Marina Serrat Romaní – El caso Facebook: ¿Protege la UE los datos de sus contribuyentes?

Presentamos en el post de hoy una valiosa contribución de Marina Serrat Romaní, Becaria FI de la Universidad de Barcelona

Desde el 6 de octubre de 2015, los Estados Unidos han dejado de ser considerados un puerto seguro (Safe Harbour) por la Unión Europea para la salvaguarda de los datos personales de los ciudadanos y usuarios de la “Red de redes” del viejo continente. Así de claro ha sido el Tribunal de Justicia de la Unión Europea –en adelante TJUE- cuando en la sentencia del caso C-362/14 Maximillian Schrems vs Data Protection Commissioner ha invalidado la Decisión 2000/520, por la que la Comisión Europea declaró a los Estados Unidos un país cuya legislación y praxis se adecuaba a los principios de puerto seguro para la protección de la vida privada establecidos con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo.

El ciudadano austríaco Maximilian Scrhrems, usuario de Facebook, tras escuchar las declaraciones de Edward Snowden, sobre las prácticas que ejercían los servicios de seguridad y demás autoridades públicas de los Estados Unidos con los datos que se encontraban en este territorio, presentó una reclamación ante el Comisario para la protección de datos solicitándole que prohibiera la transferencia de sus datos personales a los Estados Unidos. La razón de esta petición se basa en la propia estructura de Facebook. Los ciudadanos de la UE que abren una cuenta en la red social firman un contrato con Facebook Irlanda, filial de la compañía en Europa, la cual transfiere todo o parte de los datos personales de los usuarios inscritos a los servidores de la matriz, situada en Estados Unidos, para realizar el denominado data mining o tratamiento de los datos, cuyo fin no es otro que extraer conocimiento a partir de grandes volúmenes de datos.

Sin embargo, el Comisario europeo justificaba la plena protección de datos con base en la Decisión 2000/520 por la que la Comisión europea “constataba” o “certificaba” el nivel adecuado de protección del país americano. Así, pues, ante la negativa del Comisario a investigar los hechos, Schrems decidió acudir a los tribunales hasta llegar ante la High Court irlandesa. Ante las revelaciones del caso Snowden, sobre los “excesos” cometidos por las autoridades estadounidenses y la negativa de revisar el caso por parte del comisario, quien escudó su omisión tras la declaración de “puerto seguro” que conllevaba la Decisión 2000/520, la High Court suspendió el procedimiento y planteó cuestiones prejudiciales al TJUE, que pueden resumirse con la siguiente pregunta: ¿Debe una autoridad examinar la petición de un ciudadano de la Unión, cuando éste le pregunta sobre si un tercer Estado realmente cumple con los principios de puerto seguro para la protección de la vida privada, aunque exista una Decisión de la propia Comisión que “teóricamente” garantiza un nivel adecuado de protección?

En respuesta a las cuestiones prejudiciales, el TJUE argumenta que aun existiendo una Decisión adoptada en virtud del cumplimiento de los principios para la protección de datos de carácter personal y respeto a la vida privada y familiar, como es el caso de la Decisión 2000/520, esto no es impedimento para que “una autoridad de control de un Estado miembro […] examine la solicitud de una persona relativa a la protección de sus derechos y libertades frente al tratamiento de los datos personales que la conciernen que se hayan transferido desde un Estado miembro a ese tercer país, cuando esa persona alega que el Derecho y las prácticas en vigor en éste no garantizan un nivel de protección adecuado. ” (ap. 66).

