercer pas garantice un nivel de proteccin adecuado en razn de su legislacin
interna o de sus compromisos internacionales. Por otro lado, tambin conforme a esa disposicin, el carcter
adecuadodelniveldeproteccinqueofreceuntercerpassehadeapreciaraefectosdeproteccindelavida
14/18
10/6/2015
CURIADocumentos
privadaodelaslibertadesodelosderechosfundamentalesdelaspersonas.
De esa forma, el artculo 25, apartado 6, de la Directiva 95/46 da cumplimiento a la obligacin expresa de
proteccin de los datos personales, prevista en el artculo 8, apartado 1, de la Carta, y pretende asegurar la
continuidaddelelevadoniveldeproteccinencasodetransferenciadedatospersonalesauntercerpas,como
hasealadoelAbogadoGeneralenelpunto139desusconclusiones.
Esverdadqueeltrminoadecuadoquefiguraenelartculo25,apartado6,delaDirectiva95/46significaque
no cabe exigir que un tercer pas garantice un nivel de proteccin idntico al garantizado en el ordenamiento
jurdicodelaUnin.Sinembargo,comohamanifestadoelAbogadoGeneralenelpunto141desusconclusiones,
debe entenderse la expresin nivel de proteccin adecuado en el sentido de que exige que ese tercer pas
garanticeefectivamente,porsulegislacininternaosuscompromisosinternacionales,unniveldeproteccinde
laslibertadesyderechosfundamentalessustancialmenteequivalentealgarantizadoenlaUninporlaDirectiva
95/46,entendidaalaluzdelaCarta.Enefecto,afaltadeesaexigenciaelobjetivomencionadoenelanterior
apartado de la presente sentencia se frustrara. Adems, el elevado nivel de proteccin garantizado por la
Directiva95/46entendidaalaluzdelaCartasepodraeludirfcilmentecontransferenciasdedatospersonales
desdelaUninatercerospasesparasutratamientoenstos.
Delaredaccinmismadelartculo25,apartado6,delaDirectiva95/46resultaqueeselordenamientojurdico
deltercerpasalqueserefiereladecisindelaComisinelquedebegarantizarunniveldeproteccinadecuado.
Aunque los medios de los que se sirva ese tercer pas para garantizar ese nivel de proteccin pueden ser
diferentes de los aplicados en la Unin para garantizar el cumplimiento de las exigencias derivadas de esa
Directiva entendida a la luz de la Carta, deben ser eficaces en la prctica para garantizar una proteccin
sustancialmenteequivalentealagarantizadaenlaUnin.
Siendoas,alvalorarelniveldeproteccinofrecidoporuntercerpaslaComisinestobligadaaapreciarel
contenido de las reglas aplicables en ese pas, derivadas de la legislacin interna o de los compromisos
internacionales de ste, as como la prctica seguida para asegurar el cumplimiento de esas reglas, debiendo
atender esa institucin a todas las circunstancias relacionadas con una transferencia de datos personales a un
tercerpas,conformealartculo25,apartado2,delaDirectiva95/46.
Deigualmodo,dadoqueelniveldeproteccingarantizadoporuntercerpaspuedeevolucionar,incumbeala
Comisin, tras adoptar una decisin en virtud del artculo 25, apartado 6, de la Directiva 95/46, comprobar
peridicamente si sigue siendo fundada en Derecho y de hecho la constatacin sobre el nivel de proteccin
adecuadogarantizadoporeltercerpasencuestin.Encualquiercasoesacomprobacinesobligadacuandohay
indiciosquegeneranunadudaenesesentido.
Adems, como ha expuesto el Abogado General en los puntos 134 y 135 de sus conclusiones, al apreciar la
validez de una decisin de la Comisin adoptada en virtud del artculo 25, apartado 6, de la Directiva 95/46
tambinsehandetenerencuentalascircunstanciassobrevenidasdespusdesuadopcin.
