Marina Serrat Romaní – El caso Facebook: ¿Protege la UE los datos de sus contribuyentes?

Presentamos en el post de hoy una valiosa contribución de Marina Serrat Romaní, Becaria FI de la Universidad de Barcelona

Desde el 6 de octubre de 2015, los Estados Unidos han dejado de ser considerados un puerto seguro (Safe Harbour) por la Unión Europea para la salvaguarda de los datos personales de los ciudadanos y usuarios de la “Red de redes” del viejo continente. Así de claro ha sido el Tribunal de Justicia de la Unión Europea –en adelante TJUE- cuando en la sentencia del caso C-362/14 Maximillian Schrems vs Data Protection Commissioner ha invalidado la Decisión 2000/520, por la que la Comisión Europea declaró a los Estados Unidos un país cuya legislación y praxis se adecuaba a los principios de puerto seguro para la protección de la vida privada establecidos con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo.

El ciudadano austríaco Maximilian Scrhrems, usuario de Facebook, tras escuchar las declaraciones de Edward Snowden, sobre las prácticas que ejercían los servicios de seguridad y demás autoridades públicas de los Estados Unidos con los datos que se encontraban en este territorio, presentó una reclamación ante el Comisario para la protección de datos solicitándole que prohibiera la transferencia de sus datos personales a los Estados Unidos. La razón de esta petición se basa en la propia estructura de Facebook. Los ciudadanos de la UE que abren una cuenta en la red social firman un contrato con Facebook Irlanda, filial de la compañía en Europa, la cual transfiere todo o parte de los datos personales de los usuarios inscritos a los servidores de la matriz, situada en Estados Unidos, para realizar el denominado data mining o tratamiento de los datos, cuyo fin no es otro que extraer conocimiento a partir de grandes volúmenes de datos.

Sin embargo, el Comisario europeo justificaba la plena protección de datos con base en la Decisión 2000/520 por la que la Comisión europea “constataba” o “certificaba” el nivel adecuado de protección del país americano. Así, pues, ante la negativa del Comisario a investigar los hechos, Schrems decidió acudir a los tribunales hasta llegar ante la High Court irlandesa. Ante las revelaciones del caso Snowden, sobre los “excesos” cometidos por las autoridades estadounidenses y la negativa de revisar el caso por parte del comisario, quien escudó su omisión tras la declaración de “puerto seguro” que conllevaba la Decisión 2000/520, la High Court suspendió el procedimiento y planteó cuestiones prejudiciales al TJUE, que pueden resumirse con la siguiente pregunta: ¿Debe una autoridad examinar la petición de un ciudadano de la Unión, cuando éste le pregunta sobre si un tercer Estado realmente cumple con los principios de puerto seguro para la protección de la vida privada, aunque exista una Decisión de la propia Comisión que “teóricamente” garantiza un nivel adecuado de protección?

En respuesta a las cuestiones prejudiciales, el TJUE argumenta que aun existiendo una Decisión adoptada en virtud del cumplimiento de los principios para la protección de datos de carácter personal y respeto a la vida privada y familiar, como es el caso de la Decisión 2000/520, esto no es impedimento para que “una autoridad de control de un Estado miembro […] examine la solicitud de una persona relativa a la protección de sus derechos y libertades frente al tratamiento de los datos personales que la conciernen que se hayan transferido desde un Estado miembro a ese tercer país, cuando esa persona alega que el Derecho y las prácticas en vigor en éste no garantizan un nivel de protección adecuado. ” (ap. 66).

A partir de esta afirmación, el Tribunal analiza la adecuación de dicha Decisión a los principios y derechos de la Directiva 95/46/CE y la Carta de Derechos Fundamentales de la Unión Europea. En vista del análisis del articulado de la Decisión 2000/520, el TJUE alerta de que se está reconociendo “la primacía de las «exigencias de seguridad nacional, interés público y cumplimiento de la ley [de Estados Unidos]” (ap. 86), pero que, además, esta Decisión no contiene constatación alguna sobre la existencia de reglas internas en Estados Unidos “destinadas a limitar las posibles injerencias en los derechos fundamentales de las personas cuyos datos se transfieran desde la Unión a Estados Unidos, injerencias que estuvieran autorizadas a llevar a cabo entidades estatales de ese país cuando persigan fines legítimos, como la seguridad nacional.” (ap. 89).