A partir de esta afirmación, el Tribunal analiza la adecuación de dicha Decisión a los principios y derechos de la Directiva 95/46/CE y la Carta de Derechos Fundamentales de la Unión Europea. En vista del análisis del articulado de la Decisión 2000/520, el TJUE alerta de que se está reconociendo “la primacía de las «exigencias de seguridad nacional, interés público y cumplimiento de la ley [de Estados Unidos]” (ap. 86), pero que, además, esta Decisión no contiene constatación alguna sobre la existencia de reglas internas en Estados Unidos “destinadas a limitar las posibles injerencias en los derechos fundamentales de las personas cuyos datos se transfieran desde la Unión a Estados Unidos, injerencias que estuvieran autorizadas a llevar a cabo entidades estatales de ese país cuando persigan fines legítimos, como la seguridad nacional.” (ap. 89).

Ante este hecho, el TJUE considera que “una normativa que permite a las autoridades públicas acceder de forma generalizada al contenido de las comunicaciones electrónicas lesiona el contenido esencial del derecho fundamental al respeto de la vida privada garantizado por el artículo 7 de la Carta. ” (ap. 94). Además, el Tribunal carga contra la Comisión Europea al sentenciar que ésta no manifestó en la Decisión 2000/520 que Estados Unidos garantizara efectivamente un nivel de protección adecuado en razón de su legislación interna o sus compromisos internacionales, incumpliendo, así, la Directiva 95/46/CE.

Para que las interceptaciones de comunicaciones electrónicas puedan ser consideradas conformes a Derecho, debe justificarse y aportarse prueba de que tales “intercepciones tienen un carácter selectivo, de que la vigilancia de determinadas personas o de determinados grupos de personas está objetivamente justificada en interés de la seguridad nacional o de la represión de la delincuencia y de que existen garantías adecuadas y comprobables” (ap. 33), de lo contrario, el “acceso masivo e indiferenciado a los datos personales es manifiestamente contrario al principio de proporcionalidad y a los valores fundamentales” (ap. 33). Como también es contrario a estos valores fundamentales una normativa que no prevé posibilidad alguna de acceder a los datos personales para obtener su rectificación o cancelación, ya que pueden vulnerar el derecho a la tutela judicial efectiva prevista en el art. 47 de la Carta (ver. Aps. 99 a 104).

A raíz de este fallo la pregunta que cabe plantearse es ¿qué ocurre con los intercambios de información tributaria con Estados Unidos? Todos los Estados miembro de la Unión han firmado acuerdos FATCA para el intercambio automático de información financiera y tributaria con Estados Unidos que empezarán a entrar en vigor en los próximos años, fechas en las cuales el modelo de Acuerdo multilateral para el intercambio automático de información financiera elaborado por la OCDE también empezará a aplicarse para las jurisdicciones firmantes. El Tribunal de Justicia de la Unión Europea ha reconocido tácitamente –se puede decir más alto, pero no más claro, jurídicamente hablando– que el país norteamericano es un tercer Estado que no respeta los niveles de protección de datos y de privacidad exigidos en la Unión Europea. Con todo, los acuerdos y convenios de intercambio de información financiera con Estados Unidos siguen vigentes, ya que, supuestamente, también cumplen las garantías necesarias de protección de datos y de la esfera íntima, como las cumplía la ya invalidada Decisión 2000/520.

Para terminar, cabe añadirse que existe un debate en torno a la inclusión de los datos de carácter económico dentro de la esfera íntima de la persona. Sin embargo, para el Derecho europeo, los datos económicos sí se integran en esta amplia noción de intimidad personal (art. 8.1 de la Carta). Consecuentemente, una breve reflexión: ¿se consideran los datos financieros como parte de estos derechos económicos integrantes de la esfera íntima? Si así es, y estos acuerdos internacionales –e incluso el propio TJUE en su pronunciamiento sobre el caso C-276/12 Sabou– niegan el acceso, rectificación o cancelación de los datos tributarios; y, además, si existe un acceso masivo e indiferenciado en el tratamiento de los datos por parte de organismos públicos de Estados Unidos –e incluso no cabe descartar a otros terceros Estados- la pregunta que cabe formularse es ¿realmente se está garantizando un respeto a los derechos de los contribuyentes?