Última revisión
Sentencia Supranacional Nº C-311/18, Tribunal de Justicia de la Union Europea, de 16 de Julio de 2020
Relacionados:
Orden: Supranacional
Fecha: 16 de Julio de 2020
Tribunal: Tribunal de Justicia de la Unión Europea
Nº de sentencia: C-311/18
Núm. Cendoj: 62018CJ0311
Fundamentos
Edición provisional
SENTENCIA DEL TRIBUNAL DE JUSTICIA (Gran Sala)
de 16 de julio de 2020 (*)
«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Carta de los Derechos Fundamentales de la Unión Europea — Artículos 7, 8 y 47 — Reglamento (UE) 2016/679 — Artículo 2, apartado 2 — Ámbito de aplicación — Transferencias de datos personales a terceros países con fines comerciales — Artículo 45 — Decisión de adecuación de la Comisión — Artículo 46 — Transferencias mediante garantías adecuadas — Artículo 58 — Facultades de las autoridades de control — Tratamiento de los datos transferidos por parte de las autoridades públicas de un tercer país con fines de seguridad nacional — Apreciación de la adecuación del nivel de protección garantizado en el país tercero — Decisión 2010/87/UE — Cláusulas tipo de protección para la transferencia de datos personales a terceros países — Garantías adecuadas ofrecidas por el responsable del tratamiento — Validez — Decisión de Ejecución (UE) 2016/1250 — Adecuación de la protección garantizada por el Escudo de la Privacidad Unión Europea-Estados Unidos — Validez — Reclamación de una persona física cuyos datos fueron transferidos de la Unión Europea a Estados Unidos»
En el asunto Câ€ÂÂ?311/18,
que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por la High Court (Tribunal Superior, Irlanda), mediante resolución de 4 de mayo de 2018, recibida en el Tribunal de Justicia el 9 de mayo de 2018, en el procedimiento entre
Data Protection Commissioner
y
Facebook Ireland Ltd,
Maximillian Schrems,
con intervención de:
The United States of America,
Electronic Privacy Information Centre,
BSA Business Software Alliance Inc.,
Digitaleurope,
EL TRIBUNAL DE JUSTICIA (Gran Sala),
integrado por el Sr. K. Lenaerts, Presidente, la Sra. R. Silva de Lapuerta, Vicepresidenta, el Sr. A. Arabadjiev, la Sra. A. Prechal, los Sres. M. Vilaras, M. Safjan, S. Rodin y P. G. Xuereb, la Sra. L. S. Rossi y el Sr. I. Jarukaitis, Presidentes de Sala, y los Sres. M. IlešiÄÂÂÂ?, T. von Danwitz (Ponente) y D. Šváby, Jueces;
Abogado General: Sr. H. Saugmandsgaard Øe;
Secretaria: Sra. C. Strömholm, administradora;
habiendo considerado los escritos obrantes en autos y celebrada la vista el 9 de julio de 2019;
consideradas las observaciones presentadas:
– en nombre del Data Protection Commissioner, por el Sr. D. Young, Solicitor, los Sres. B. Murray y M. Collins, SC, y la Sra. C. Donnelly, BL;
– en nombre de Facebook Ireland Ltd, por el Sr. P. Gallagher y la Sra. N. Hyland, SC, la Sra. A. Mulligan y el Sr. F. Kieran, BL, y los Sres. P. Nolan, C. Monaghan, C. O’Neill y R. Woulfe, Solicitors;
– en nombre del Sr. Schrems, por el Sr. H. Hofmann, Rechtsanwalt, los Sres. E. McCullough, J. Doherty y S. O’Sullivan, SC, y el Sr. G. Rudden, Solicitor;
– en nombre de The United States of America, por la Sra. E. Barrington, SC, la Sra. S. Kingston, BL, y los Sres. S. Barton y B. Walsh, Solicitors;
– en nombre de Electronic Privacy Information Centre, por la Sra. S. Lucey, Solicitor, la Sra. G. Gilmore y el Sr. A. Butler, BL, y el Sr. C. O’Dwyer, SC;
– en nombre de BSA Business Software Alliance Inc., por los Sres. B. Van Vooren y K. Van Quathem, advocaten;
– en nombre de Digitaleurope, por la Sra. N. Cahill, Barrister, el Sr. J. Cahir, Solicitor, y el Sr. M. Cush, SC;
– en nombre de Irlanda, por el Sr. A. Joyce y la Sra. M. Browne, en calidad de agentes, asistidos por el Sr. D. Fennelly, BL;
– en nombre del Gobierno belga, por los Sres. J.â€ÂÂÂ?C. Halleux y P. Cottin, en calidad de agentes;
– en nombre del Gobierno checo, por los Sres. M. Smolek, J. VláÄÂÂÂ?il y O. Serdula y por la Sra. A. Kasalická, en calidad de agentes;
– en nombre del Gobierno alemán, por los Sres. J. Möller, D. Klebs y T. Henze, en calidad de agentes;