Ante este hecho, el TJUE considera que “una normativa que permite a las autoridades públicas acceder de forma generalizada al contenido de las comunicaciones electrónicas lesiona el contenido esencial del derecho fundamental al respeto de la vida privada garantizado por el artículo 7 de la Carta. ” (ap. 94). Además, el Tribunal carga contra la Comisión Europea al sentenciar que ésta no manifestó en la Decisión 2000/520 que Estados Unidos garantizara efectivamente un nivel de protección adecuado en razón de su legislación interna o sus compromisos internacionales, incumpliendo, así, la Directiva 95/46/CE.

Para que las interceptaciones de comunicaciones electrónicas puedan ser consideradas conformes a Derecho, debe justificarse y aportarse prueba de que tales “intercepciones tienen un carácter selectivo, de que la vigilancia de determinadas personas o de determinados grupos de personas está objetivamente justificada en interés de la seguridad nacional o de la represión de la delincuencia y de que existen garantías adecuadas y comprobables” (ap. 33), de lo contrario, el “acceso masivo e indiferenciado a los datos personales es manifiestamente contrario al principio de proporcionalidad y a los valores fundamentales” (ap. 33). Como también es contrario a estos valores fundamentales una normativa que no prevé posibilidad alguna de acceder a los datos personales para obtener su rectificación o cancelación, ya que pueden vulnerar el derecho a la tutela judicial efectiva prevista en el art. 47 de la Carta (ver. Aps. 99 a 104).

A raíz de este fallo la pregunta que cabe plantearse es ¿qué ocurre con los intercambios de información tributaria con Estados Unidos? Todos los Estados miembro de la Unión han firmado acuerdos FATCA para el intercambio automático de información financiera y tributaria con Estados Unidos que empezarán a entrar en vigor en los próximos años, fechas en las cuales el modelo de Acuerdo multilateral para el intercambio automático de información financiera elaborado por la OCDE también empezará a aplicarse para las jurisdicciones firmantes. El Tribunal de Justicia de la Unión Europea ha reconocido tácitamente –se puede decir más alto, pero no más claro, jurídicamente hablando– que el país norteamericano es un tercer Estado que no respeta los niveles de protección de datos y de privacidad exigidos en la Unión Europea. Con todo, los acuerdos y convenios de intercambio de información financiera con Estados Unidos siguen vigentes, ya que, supuestamente, también cumplen las garantías necesarias de protección de datos y de la esfera íntima, como las cumplía la ya invalidada Decisión 2000/520.

Para terminar, cabe añadirse que existe un debate en torno a la inclusión de los datos de carácter económico dentro de la esfera íntima de la persona. Sin embargo, para el Derecho europeo, los datos económicos sí se integran en esta amplia noción de intimidad personal (art. 8.1 de la Carta). Consecuentemente, una breve reflexión: ¿se consideran los datos financieros como parte de estos derechos económicos integrantes de la esfera íntima? Si así es, y estos acuerdos internacionales –e incluso el propio TJUE en su pronunciamiento sobre el caso C-276/12 Sabou– niegan el acceso, rectificación o cancelación de los datos tributarios; y, además, si existe un acceso masivo e indiferenciado en el tratamiento de los datos por parte de organismos públicos de Estados Unidos –e incluso no cabe descartar a otros terceros Estados- la pregunta que cabe formularse es ¿realmente se está garantizando un respeto a los derechos de los contribuyentes?

Estrella Gutiérrez – Old and new domains of privacy: towards the “right to be forgotten”

Estrella Gutiérrez (Rey Juan Carlos University) publishes today an enlightening paper on Old and new domains of privacy: towards the “right to be forgotten” where she analyses the EJC Judgement of 13 May 2014, Case C-131/12 Google Spain et al.

Many thanks, dear Estrella, for this inspiring contribution to ECJ Leading Cases.

Pedro Herrera

Estrella Gutiérrez: ECJ Judgment Schwarz (C-291/12) Biometric data and respect for private life

Estrella Gutiérrez, visiting professor at the Carlos III University (Madrid) has written an inspiring comment to the ECJ Judgment Schwarz v. Stadt Bochum, regarding biometric data an the rights to respect for private life. Many thanks, Estrella for your valuable contribution.

