En el fondo, este caso trata de un conflicto de leyes entre las leyes de vigilancia de EE.UU., que exigen vigilancia, y las leyes de protección de datos de la UE, que exigen privacidad.
Desde 2013 está pendiente este caso sobre la vigilancia masiva estadounidense y las empresas de la UE que la alimentan. Ha estado ante el Tribunal Superior irlandés y el Tribunal de Justicia de la Unión Europea (TJUE) en dos ocasiones e incluso hizo una breve visita al Tribunal Supremo irlandés. La historia de este caso es, en muchos aspectos, única.
Antecedentes
En esencia, este caso trata de un conflicto de leyes entre las leyes de vigilancia de EE.UU., que exigen vigilancia, y las leyes de protección de datos de la UE, que exigen privacidad.
Problema: las leyes de vigilancia estadounidenses
En 2013, Edward Snowden reveló públicamente que las agencias de inteligencia estadounidenses tenían acceso a los datos personales de los usuarios europeos con la ayuda de programas de vigilancia como PRISM. Este acceso se vio facilitado por una ley estadounidense de la que no se tenía constancia que permitiera una vigilancia de tan amplio alcance, denominada 50 U.S.C. §1881a (o FISA 702). La FISA 702 se aprobó en 2008 y amplió fundamentalmente las opciones de vigilancia y acceso a los datos para las autoridades estadounidenses. Al mismo tiempo, los proveedores estadounidenses de servicios de comunicación electrónica (como Apple, Microsoft, Facebook, Google y Yahoo) recopilaban cada vez más datos personales. En conjunto, esto provocó un impacto cada vez más perjudicial en la privacidad de los usuarios europeos.
En virtud de la ley FISA 702, los "proveedores de servicios de comunicaciones electrónicas" estadounidenses (según se definen en 50 U.S.C. §1881(4)) pueden ser obligados a dar acceso a las autoridades de seguridad estadounidenses a los datos personales de "personas no estadounidenses", que se definen como cualquiera que no sea ciudadano estadounidense o residente permanente en Estados Unidos. No se exige que las órdenes de vigilancia en virtud de esta ley sean específicas para un objetivo individual, sino que permiten todo un programa de vigilancia general como PRISM o Upstream. No existe aprobación judicial individualizada para las personas no estadounidenses. FISA 702 también permite la vigilancia con fines bastante amplios, como "información que... esté relacionada con... la gestión de los asuntos exteriores de Estados Unidos"(véase 50 U.S.C. §1801(e)).
También existen facultades de vigilancia de Estados Unidos basadas en el "poder inherente del Presidente de Estados Unidos" y definidas con más detalle en una orden ejecutiva(EO 12.333), mientras que otros elementos se describen en la Directiva Política Presidencial 28(PPD-28). Ambas son órdenes internas del poder ejecutivo que no crean deberes ni derechos para las entidades privadas, pero permiten la vigilancia de personas no estadounidenses.
Los documentos revelados por Edward Snowden enumeraban una serie de empresas estadounidenses que están proporcionando datos al gobierno estadounidense para programas de vigilancia como PRISM o Upstream en virtud de estas disposiciones, entre ellas Apple, Microsoft, Facebook, Google y Yahoo.
Reacción: El GDPR limita las transferencias de datos
La legislación europea sobre privacidad (antes la Directiva 95/46 y ahora el GDPR) se basa en el concepto de libre circulación de datos personales, pero sólo dentro de un ámbito que proteja la privacidad del usuario. Si los datos personales sólo estuvieran protegidos dentro de la Unión Europea pero pudieran transferirse fuera de la jurisdicción de la UE sin ninguna restricción, el alto nivel de protección de los datos personales necesario dentro de la UE podría verse fácilmente socavado.
Sin embargo, la legislación de la UE siempre ha previsto simultáneamente excepciones a este principio de limitación de las transferencias, como cuando los datos personales deben transferirse necesariamente (por ejemplo, al reservar un servicio en el extranjero o al enviar un correo electrónico) o cuando un usuario consiente libremente en una transferencia. Estas excepciones para las transferencias no estructurales están codificadas actualmente en el artículo 49 del RGPD.