– en nombre del Gobierno francés, por la Sra. A.â€ÂÂÂ?L. Desjonquères, en calidad de agente;
– en nombre del Gobierno neerlandés, por los Sras. C. S. Schillemans, M. K. Bulterman y M. Noort, en calidad de agentes;
– en nombre del Gobierno austriaco, por la Sra. J. Schmoll y el Sr. G. Kunnert, en calidad de agentes;
– en nombre del Gobierno polaco, por el Sr. B. Majczyna, en calidad de agente;
– en nombre del Gobierno portugués, por el Sr. L. Inez Fernandes y las Sras. A. Pimenta y C. Vieira Guerra, en calidad de agentes;
– en nombre del Gobierno del Reino Unido, por el Sr. S. Brandon, en calidad de agente, asistido por el Sr. J. Holmes, QC, y el Sr. C. Knight, Barrister;
– en nombre del Parlamento Europeo, por la Sra. M. J. Martínez Iglesias y el Sr. A. Caiola, en calidad de agentes;
– en nombre de la Comisión Europea, por los Sres. D. Nardi, H. Krämer y H. Kranenborg, en calidad de agentes;
– en nombre del Comité Europeo de Protección de Datos (EDPB), por la Sra. A. Jelinek y el Sr. K. Behn, en calidad de agentes;
oídas las conclusiones del Abogado General, presentadas en audiencia pública el 19 de diciembre de 2019;
dicta la siguiente
Sentencia
1 La petición de decisión prejudicial tiene, en esencia, por objeto:
– la interpretación del artículo 3, apartado 2, primer guion, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31), en relación con el artículo 4 TUE, apartado 2, y los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»).
– la interpretación y la validez de la Decisión de la Comisión 2010/87/UE, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46 (DO 2010, L 39, p. 5), en su versión modificada por la Decisión de Ejecución (UE) 2016/2297 de la Comisión, de 16 de diciembre de 2016 (DO 2016, L 344, p. 100) (en lo sucesivo, «Decisión CPT»), así como
– la interpretación y la validez de la Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46 sobre la adecuación de la protección conferida por el Escudo de la Privacidad UE-EE. UU. (DO 2016, L 207, p. 1; en lo sucesivo, «Decisión EP»).
2 Esta petición se ha presentado en el contexto de un litigio entre, por una parte, el Data Protection Commissioner (Comisario para la Protección de Datos, Irlanda) (en lo sucesivo, «Comisario») y, por otra parte, Facebook Ireland Ltd y el Sr. Maximillian Schrems en relación con una reclamación presentada por este por lo que respecta a la transferencia de sus datos personales por parte de Facebook Ireland a Facebook Inc. en los Estados Unidos.
Marco jurídico
Directiva 95/46
3 El artículo 3 de la Directiva 95/46, titulado «Ámbito de aplicación», establecía en su apartado 2:
«Las disposiciones de la presente Directiva no se aplicarán al tratamiento de datos personales:
– efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de los títulos V y VI del Tratado de la Unión Europea y, en cualquier caso, al tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia penal;
[…]».
4 El artículo 25 de la citada Directiva disponía lo siguiente:
«1. Los Estados miembros dispondrán que la transferencia a un país tercero de datos personales […] únicamente pueda efectuarse cuando, sin perjuicio del cumplimiento de las disposiciones de Derecho nacional adoptadas con arreglo a las demás disposiciones de la presente Directiva, el país tercero de que se trate garantice un nivel de protección adecuado.
2. El carácter adecuado del nivel de protección que ofrece un país tercero se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos; […]
[…]
6. La Comisión podrá hacer constar, de conformidad con el procedimiento previsto en el apartado 2 del artículo 31, que un país tercero garantiza un nivel de protección adecuado de conformidad con el apartado 2 del presente artículo, a la vista de su legislación interna o de sus compromisos internacionales, suscritos especialmente al término de las negociaciones mencionadas en el apartado 5, a efectos de protección de la vida privada o de las libertades o de los derechos fundamentales de las personas.