Pedro M. Herrera

ECJ rules that biometric-recognition in passports does not constitute an infringement of privacy and data protection

ECJ Judgment of 17 October 2013, Case C‑291/12, Schwarz v. Stadt Bochum. Biometric data, fingerprints, facial recognition, iris recognition, privacy, personal data.

Biometric data (fingerprints or iris) as they contain unique information which allows identifying individuals with precision may constitute a threat to the rights to respect for private life and the protection of personal data.

More specifically, collecting and storing biometric data of someone else constitute a processing of personal data in the sense established by article 2(b) of Directive 95/46, on the protection of individuals with regard to the processing of personal data and on the free movement of such data (hereinafter, the “Directive”). This provision sets forth that processing of personal data means any operation performed upon such data by a third party, such as the collecting, recording, storage, consultation or use thereof.

In the light of the foregoing, Regulation 2252/2004, of 13 December 2004, on standards for security features and biometrics in passports and travel documents issued by Member States (hereinafter, the “Regulation”), requires biometric data to be collected and stored in the storage medium of passports and travel documents with a view to issuing such documents.

Applying the said Regulation means that national authorities shall take a person’s fingerprints to keep them in the storage medium available in that person’s passport. Such measures must therefore be viewed as a processing of personal data.

In this context, a German citizen applied to the Stadt Bochum for a passport, but refused at that time to have his fingerprints taken. After the Stadt Bochum rejected his application, the claimant brought an action before the Verwaltungsgericht Gelsenkirchen (the administrative domestic Court) in which he requested that the city be ordered to issue him with a passport without taking his fingerprints.

By referring a preliminary ruling, the administrative Court sought to establish whether this Regulation is valid, particularly in light of the Charter of Fundamental Rights of the European Union (hereinafter the “Charter”), in so far as it obliges any person applying for a passport to provide fingerprints to be stored therein.

The referring Court asked, in essence, whether article 1(2) of Regulation was invalid on the grounds such provision breached certain fundamental rights of the holders of passports, namely, the right to private life and the protection of personal data laid down in articles 7 and 8 of the Charter respectively.

The Court comes to the conclusion that the interference with privacy and personal data arising from the contested Regulation is justified by its aim of protecting against the fraudulent use of passports and preventing illegal entry to the European Union (hereinafter, “EU”).

Comments

Under article 7 and 8 of the Charter, neither shall privacy be hindered and nor personal data be processed except on the basis of the consent of the person concerned or some other legitimate basis laid down by law. In absence of consent of right holder or data subject, the Court has to asses to what extent measures interfering with such fundamental rights do meet the requirements of the three-fold test of (i) prescribed by law; (ii) necessity; (iii) proportionality.

In the present case, the ECJ observes firstly that collecting and storing fingerprints when issuing passports must be considered to be prescribed by law, since those operations are provided for by the contested Regulation.

Secondly, when assessing the necessity of the contested Regulation the Court finds that there is a legitimate interest justifying the interference with privacy and personal data, namely, preventing falsification of passports and illegal entry to the EU.

Thirdly, the ECJ analyses the proportionality of the Regulation. In doing so, it is important for the Court to examine whether processing of fingerprints by collecting and storing such information in passports does actually involve the less restrictive measures with the rights to privacy and personal data and does not go beyond what is necessary to achieve that legitimate aim in protecting EU borders from illegal entry pursued by the contested Regulation.

Notwithstanding the processing method does not prevent all unauthorised persons from being accepted, -observes the Court- it is enough that it significantly reduces the likelihood of such acceptance that would exist if that method were not used. In this sense, the ECJ holds that “the fact that the method is not wholly reliable is not decisive” to determine the invalidity of the processing.

Furthermore, the ECJ notes that the processing “is not an operation of an intimate nature”, given that it involves no more than the taking of prints of two fingers, which can, moreover, generally be seen by others. “Nor does it cause any particular physical or mental discomfort to the person affected anymore than when that person’s facial image is taken”, emphasizes the Court. In other words, the processing does not involve an intrusive means which may interfere unnecessarily with privacy.