En ese sentido es preciso observar que, dado el importante papel que cumple la proteccin de los datos
personales en relacin con el derecho fundamental al respeto de la vida privada, as como el gran nmero de
personascuyosderechosfundamentalespuedenservulneradosencasodetransferenciadedatospersonalesa
untercerpasquenogaranticeunniveldeproteccinadecuado,lafacultaddeapreciacindelaComisinsobre
el carcter adecuado del nivel de proteccin garantizado por un tercer pas queda reducida, por lo que se debe
ejerceruncontrolestrictodelasexigenciasderivadasdelartculo25delaDirectiva95/46,entendidoalaluzde
laCarta(vaseporanalogalasentenciaDigitalRightsIrelandyotros,C293/12yC594/12,EU:C:2014:238,
apartados47y48).
Sobreelartculo1delaDecisin2000/520
LaComisinmanifestenelartculo1,apartado1,delaDecisin2000/520quelosprincipiosquefiguranenel
anexoIdesta,aplicadosdeconformidadconlaorientacinqueproporcionanlasFAQenunciadasenelanexoII
delamismaDecisin,garantizanunniveladecuadodeproteccindelosdatospersonalestransferidosdesdela
UninaentidadesestablecidasenEstadosUnidos.Deesadisposicinresultaquetantoesosprincipioscomolas
FAQhansidopublicadosporelDepartamentodeComercioestadounidense.
La adhesin de una entidad a los principios de puerto seguro se lleva a cabo conforme a un sistema de
autocertificacin,comoresultadelartculo1,apartados2y3,deesaDecisin,enrelacinconlaFAQn6que
figuraenelanexoIIdesta.
Aunque el recurso por un tercer pas a un sistema de autocertificacin no es por s mismo contrario a la
exigencia enunciada en el artculo 25, apartado 6, de la Directiva 95/46 de que el tercer pas considerado
garantice un nivel de proteccin adecuado a la vista de su legislacin interna o de sus compromisos
internacionales, la fiabilidad de ese sistema en relacin con dicha exigencia descansa, en esencia, en el
establecimiento de mecanismos eficaces de deteccin y de control que permitan identificar y sancionar en la
prctica las posibles infracciones de las reglas que garantizan la proteccin de los derechos fundamentales, en
especialdelderechoalrespetodelavidaprivadaydelderechoalaproteccindelosdatospersonales.
Enelpresenteasunto,envirtuddelanexoI,prrafosegundo,delaDecisin2000/50,losprincipiosdepuerto
segurosondeutilizacinexclusivadelasentidadesestadounidensesquerecibendatospersonalesdelaUnin
15/18
10/6/2015
CURIADocumentos
Europea, al efecto de reunir los requisitos de puerto seguro y obtener la correspondiente presuncin de
adecuacin. Por tanto, esos principios son aplicables nicamente a las entidades estadounidenses
autocertificadas que reciban datos personales desde la Unin, sin que se exija que las autoridades pblicas
estadounidensessesometanaesosprincipios.
Adems,envirtuddelartculo2delaDecisin2000/520,staserefierenicamentealaadecuacindela
proteccin proporcionada en Estados Unidos de Amrica con arreglo a los principios [de puerto seguro] y su
aplicacin de conformidad con las FAQ a fin de ajustarse a los requisitos del apartado 1 del artculo 25 de la
Directiva[95/46],sincontenernoobstantelasconstatacionessuficientessobrelasmedidasconlasqueEstados
Unidosgarantizaunniveldeproteccinadecuado,enelsentidodelartculo25,apartado6,deesaDirectiva,ala
vistadesulegislacininternaodesuscompromisosinternacionales.
A ello se aade que, conforme al anexo I, prrafo cuarto, de la Decisin 2000/520, la aplicabilidad de esos
principiospuedelimitarse,enespecial,porlasexigenciasdeseguridadnacional,interspblicoycumplimiento
de la ley [de Estados Unidos], as como por disposicin legal o reglamentaria, o jurisprudencia, que originen
conflictos de obligaciones o autorizaciones [explcitas], siempre que las entidades que recurran a tales
autorizacionespuedandemostrarqueelincumplimientodelosprincipiosselimitaalasmedidasnecesariaspara
garantizarlosintereseslegtimosesencialescontempladosporlasmencionadasautorizaciones.