Además, la legislación de la UE reconoce que puede haber situaciones en las que empresas no pertenecientes a la UE ofrezcan un nivel equivalente de protección de los datos personales. En algunos países, la legislación nacional es similar a la de la UE (por ejemplo, en Suiza, Israel, Canadá o Japón), y en otros las empresas pueden comprometerse voluntariamente a respetar los principios de la UE mediante la firma de acuerdos de Derecho civil, como las cláusulas contractuales tipo (CCT), las normas corporativas vinculantes o el Escudo de la privacidad UE-EE.UU.. Estas últimas bases jurídicas se encuentran en los artículos 46 a 48 del RGPD y se utilizan en gran medida para situaciones que se describen mejor como "externalización" del tratamiento de datos personales por parte de empresas a países no pertenecientes a la UE.
Dado que EE.UU. no cuenta con una ley general o federal de privacidad, las empresas estadounidenses deben recurrir a una de estas opciones contractuales de los artículos 46 a 48 del RGPD para la externalización. Sin embargo, para las empresas que entran en el ámbito de aplicación de las leyes de vigilancia de EE.UU., utilizar estas opciones contractuales es imposible en la práctica, ya que la legislación estadounidense les obliga a incumplir sus obligaciones en virtud de la legislación de la UE. Este problema está en el centro de todos los casos entre el Sr. Schrems, el Comisario de Protección de Datos (CPD) irlandés y Facebook, ya que Facebook cae claramente bajo las leyes de vigilancia de EE.UU. y participó en programas como PRISM, al tiempo que firmaba contradictoriamente los SCC, Safe Harbor y ahora Privacy Shield (la decisión sobre transferencias de datos UE-EE.UU. que sustituye a Safe Harbor).
Primer recurso ante el TJUE en 2013-2015 ("Safe Harbor")
Procedimiento ante el comisario irlandés de protección de datos (CPD)
Tras las revelaciones de Snowden, el Sr. Schrems (entonces estudiante de Derecho austriaco) presentó una denuncia contra Facebook Ireland Ltd ante el Comisario de Protección de Datos irlandés (DPC). La denuncia argumentaba que, en virtud de la Decisión de puerto seguro UE-EE.UU. 2000/520/CE (una decisión ejecutiva adoptada por la Comisión Europea en 2000), los datos personales del Sr. Schrems no debían enviarse de Facebook Ireland Ltd (que presta servicios a los usuarios de Facebook fuera de EE.UU. y Canadá) a Facebook Inc. (la empresa matriz estadounidense), dado que Facebook tiene que conceder a la Agencia de Seguridad Nacional de EE.UU. acceso a dichos datos.
El CPD irlandés rechazó la queja del Sr. Schrems por "frívola y vejatoria", argumentando que Facebook se basó en la Decisión de Puerto Seguro para llevar a cabo sus transferencias de datos a EE.UU.. En opinión del CPD, la Comisión Europea había aceptado que la legislación estadounidense es adecuada en la Decisión de 2000 (8 años antes de que se aprobara 50 U.S.C. § 1881a) y que el CPD estaba absolutamente vinculado por la Decisión de la Comisión.
Recurso judicial contra el DPC
En octubre de 2013, el Sr. Schrems interpuso un Recurso Judicial contra la Decisión del CPD, alegando que el CPD podía utilizar una "cláusula de emergencia" de la Decisión de Puerto Seguro para suspender la transferencia de datos y que, en cualquier caso, la Decisión de Puerto Seguro no era válida. En sentencia de 18. 6. 2014 [2014] IEHC 310, el Tribunal Superior irlandés puso en pausa el procedimiento y remitió el asunto al Tribunal de Justicia de la Unión Europea (TJUE). El Alto Tribunal irlandés coincidió en gran medida en el hecho de que existe "vigilancia masiva" con arreglo a la legislación estadounidense, pero consideró que no podía adoptar una decisión definitiva sobre el caso del Sr. Schrems sin determinar antes la validez de la Decisión de Puerto Seguro. Según el Derecho de la UE, sólo el TJUE puede pronunciarse sobre la validez de actos de la UE como la Decisión de Puerto Seguro, lo que significa que el Tribunal Superior irlandés tuvo que remitir el asunto al TJUE.