Los Estados miembros adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión.»
5 El artículo 26, apartados 2 y 4, de la antedicha Directiva establecía:
«2. Sin perjuicio de lo dispuesto en el apartado 1, los Estados miembros podrán autorizar una transferencia o una serie de transferencias de datos personales a un tercer país que no garantice un nivel de protección adecuado con arreglo al apartado 2 del artículo 25, cuando el responsable del tratamiento ofrezca garantías suficientes respecto de la protección de la vida privada, de los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los respectivos derechos; dichas garantías podrán derivarse, en particular, de cláusulas contractuales apropiadas.
[…]
4. Cuando la Comisión decida, según el procedimiento establecido en el apartado 2 del artículo 31, que determinadas cláusulas contractuales tipo ofrecen las garantías suficientes establecidas en el apartado 2, los Estados miembros adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión.»
6 A tenor del artículo 28, apartado 3, de la misma Directiva:
«La autoridad de control dispondrá, en particular, de:
– poderes de investigación, como el derecho de acceder a los datos que sean objeto de un tratamiento y el de recabar toda la información necesaria para el cumplimiento de su misión de control;
– poderes efectivos de intervención, como, por ejemplo, el de formular dictámenes antes de realizar los tratamientos, con arreglo al artículo 20, y garantizar una publicación adecuada de dichos dictámenes, o el de ordenar el bloqueo, la supresión o la destrucción de datos, o incluso prohibir provisional o definitivamente un tratamiento, o el de dirigir una advertencia o amonestación al responsable del tratamiento o el de someter la cuestión a los parlamentos u otras instituciones políticas nacionales;
– capacidad procesal en caso de infracciones a las disposiciones nacionales adoptadas en aplicación de la presente Directiva o de poner dichas infracciones en conocimiento de la autoridad judicial.
[…]»
RGPD
7 La Directiva 95/46 fue derogada y sustituida por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46 (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; en lo sucesivo, «RGPD»).
8 Los considerandos 6, 10, 101, 103, 104, 107 a 109, 114, 116 y 141 del RGPD tienen el siguiente tenor:
«(6) La rápida evolución tecnológica y la globalización han planteado nuevos retos para la protección de los datos personales. La magnitud de la recogida y del intercambio de datos personales ha aumentado de manera significativa. La tecnología permite que tanto las empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de realizar sus actividades. Las personas físicas difunden un volumen cada vez mayor de información personal a escala mundial. La tecnología ha transformado tanto la economía como la vida social, y ha de facilitar aún más la libre circulación de datos personales dentro de la Unión y la transferencia a terceros países y organizaciones internacionales, garantizando al mismo tiempo un elevado nivel de protección de los datos personales.
[…]
(10) Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión, el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. Debe garantizarse en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea. En lo que respecta al tratamiento de datos personales para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, los Estados miembros deben estar facultados para mantener o adoptar disposiciones nacionales a fin de especificar en mayor grado la aplicación de las normas del presente Reglamento. Junto con la normativa general y horizontal sobre protección de datos por la que se aplica la Directiva 95/46/CE, los Estados miembros cuentan con distintas normas sectoriales específicas en ámbitos que precisan disposiciones más específicas. El presente Reglamento reconoce también un margen de maniobra para que los Estados miembros especifiquen sus normas, inclusive para el tratamiento de categorías especiales de datos personales (“datos sensibles”). En este sentido, el presente Reglamento no excluye el Derecho de los Estados miembros que determina las circunstancias relativas a situaciones específicas de tratamiento, incluida la indicación pormenorizada de las condiciones en las que el tratamiento de datos personales es lícito.
[…]
(101) Los flujos transfronterizos de datos personales a, y desde, países no pertenecientes a la Unión y organizaciones internacionales son necesarios para la expansión del comercio y la cooperación internacionales. El aumento de estos flujos plantea nuevos retos e inquietudes en lo que respecta a la protección de los datos de carácter personal. No obstante, si los datos personales se transfieren de la Unión a responsables, encargados u otros destinatarios en terceros países o a organizaciones internacionales, esto no debe menoscabar el nivel de protección de las personas físicas garantizado en la Unión por el presente Reglamento, ni siquiera en las transferencias ulteriores de datos personales desde el tercer país u organización internacional a responsables y encargados en el mismo u otro tercer país u organización internacional. En todo caso, las transferencias a terceros países y organizaciones internacionales solo pueden llevarse a cabo de plena conformidad con el presente Reglamento. Una transferencia solo podría tener lugar si, a reserva de las demás disposiciones del presente Reglamento, el responsable o encargado cumple las disposiciones del presente Reglamento relativas a la transferencia de datos personales a terceros países u organizaciones internacionales.