Enesesentido,enelttuloBdesuanexoIVlaDecisin2000/520ponederelieve,respectoaloslmitesalos
que est sometida la aplicabilidad de los principios de puerto seguro, que es evidente que, si la legislacin
estadounidenseestableceunaobligacinencontrario,lasentidadesdebencumplirla,dentroofueradelmbitode
losprincipiosdepuertoseguro.
Aspues,laDecisin2000/520reconocelaprimacadelasexigenciasdeseguridadnacional,interspblicoy
cumplimientodelaley[deEstadosUnidos]sobrelosprincipiosdepuertoseguro,primacaenvirtuddelacual
lasentidadesestadounidensesautocertificadasquerecibandatospersonalesdesdelaUninestnobligadassin
limitacinadejardeaplicaresosprincipioscuandostosentrenenconflictoconesasexigenciasysemanifiesten
portantoincompatiblesconellas.
DadoelcarctergeneraldelaexcepcinprevistaenelanexoI,prrafocuarto,delaDecisin2000/520,sta
haceposiblesasinjerencias,fundadasenexigenciasconcernientesalaseguridadnacional,elinterspblicoyel
cumplimientodelaleydeEstadosUnidos,enlosderechosfundamentalesdelaspersonascuyosdatospersonales
se transfieren o pudieran transferirse desde la Unin a Estados Unidos. En ese sentido, para demostrar la
existenciadeunainjerenciaenelderechofundamentalalrespetodelavidaprivadacarecederelevanciaquela
informacinrelativaalavidaprivadadequesetratetengaonocarctersensibleoquelosinteresadoshayan
sufrido o no inconvenientes en razn de tal injerencia (sentencia Digital Rights Ireland y otros, C293/12 y
C594/12,EU:C:2014:238,apartado33ylajurisprudenciacitada).
Adems,laDecisin2000/520nocontieneningunaconstatacinsobrelaexistenciaenEstadosUnidosdereglas
estatalesdestinadasalimitarlasposiblesinjerenciasenlosderechosfundamentalesdelaspersonascuyosdatos
setransfierandesdelaUninaEstadosUnidos,injerenciasqueestuvieranautorizadasallevaracaboentidades
estatalesdeesepascuandopersiganfineslegtimos,comolaseguridadnacional.
SeaadeaelloelhechodequelaDecisin2000/520noponedemanifiestolaexistenciadeunaproteccin
jurdicaeficazcontrainjerenciasdeesanaturaleza.ComohaexpuestoelAbogadoGeneralenlospuntos204a
206desusconclusiones,losmecanismosdearbitrajeprivadoylosprocedimientosantelaComisinFederalde
Comercio,cuyasfacultades,descritasenparticularenlasFAQn11quefiguranenelanexoIIdeesaDecisin,
selimitanaloslitigioscomerciales,ataenalcumplimientoporlasempresasestadounidensesdelosprincipiosde
puerto seguro, y no se pueden aplicar en litigios concernientes a la legalidad de injerencias en los derechos
fundamentalesderivadasdemedidasdeorigenestatal.
Por otro lado, el anlisis precedente de la Decisin 2000/520 se confirma por la apreciacin que la misma
ComisinharealizadosobrelasituacinresultantedelaaplicacindeesaDecisin.Enefecto,enparticularenlos
puntos 2 y 3.2 de la Comunicacin COM(2013) 846 final y en los puntos 7.1, 7.2 y 8 de la Comunicacin
COM(2013)847final,cuyocontenidoseexponerespectivamenteenlosapartados13a16,y22,23y25dela
presente sentencia, la Comisin constat que las autoridades estadounidenses podan acceder a los datos
personalestransferidosapartirdelosEstadosmiembrosaEstadosUnidosytratarlosdemaneraincompatiblecon
lasfinalidadesdeesatransferencia,quevamsalldeloqueeraestrictamentenecesarioyproporcionadoparala
proteccindelaseguridadnacional.Deigualmodo,laComisinapreciquelaspersonasafectadasnodisponan
devasjurdicasadministrativasojudicialesquelespermitieranaccederalosdatosquelesconcernanyobtener,
ensucaso,surectificacinosupresin.