The Court also wonders whether the fact that fingerprints and a facial image are taken at the same time would give rise to greater interference with those rights. The ECJ finds that the combination of two operations designed to identify persons may not a priori be regarded as giving rise in itself to a greater threat to the fundamental rights at stake than if each of those two operations were to be considered in isolation.

On the other hand, the Court notes that the only real alternative to the taking of fingerprints is an iris scan. But nothing suggests that the latter procedure would interfere less with the rights to privacy and personal data than the taking of fingerprints. Furthermore, with regard to the effectiveness of those two methods, the ECJ recognises that iris-recognition technology is not yet as advanced as fingerprint-recognition technology. In addition, the procedure for iris recognition is currently significantly more expensive than the procedure for comparing fingerprints and is, for that reason, less suitable for general use.

However, the referring Court was uncertain whether the Regulation is proportionate in view of the risk that, once fingerprints have been taken pursuant to that provision, the data will be stored, perhaps centrally, and used for purposes other than those provided for by that Regulation.

In that regard, the Court warns that the contested Regulation shall not be construed as “providing a legal basis for the centralised storage of data collected thereunder or for the use of such data for purposes other than that of preventing illegal entry into the European Union”. Had such centralised storage of data happened, it should be examined in the course of an action brought before the competent domestic Courts. Meanwhile, the ECJ considers that the possible risks linked to possible centralisation cannot, in any event, affect the validity of that Regulation.

In other words, the domestic legislation of State Members must ensure that there are specific guarantees that the processing of such data will be effectively protected from misuse and abuse and purposes other than preventing falsification of passports and protecting EU borders.

María Estrella Gutiérrez David

Visiting professor at the Carlos III University

A. López Pina and I. Gutiérrez Gutiérrez: Trojans at the Constitutional Court – Troyanos en el Tribunal Constitucional

Trojans at the Constitutional Court

PBCrichton_Malware_Hazard_Symbol_-_RedProfessors Antonio López Pina and Ignacio Gutiérrez Gutiérrez have published an inspiring paper on right to privacy and appoinment of new judges at the German and Spanish Constitutional Court: trojans at the Constitutional Court. We thank then for providing us with the link to their relevant comments.

Los profesores Antonio López Pina e Ignacio Gutiérrez han publicado un interesante trabajo en el que analizan tanto el derecho a la intimidad como el nombramiento de nuevos jueces del Tribunal Constitucional: Troyanos en el Tribunal Constitucional. Les agradecemos que nos hayan facilitado el enlace a sus relevantes comentarios.

Luis A. Martínez Giner: Judgment of the Belgian Constitutional Court on international requirements of banking information – Sentencia del Tribunal Constitucional Belga sobre requerimientos internacionales de información bancaria

Luis Alfonso Martínez GinerKeywords: right to privacy, international exchange of banking information, banking information – derecho a la vida privada, intercambio de información bancaria internacional

Sentencia nº 66/2013, de 16 de mayo de 2013 Tribunal Constitucional Bélga
Judgment of the Belgium Constitutional Court n. 66/2013, of 16 May 2013

El Tribunal Constitucional de Bélgica en sentencia de 16 de mayo de 2013 ha considerado que debe notificarse a los contribuyentes la solicitud de información bancaria por parte de una administración tributaria extranjera.
En esa sentencia en la que se analizan diversas cuestiones, se plantea la violación de los artículos 10, 11, 22 y 29 de la Constitución belga, en relación con el artículo 8 del Convenio Europeo de Derechos Humanos, a la luz del artículo 9 de la Ley de 7 de noviembre 2011 que eliminó el requisito de informar a los contribuyentes cuando la solicitud de información bancaria procedía de un Estado extranjero. Los demandantes consideran que se trata de una previsión discriminatoria y no respetuosa con el derecho a la privacidad de los contribuyentes.

El Artículo 9. 2 de la Ley de 7 de noviembre 2011 introdujo en el artículo 333/1, § 1 del CIR (Code des impôts sur les revenus) de 1992, una cláusula que establecía que el párrafo primero del apartado 1 no se aplicaría a las consultas de los gobiernos extranjeros, en virtud del artículo 322, § 4. En los trabajos preparatorios de la Ley de 7 de noviembre de 2011se mantuvo que la obligación de información era responsabilidad de la jurisdicción extranjera y no de la administración requerida.