[…]
(103) La Comisión puede decidir, con efectos para toda la Unión, que un tercer país, un territorio o un sector específico de un tercer país, o una organización internacional ofrece un nivel de protección de datos adecuado, aportando de esta forma en toda la Unión seguridad y uniformidad jurídicas en lo que se refiere al tercer país u organización internacional que se considera ofrece tal nivel de protección. En estos casos, se pueden realizar transferencias de datos personales a estos países sin que se requiera obtener otro tipo de autorización. La Comisión también puede decidir revocar esa decisión, previo aviso y completa declaración motivada al tercer país u organización internacional.
(104) En consonancia con los valores fundamentales en los que se basa la Unión, en particular la protección de los derechos humanos, la Comisión, en su evaluación del tercer país, o de un territorio o un sector específico de un tercer país, debe tener en cuenta de qué manera respeta un determinado tercer país […] el Estado de Derecho, el acceso a la justicia y las normas y criterios internacionales en materia de derechos humanos y su Derecho general y sectorial, incluida la legislación relativa a la seguridad pública, la defensa y la seguridad nacional, así como el orden público y el Derecho penal. En la adopción de una decisión de adecuación con respecto a un territorio o un sector específico de un tercer país se deben tener en cuenta criterios claros y objetivos, como las actividades concretas de tratamiento y el alcance de las normas jurídicas aplicables y la legislación vigente en el tercer país. El tercer país debe ofrecer garantías que aseguren un nivel adecuado de protección equivalente en lo esencial al ofrecido en la Unión, en particular cuando los datos personales son objeto de tratamiento en uno o varios sectores específicos. En particular, el tercer país debe garantizar que haya un control verdaderamente independiente de la protección de datos y establecer mecanismos de cooperación con las autoridades de protección de datos de los Estados miembros, así como reconocer a los interesados derechos efectivos y exigibles y acciones administrativas y judiciales efectivas.
[…]
(107) La Comisión puede reconocer que un tercer país, un territorio o sector específico en un tercer país, o una organización internacional ya no garantiza un nivel de protección de datos adecuado. En consecuencia, debe prohibirse la transferencia de datos personales a dicho tercer país u organización internacional, salvo que se cumplan los requisitos del presente Reglamento relativos a las transferencias basadas en garantías adecuadas, incluidas las normas corporativas vinculantes, y a las excepciones aplicadas a situaciones específicas. En ese caso, debe establecerse la celebración de consultas entre la Comisión y esos terceros países u organizaciones internacionales. La Comisión debe informar en tiempo oportuno al tercer país u organización internacional de las razones y entablar consultas a fin de subsanar la situación.
(108) En ausencia de una decisión por la que se constate la adecuación de la protección de los datos, el responsable o el encargado del tratamiento deben tomar medidas para compensar la falta de protección de datos en un tercer país mediante garantías adecuadas para el interesado. Tales garantías adecuadas pueden consistir en el recurso a normas corporativas vinculantes, a cláusulas tipo de protección de datos adoptadas por la Comisión o por una autoridad de control, o a cláusulas contractuales autorizadas por una autoridad de control. Esas garantías deben asegurar la observancia de requisitos de protección de datos y derechos de los interesados adecuados al tratamiento dentro de la Unión, incluida la disponibilidad por parte de los interesados de derechos exigibles y de acciones legales efectivas, lo que incluye el derecho a obtener una reparación administrativa o judicial efectiva y a reclamar una indemnización, en la Unión o en un tercer país. En particular, deben referirse al cumplimiento de los principios generales relativos al tratamiento de los datos personales y los principios de la protección de datos desde el diseño y por defecto. […]
(109) La posibilidad de que el responsable o el encargado del tratamiento recurran a cláusulas tipo de protección de datos adoptadas por la Comisión o una autoridad de control no debe obstar a que los responsables o encargados incluyan las cláusulas tipo de protección de datos en un contrato más amplio, como un contrato entre dos encargados, o a que añadan otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, las cláusulas contractuales tipo adoptadas por la Comisión o por una autoridad de control, ni mermen los derechos o las libertades fundamentales de los interesados. Se debe alentar a los responsables y encargados del tratamiento a ofrecer garantías adicionales mediante compromisos contractuales que complementen las cláusulas tipo de protección de datos.