EnloqueataealniveldeproteccindelaslibertadesyderechosfundamentalesgarantizadoenlaUnin,segn
reiterada jurisprudencia del Tribunal de Justicia, una normativa de sta que haga posible una injerencia en los
derechosfundamentalesgarantizadosporlosartculos7y8delaCartadebecontenerreglasclarasyprecisas
que regulen el alcance y la aplicacin de una medida e impongan unas exigencias mnimas, de modo que las
personas cuyos datos personales resulten afectados dispongan de garantas suficientes que permitan proteger
eficazmente sus datos personales contra los riesgos de abuso y contra cualquier acceso o utilizacin ilcitos de
16/18
10/6/2015
CURIADocumentos
stos. La necesidad de disponer de esas garantas es an ms importante cuando los datos personales se
sometenauntratamientoautomticoyexisteunriesgoelevadodeaccesoilcitoaellos(sentenciaDigitalRights
Irelandyotros,C293/12yC594/12,EU:C:2014:238,apartados54y55ylajurisprudenciacitada).
Adems,ysobretodo,laproteccindelderechofundamentalalrespetodelavidaprivadaalniveldelaUnin
exigequelasexcepcionesalaproteccindelosdatospersonalesylaslimitacionesdeesaproteccinnoexcedan
deloestrictamentenecesario(sentenciaDigitalRightsIrelandyotros,C293/12yC594/12,EU:C:2014:238,
apartado52ylajurisprudenciacitada).
Pues bien, no se limita a lo estrictamente necesario una normativa que autoriza de forma generalizada la
conservacindelatotalidaddelosdatospersonalesdetodaslaspersonascuyosdatossehayantransferidodesde
laUninaEstadosUnidos,sinestablecerningunadiferenciacin,limitacinoexcepcinenfuncindelobjetivo
perseguidoysinpreverningncriterioobjetivoquepermitacircunscribirelaccesodelasautoridadespblicasa
losdatosysuutilizacinposteriorafinesespecficos,estrictamentelimitadosypropiosparajustificarlainjerencia
que constituyen tanto el acceso a esos datos como su utilizacin [vase en ese sentido, acerca de la Directiva
2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservacin de datos
generadosotratadosenrelacinconlaprestacindeserviciosdecomunicacioneselectrnicasdeaccesopblicoo
de redes pblicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE (DO L 105, p. 54), la
sentenciaDigitalRightsIrelandyotros,C293/12yC594/12,EU:C:2014:238,apartados57a61].
Enparticular,sedebeconsiderarqueunanormativaquepermitealasautoridadespblicasaccederdeforma
generalizada al contenido de las comunicaciones electrnicas lesiona el contenido esencial del derecho
fundamental al respeto de la vida privada garantizado por el artculo 7 de la Carta (vase, en ese sentido, la
sentenciaDigitalRightsIrelandyotros,C293/12yC594/12,EU:C:2014:238,apartado39).