Sentencia del TJUE de 6 de octubre de 2015 (C-362/14)
En una sentencia pionera (C-362/14 Schrems) el TJUE declaró inválida la decisión de puerto seguro, siguiendo en gran medida los argumentos del Sr. Schrems. El Tribunal sostuvo que un tercer país como EE.UU. debe proporcionar un nivel de protección"esencialmente equivalente" al que ofrece la legislación de la UE, y que"la legislación que permite a las autoridades públicas tener acceso de forma generalizada" violaba la esencia del derecho fundamental de la UE a la intimidad en virtud del artículo 7 de la Carta de los Derechos Fundamentales de la UE (CDF). Del mismo modo, la falta de cualquier recurso legal en los EE.UU. para las personas no estadounidenses viola el derecho fundamental a un recurso judicial en virtud del artículo 47 de la CFR.
Tras la sentencia del TJUE, el Tribunal Superior irlandés archivó el procedimiento en los tribunales irlandeses, ya que el CPD se comprometió a aplicar rápidamente la decisión del TJUE.
Segunda referencia al TJUE en 2015-20 (SCCs & Privacy Shield)
Información de que Facebook se basó realmente en los SCC
Para gran sorpresa del Sr. Schrems, en noviembre de 2015 el CPD le informó de que la sentencia del TJUE sobre la decisión Safe Harbor era irrelevante para su reclamación original, porque Facebook en realidad siempre se había basado en las llamadas "Cláusulas Contractuales Tipo" (CEC ) para realizar sus transferencias de datos. El CPD no había revelado esta información al Sr. Schrems, haciéndole creer que Facebook se había basado en Safe Harbor, a pesar de haber recibido esa información de Facebook ya en un correo electrónico de respuesta a la denuncia en 2013.
En consecuencia, el Sr. Schrems reformuló su reclamación para incluir ahora las CEC y cualquier otra base jurídica para las transferencias de datos que pudiera ser invocada por Facebook, y presentó al CPD una reclamación actualizada el 1 de diciembre de 2015. El Sr. Schrems argumentó que el CPD debería utilizar el artículo 4 de la Decisión SCC para suspender las transferencias, ya que el artículo 4 permite al CPD suspender las transferencias de datos si se violan los derechos fundamentales de los usuarios.
Demanda del CPD contra Facebook y el Sr. Schrems
En lugar de pronunciarse rápidamente sobre el caso, el CPD presentó sorprendentemente una demanda contra Facebook Ireland Ltd y el Sr. Schrems poco después de iniciar su "investigación" sobre la denuncia reformulada que implicaba a ambas partes. En opinión del DPC, las dos partes eran los "demandados naturales" en este caso, y el DPC se vio obligado a pedir al Tribunal Superior que emitiera otra remisión al Tribunal de Justicia de la UE. El Sr. Schrems ha impugnado el caso, alegando que el DPC sólo puede remitirse al TJUE por segunda vez una vez que se hayan investigado todos los hechos y cuestiones.
Varias partes han solicitado sumarse como amicus (ayudantes neutrales del tribunal) al caso; el gobierno de EE.UU., EPIC.org y dos grupos de presión de la industria se sumaron a él.
En la demanda, el DPC argumentó que no sólo se sumaba a las opiniones del Sr. Schrems en su preocupación por la ley de vigilancia de EE.UU., sino que, más allá de eso, también tenía serias dudas sobre la validez de los SCC utilizados por Facebook. El CPD consideró que los CEC no constituyen un mecanismo legal para transferir datos si un tercer país, como Estados Unidos, ha aprobado leyes que entran en conflicto con los CEC. Facebook y el Sr. Schrems no discreparon de las propias CEC y coincidieron en que, en tal caso, el artículo 4 de la Decisión (UE) 2010/87 sobre las CEC permitiría encontrar una solución.