En este sentido se argumentaba que la notificación al contribuyente podría conducir a una pérdida de tiempo y a una demora injustificada que podría frustrar el fin de la investigación. No obstante esa ausencia de notificación únicamente se preveía en los casos de petición de información de una administración extranjera.

Como el Tribunal ya declaró previamente en su sentencia N º 6/2013, de 14 de febrero de 2013, los requisitos de procedimiento “son importantes salvaguardas contra la injerencia arbitraria en la vida privada de los contribuyentes y las personas con quien llevó a cabo las transacciones financieras”. Sobre la base de esas argumentaciones se ha considerado que la diferencia de trato en materia de notificación entre la petición de información por parte de una administración extranjera carece de una justificación razonable; y ello en cuanto que la notificación al contribuyente constituye una importante salvaguardia contra la interferencia en su vida privada.

Muchas gracias a Luis Alfonso Martínez Giner, Profesor Titular de Derecho Financiero de la Universidad de Alicante por esta valiosa aportación.

According to the Judgment of the Belgium Constitutional Court n. 66/2013, of 16 May 2013 it is unconstitutional that requirements of banking information delivered by foreign tax administrations are not notified to the taxpayer.

Many thanks to Luis A. Martínez Giner, Professor of Tax Law at the University of Alicante for this valuable contribution.

ECHR Judgment: Bernh Larsen Holding As and Others v. Norway – Taxation and right to respect for private and family life – Fiscalidad y derecho a la intimidad personal y familiar

elkbuntu_FBI_Dude_3ECHR Chamber Judgment of March the 14th 2013, Bernh Larsen Holding As, application no. 24117/08 (non-final)

Sentencia de Sala del Tribunal de Justicia de 14 de marzo de 2013 en el caso Bernh Larsen Holding As, asunto núm. 24117/08 (no es firme)

Trending topic: Tax authorities’ request for company to provide copy of computer server used jointly with other companies was considered legitimate – Se considera legítimo el requerimiento pro las autoridades tributarias para que faciliten una copia de un servidor utilizado conjuntamente por otras sociedades.

Judgment summary:

“European Court of Human Rights held, by a majority, that there had been: no violation of Article 8 (right to respect for private and family life, home and correspondence) of the European Convention on Human Rights. The case concerned the complaint by three Norwegian companies about a decision of the tax authorities ordering tax auditors to be provided with a copy of all data on a computer server used jointly by the three companies. The Court agreed with the Norwegian courts’ argument that, for efficiency reasons, tax authorities’ possibilities to act should not be limited by the fact that a tax payer was using a “mixed archive”, even if that archive contained data belonging to other tax payers. Moreover, there were adequate safeguards against abuse” (taken form the official press release).

Comment:

The argument of the Court is in line with the case-law of the Spanish Constitutional Court. However, it would be good that certain limits to the powers of tax authorities are drawn in a clear way.

Resumen de la sentencia:

“El Tribunal Europeo de Derechos humanos ha considerado por mayoría, que no se ha producido una violación del art. 8 (derecho al respeto a la vida personal y familiar y a la correspondencia) del Convenio Europeo de Derechos Humanos. El asunto se refiere al recurso de tres sociedades noruegas frente a la decisión de la Administración tributaria de que se suministrara a la inspección una copia de todos los datos de un servidor utilizado conjuntamente por las tres compañías. El Tribunal asume el argumento del tribunal noruego en el sentido de que, por razones de eficiencia, la actuación de la Administración tributaria no debe verse limitada por el hecho de que el contribuyente esté utilizando un “archivo conjunto”, incluso en el caso de que tal archivo contiene datos que pertenecen a otros contribuyentes. Además, se tomaron medidas adecuadas para evitar abusos” (traducción no oficial tomada de la reseña de prensa del Tribunal).

Comentario:

El argumento del Tribunal Europeo coincide con los planteamientos de nuestro tribunal constitucional. Sin embargo, sería deseable que se fijasen límites claros a los poderes de administración tributaria para invadir la esfera de la intimidad personal y familiar.