[…]
(114) En cualquier caso, cuando la Comisión no haya tomado ninguna decisión sobre el nivel adecuado de la protección de datos en un tercer país, el responsable o el encargado del tratamiento deben arbitrar soluciones que garanticen a los interesados derechos exigibles y efectivos con respecto al tratamiento de sus datos en la Unión, una vez transferidos estos, de forma que sigan beneficiándose de derechos fundamentales y garantías.
[…]
(116) Cuando los datos personales circulan a través de las fronteras hacia el exterior de la Unión se puede poner en mayor riesgo la capacidad de las personas físicas para ejercer los derechos de protección de datos, en particular con el fin de protegerse contra la utilización o comunicación ilícitas de dicha información. Al mismo tiempo, es posible que las autoridades de control se vean en la imposibilidad de tramitar reclamaciones o realizar investigaciones relativas a actividades desarrolladas fuera de sus fronteras. Sus esfuerzos por colaborar en el contexto transfronterizo también pueden verse obstaculizados por poderes preventivos o correctivos insuficientes, regímenes jurídicos incoherentes y obstáculos prácticos, como la escasez de recursos. […]
[…]
(141) Todo interesado debe tener derecho a presentar una reclamación ante una autoridad de control única, en particular en el Estado miembro de su residencia habitual, y derecho a la tutela judicial efectiva de conformidad con el artículo 47 de la Carta si considera que se vulneran sus derechos con arreglo al presente Reglamento o en caso de que la autoridad de control no responda a una reclamación, rechace o desestime total o parcialmente una reclamación o no actúe cuando sea necesario para proteger los derechos del interesado. […]»
9 El artículo 2, apartados 1 y 2, de dicho Reglamento establece:
«1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
2. El presente Reglamento no se aplica al tratamiento de datos personales:
a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;
b) por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE;
c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;
d) por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.»
10 El artículo 4 del referido Reglamento dispone:
«A efectos del presente Reglamento se entenderá por:
[…]
2) “tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;
[…]
7) “responsable del tratamiento” o “responsable”: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;
8) “encargado del tratamiento” o “encargado”: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;
9) “destinatario”: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento;
[…]».
11 El artículo 23 del mismo Reglamento establece:
«1. El Derecho de la Unión o de los Estados miembros que se aplique al responsable o [al] encargado del tratamiento podrá limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos en los artículos 12 a 22 y el artículo 34, así como en el artículo 5 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 12 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:
a) la seguridad del Estado;
b) la defensa;
c) la seguridad pública;
d) la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención;
[…]
2. En particular, cualquier medida legislativa indicada en el apartado 1 contendrá como mínimo, en su caso, disposiciones específicas relativas a:
a) la finalidad del tratamiento o de las categorías de tratamiento;
b) las categorías de datos personales de que se trate;
c) el alcance de las limitaciones establecidas;
d) las garantías para evitar accesos o transferencias ilícitos o abusivos;
e) la determinación del responsable o de categorías de responsables;
f) los plazos de conservación y las garantías aplicables, habida cuenta de la naturaleza, alcance y objetivos del tratamiento o las categorías de tratamiento;
g) los riesgos para los derechos y libertades de los interesados, y
h) el derecho de los interesados a ser informados sobre la limitación, salvo si puede ser perjudicial a los fines de esta.»
12 El capítulo V del RGPD, titulado «Transferencias de datos personales a terceros países u organizaciones internacionales», comprende los artículos 44 a 50 de dicho Reglamento. A tenor del artículo 44 de este, titulado «Principio general de las transferencias»:
«Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado.»
13 El artículo 45 del antedicho Reglamento, titulado «Transferencias basadas en una decisión de adecuación», establece, en sus apartados 1 a 3:
«1. Podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica.