Deigualmanera,unanormativaquenoprevposibilidadalgunadequeeljusticiableejerzaaccionesenDerecho
paraaccederalosdatospersonalesqueleconciernenoparaobtenersurectificacinosupresinnorespetael
contenidoesencialdelderechofundamentalalatutelajudicialefectivaquereconoceelartculo47delaCarta.En
efecto, el artculo 47, prrafo primero, de sta establece que toda persona cuyos derechos y libertades
garantizadosporelDerechodelaUninhayansidovioladostienederechoalatutelajudicialefectiva,respetando
las condiciones establecidas en dicho artculo. En ese sentido, la existencia misma de un control jurisdiccional
efectivoparagarantizarelcumplimientodelasdisposicionesdelDerechodelaUninesinherentealaexistencia
de un Estado de Derecho (vanse, en ese sentido, las sentencias Les Verts/Parlamento, 294/83,
EU:C:1986:166,apartado23Johnston,222/84,EU:C:1986:206,apartados18y19Heylensyotros,222/86,
EU:C:1987:442,apartado14,yUGTRiojayotros,C428/06aC434/06,EU:C:2008:488,apartado80).
Comosehaapreciadoenparticularenlosapartados71,73y74delapresentesentencia,laadopcinporla
Comisin de una decisin en virtud del artculo 25, apartado 6, de la Directiva 95/46 requiere la constatacin
debidamente motivada por esa institucin de que el tercer pas considerado garantiza efectivamente, por su
legislacin interna o sus compromisos internacionales, un nivel de proteccin de los derechos fundamentales
sustancialmente equivalente al garantizado en el ordenamiento jurdico de la Unin, segn resulta de los
anterioresapartadosdeestasentencia.
Ahora bien, se ha de observar que la Comisin no manifest en la Decisin 2000/520 que Estados Unidos
garantizaefectivamenteunniveldeproteccinadecuadoenrazndesulegislacininternaosuscompromisos
internacionales.
Enconsecuencia,ysinqueseaprecisoapreciarelcontenidodelosprincipiosdepuertoseguro,sedebeconcluir
queelartculo1deesaDecisinvulneralasexigenciasestablecidasporelartculo25,apartado6,delaDirectiva
95/46,entendidoalaluzdelaCarta,yesinvlidoporesacausa.
Sobreelartculo3delaDecisin2000/520
Delasconsideracionesexpuestasenlosapartados53,57y63delapresentesentenciasesigueque,envirtud
delartculo28delaDirectiva95/46,entendidoalaluzdelartculo8delaCarta,lasautoridadesnacionalesde
control deben poder examinar con toda independencia cualquier solicitud de proteccin de los derechos y
libertadesdeunapersonafrenteauntratamientodedatospersonalesquelaafecte.Ases,enparticular,cuando
esa persona suscite con ocasin de su solicitud interrogantes sobre la compatibilidad de una decisin de la
Comisinadoptadaenvirtuddelartculo25,apartado6,deesaDirectivaconlaproteccindelavidaprivadayde
laslibertadesyderechosfundamentalesdelaspersonas.
No obstante, el artculo 3, apartado 1, prrafo primero, de la Decisin 2000/520 establece una regulacin
especfica de las facultades de las que disponen las autoridades nacionales de control ante una constatacin
realizada por la Comisin sobre el nivel de proteccin adecuado, en el sentido del artculo 25 de la
Directiva95/46.
De esa forma, a tenor de dicha disposicin las referidas autoridades, sin perjuicio de sus facultades para
emprender acciones que garanticen el cumplimiento de las disposiciones nacionales adoptadas de conformidad
condisposicionesdiferentesdelartculo25delaDirectiva[95/46],[]podrnejercersufacultaddesuspender
los flujos de datos hacia una entidad que haya autocertificado su adhesin a los principios [de la Decisin
2000/520], de manera restrictiva, ya que slo es posible la intervencin a partir de un alto umbral de
17/18
10/6/2015
CURIADocumentos
condiciones. Aunque esa disposicin no enerva las facultades de esas autoridades para tomar medidas
encaminadasaasegurarelcumplimientodelasdisposicionesnacionalesadoptadasenaplicacindeesaDirectiva,
excluyeencambiolaposibilidaddequeesasautoridadestomenmedidasconobjetodeasegurarelcumplimiento
delartculo25delamismaDirectiva.