Al contrario que el Sr. Schrems y el CPD, Facebook no veía ningún problema en las leyes de vigilancia estadounidenses y consideraba que la UE no tiene jurisdicción sobre cuestiones de "seguridad nacional". Facebook también se basó en la Decisión sobre el Escudo de Privacidad (UE) 2016/1250 de la Comisión Europea, que sustituyó a la decisión invalidada sobre el Puerto Seguro. En esta decisión, la Comisión Europea consideró que no hay conflicto entre las leyes de vigilancia de Estados Unidos y los derechos fundamentales de la UE. Según Facebook, esta conclusión de la decisión sobre el Escudo de la privacidad también debe aplicarse a las transferencias en virtud de los CEC. El Sr. Schrems consideró que la propia decisión del Escudo de la privacidad no es válida, ya que tergiversa fundamentalmente las leyes de vigilancia de EE.UU. y, por lo tanto, no es una autoridad para interpretar los CEC.
Tras varios trámites procesales y más de cinco semanas de audiencias en las que participaron múltiples testigos expertos en la legislación estadounidense sobre vigilancia, el Tribunal Superior irlandés reconoció la existencia de programas de vigilancia masiva del gobierno estadounidense. En una sentencia de 3 de octubre de 2017 [2017] IEHC 545, el Alto Tribunal irlandés resumió todas las conclusiones fácticas, destacando que Estados Unidos lleva a cabo un "tratamiento masivo" de datos personales, cuando, por ejemplo, filtra todo el tráfico de Internet que fluye a través de partes de la red troncal de Internet. El 13 de abril de 2018 remitió once cuestiones interpretativas al TJUE para que las resolviera. Las preguntas fueron redactadas en gran medida por el CPD.
Tras la remisión, Facebook recurrió al Tribunal Supremo irlandés en un intento de detener la remisión por parte del Tribunal Superior, pero el recurso fue finalmente rechazado el 31 de mayo de 2019.
Procedimiento ante el TJUE (C-311/18)
El 30 de agosto de 2018, las partes debían presentar sus observaciones escritas.
El 19 de julio de 2019, el TJUE vio el asunto ante la Gran Sala (la mayor composición del Tribunal, con 15 jueces), oyendo a las tres partes, los cuatro amicus, la Comisión Europea, el Parlamento Europeo, la Junta Europea de Protección de Datos (JEPD) y un gran número de gobiernos de los Estados miembros de la UE. Las preguntas de los jueces se centraron en particular en cuestiones relacionadas con las leyes de vigilancia de Estados Unidos y la validez de la decisión sobre el Escudo de Privacidad.
El 19 de diciembre de 2019, el Abogado General (AG) del Tribunal emitió sus conclusiones consultivas no vinculantes sobre el caso, uniéndose en gran medida a la posición del Sr. Schrems. Según las Conclusiones, las leyes de vigilancia de Estados Unidos son incompatibles con los derechos fundamentales de la UE, pero la solución a la incompatibilidad radica en que el CPD ordene la suspensión de las transferencias de datos en virtud del artículo 4 de la Decisión SCCs. Aunque el fiscal general criticó explícitamente la Decisión sobre el Escudo de la privacidad, consideró que la cuestión de su validez no forma parte integrante del asunto.
El 16 de julio de 2020, el Tribunal de Justicia dictó su sentencia "Schrems II", en la que se alineaba plenamente con la posición del demandante, invalidaba la Decisión "Privacy Shield", exigía que el CPD detuviera las transferencias de datos y sostenía que las leyes de vigilancia estadounidenses violan los artículos 7 (derecho a la intimidad), 8 (derecho a la protección de datos) y 47 (derecho de recurso) de la Carta Europea de los Derechos Fundamentales.