2. Al evaluar la adecuación del nivel de protección, la Comisión tendrá en cuenta, en particular, los siguientes elementos:
a) el Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales, la legislación pertinente, tanto general como sectorial, incluida la relativa a la seguridad pública, la defensa, la seguridad nacional y la legislación penal, y el acceso de las autoridades públicas a los datos personales, así como la aplicación de dicha legislación, las normas de protección de datos, las normas profesionales y las medidas de seguridad, incluidas las normas sobre transferencias ulteriores de datos personales a otro tercer país u organización internacional observadas en ese país u organización internacional, la jurisprudencia, así como el reconocimiento a los interesados cuyos datos personales estén siendo transferidos de derechos efectivos y exigibles y de recursos administrativos y acciones judiciales que sean efectivos;
b) la existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país o a las cuales esté sujeta una organización internacional, con la responsabilidad de garantizar y hacer cumplir las normas en materia de protección de datos, incluidos poderes de ejecución adecuados, de asistir y asesorar a los interesados en el ejercicio de sus derechos, y de cooperar con las autoridades de control de la Unión y de los Estados miembros, y
c) los compromisos internacionales asumidos por el tercer país u organización internacional de que se trate, u otras obligaciones derivadas de acuerdos o instrumentos jurídicamente vinculantes, así como de su participación en sistemas multilaterales o regionales, en particular en relación con la protección de los datos personales.
3. La Comisión, tras haber evaluado la adecuación del nivel de protección, podrá decidir, mediante un acto de ejecución, que un tercer país, un territorio o uno o varios sectores específicos de un tercer país, o una organización internacional garantizan un nivel de protección adecuado a tenor de lo dispuesto en el apartado 2 del presente artículo. El acto de ejecución establecerá un mecanismo de revisión periódica, al menos cada cuatro años, que tenga en cuenta todos los acontecimientos relevantes en el tercer país o en la organización internacional. El acto de ejecución especificará su ámbito de aplicación territorial y sectorial, y, en su caso, determinará la autoridad o autoridades de control a que se refiere el apartado 2, letra b), del presente artículo. El acto de ejecución se adoptará con arreglo al procedimiento de examen a que se refiere el artículo 93, apartado 2.»
14 El artículo 46 del referido Reglamento, titulado «Transferencias mediante garantías adecuadas», dispone, en sus apartados 1 a 3:
«1. A falta de decisión con arreglo al artículo 45, apartado 3, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.
2. Las garantías adecuadas con arreglo al apartado 1 podrán ser aportadas, sin que se requiera ninguna autorización expresa de una autoridad de control, por:
a) un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos;
b) normas corporativas vinculantes de conformidad con el artículo 47;
c) cláusulas tipo de protección de datos adoptadas por la Comisión de conformidad con el procedimiento de examen a que se refiere el artículo 93, apartado 2;
d) cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión con arreglo al procedimiento de examen a que se refiere en el artículo 93, apartado 2;
e) un código de conducta aprobado con arreglo al artículo 40, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados, o
f) un mecanismo de certificación aprobado con arreglo al artículo 42, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados.
3. Siempre que exista autorización de la autoridad de control competente, las garantías adecuadas contempladas en el apartado 1 podrán igualmente ser aportadas, en particular, mediante:
a) cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional, o
b) disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.»
15 El artículo 49 del mismo Reglamento, titulado «Excepciones para situaciones específicas», establece:
«1. En ausencia de una decisión de adecuación de conformidad con el artículo 45, apartado 3, o de garantías adecuadas de conformidad con el artículo 46, incluidas las normas corporativas vinculantes, una transferencia o un conjunto de transferencias de datos personales a un tercer país u organización internacional únicamente se realizará si se cumple alguna de las condiciones siguientes:
a) el interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas;
b) la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado;
c) la transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica;
d) la transferencia sea necesaria por razones importantes de interés público;
e) la transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones;
f) la transferencia sea necesaria para proteger los intereses vitales del interesado o de otra persona, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento;
g) la transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero solo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.
Cuando una transferencia no pueda basarse en disposiciones de los artículos 45 o 46, incluidas las disposiciones sobre normas corporativas vinculantes, y no sea aplicable ninguna de las excepciones para situaciones específicas a que se refiere el párrafo primero del presente apartado, solo se podrá llevar a cabo si no es repetitiva, afecta solo a un número limitado de interesados, es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades del interesado, y el responsable del tratamiento evaluó todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofreció garantías apropiadas con respecto a la protección de datos personales. El responsable del tratamiento informará a la autoridad de control de la transferencia. Además de la información a que hacen referencia los artículos 13 y 14, el responsable del tratamiento informará al interesado de la transferencia y de los intereses legítimos imperiosos perseguidos.