Portanto,elartculo3,apartado1,prrafoprimero,delaDecisin2000/520debeentenderseenelsentidode
queprivaalasautoridadesnacionalesdecontroldelasfacultadesquelesatribuyeelartculo28delaDirectiva
95/46, en el supuesto de que una persona alegue, con ocasin de una solicitud basada en esa disposicin,
factores que puedan afectar a la compatibilidad de una decisin de la Comisin, que haya constatado con
fundamentoenelartculo25,apartado6,deesaDirectivaqueuntercerpasgarantizaunniveldeproteccin
adecuado,conlaproteccindelavidaprivadaydelaslibertadesyderechosfundamentalesdelaspersonas.
Ahora bien, la facultad de ejecucin atribuida a la Comisin por el legislador de la Unin en el artculo 25,
apartado6,delaDirectiva95/46noconfiereaesainstitucinlacompetenciapararestringirlasfacultadesdelas
autoridadesnacionalesdecontrolalasqueserefiereelanteriorapartadodeestasentencia.
Siendo as, es preciso apreciar que, al adoptar el artculo 3 de la Decisin 2000/520, la Comisin excedi los
lmitesdelacompetenciaqueleatribuyeelartculo25,apartado6,delaDirectiva95/46,entendidoalaluzdela
Carta,yquedichoartculo3esinvlidoporesacausa.
Todavezquelosartculos1y3delaDecisin2000/520sonindisociablesdelosartculos2y4ydelosanexos
desta,suinvalideztieneelefectodeafectaralavalidezdeesaDecisinensuconjunto.
PortodaslasconsideracionesprecedentessedebeconcluirquelaDecisin2000/520esinvlida.
Costas
Dadoqueelprocedimientotiene,paralaspartesdellitigioprincipal,elcarcterdeunincidentepromovidoante
elrganojurisdiccionalnacional,correspondeasteresolversobrelascostas.Losgastosefectuadosporquienes,
no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser
objetodereembolso.
Envirtuddetodoloexpuesto,elTribunaldeJusticia(GranSala)declara:
1)Elartculo25,apartado6,deladelaDirectiva95/46/CEdelParlamentoEuropeoydelConsejo,de
24 de octubre de 1995, relativa a la proteccin de las personas fsicas en lo que respecta al
tratamientodedatospersonalesyalalibrecirculacindeestosdatos,ensuversinmodificadapor
el Reglamento (CE) n 882/2003 del Parlamento Europeo y del Consejo, de 29 de septiembre de
2003,entendidoalaluzdelosartculos7,8y47delaCartadelosDerechosFundamentalesdela
Unin Europea, debe interpretarse en el sentido de que una Decisin adoptada en virtud de la
referida disposicin, como la Decisin 2000/520/CE de la Comisin, de 26 de julio de 2000, con
arreglo a la Directiva 95/46, sobre la adecuacin de la proteccin conferida por los principios de
puerto seguro para la proteccin de la vida privada y las correspondientes preguntas ms
frecuentes,publicadasporelDepartamentodeComerciodeEstadosUnidosdeAmrica,porlaquela
ComisinEuropeaconstataqueuntercerpasgarantizaunniveldeproteccinadecuado,noimpide
que una autoridad de control de un Estado miembro, a la que se refiere el artculo 28 de esa
Directiva,ensuversinmodificada,examinelasolicituddeunapersonarelativaalaproteccinde
sus derechos y libertades frente al tratamiento de los datos personales que la conciernen que se
hayan transferido desde un Estado miembro a ese tercer pas, cuando esa persona alega que el
Derechoylasprcticasenvigorenstenogarantizanunniveldeproteccinadecuado.
2)LaDecisin2000/520esinvlida.
Firmas
* Lenguadeprocedimiento:ingls.
18/18

Tribunal de Justicia de La Unioìn Europea - Schrems

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Tribunal de Justicia de La Unioìn Europea - Schrems

Diunggah oleh

Hak Cipta:

Format Tersedia

10/6/2015

Anda mungkin juga menyukai