2. Una transferencia efectuada de conformidad con el apartado 1, párrafo primero, letra g), no abarcará la totalidad de los datos personales ni categorías enteras de datos personales contenidos en el registro. Si la finalidad del registro es la consulta por parte de personas que tengan un interés legítimo, la transferencia solo se efectuará a solicitud de dichas personas o si estas han de ser las destinatarias.
3. En el apartado 1, el párrafo primero, letras a), b) y c), y el párrafo segundo no serán aplicables a las actividades llevadas a cabo por las autoridades públicas en el ejercicio de sus poderes públicos.
4. El interés público contemplado en el apartado 1, párrafo primero, letra d), será reconocido por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento.
5. En ausencia de una decisión por la que se constate la adecuación de la protección de los datos, el Derecho de la Unión o de los Estados miembros podrá, por razones importantes de interés público, establecer expresamente límites a la transferencia de categorías específicas de datos a un tercer país u organización internacional. Los Estados miembros notificarán a la Comisión dichas disposiciones.
6. El responsable o el encargado del tratamiento documentarán en los registros indicados en el artículo 30 la evaluación y las garantías apropiadas a que se refiere el apartado 1, párrafo segundo, del presente artículo.»
16 A tenor del artículo 51, apartado 1, del RGPD:
«Cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes (en adelante “autoridad de control”) supervisar la aplicación del presente Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión.»
17 Con arreglo al artículo 55, apartado 1, de este Reglamento, «cada autoridad de control será competente para desempeñar las funciones que se le asignen y ejercer los poderes que se le confieran de conformidad con el presente Reglamento en el territorio de su Estado miembro».
18 El artículo 57, apartado 1, del citado Reglamento, establece:
«Sin perjuicio de otras funciones en virtud del presente Reglamento, incumbirá a cada autoridad de control, en su territorio:
a) controlar la aplicación del presente Reglamento y hacerlo aplicar;
[…]
f) tratar las reclamaciones presentadas por un interesado […], e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable, en particular si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad de control;
[…]».
19 A tenor del artículo 58, apartados 2 y 4, del mismo Reglamento:
«2. Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:
[…]
f) imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición;
[…]
j) ordenar la suspensión de los flujos de datos hacia un destinatario situado en un tercer país o hacia una organización internacional.
[…]
4. El ejercicio de los poderes conferidos a la autoridad de control en virtud del presente artículo estará sujeto a las garantías adecuadas, incluida la tutela judicial efectiva y al respeto de las garantías procesales, establecidas en el Derecho de la Unión y de los Estados miembros de conformidad con la Carta.»
20 El artículo 64, apartado 2, del RGPD establece:
«Cualquier autoridad de control, el presidente del Comité [Europeo de Protección de Datos (EDPB)] o la Comisión podrán solicitar que cualquier asunto de aplicación general o que surta efecto en más de un Estado miembro sea examinado por el Comité a efectos de dictamen, en particular cuando una autoridad de control competente incumpla las obligaciones relativas a la asistencia mutua con arreglo al artículo 61 o las operaciones conjuntas con arreglo al artículo 62.»
21 A tenor del artículo 65, apartado 1, de dicho Reglamento:
«Con el fin de garantizar una aplicación correcta y coherente del presente Reglamento en casos concretos, el Comité adoptará una decisión vinculante en los siguientes casos:
[…]
c) cuando una autoridad de control competente no solicite dictamen al Comité en los casos contemplados en el artículo 64, apartado 1, o no siga el dictamen del Comité emitido en virtud del artículo 64. En tal caso, cualquier autoridad de control interesada, o la Comisión, lo pondrá en conocimiento del Comité.»
22 El artículo 77 del referido Reglamento, titulado «Derecho a presentar una reclamación ante una autoridad de control», dispone:
«1. Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento.
2. La autoridad de control ante la que se haya presentado la reclamación informará al reclamante sobre el curso y el resultado de la reclamación, inclusive sobre la posibilidad de acceder a la tutela judicial en virtud del artículo 78.»
23 El artículo 78 del mismo Reglamento, titulado «Derecho a la tutela judicial efectiva contra una autoridad de control», establece, en sus apartados 1 y 2:
«1. Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, toda persona física o jurídica tendrá derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna.
2. Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, todo interesado tendrá derecho a la tutela judicial efectiva en caso de que la autoridad de control que sea competente en virtud de los artículos 55 y 56 no dé curso a una reclamación o no informe al interesado en el plazo de tres meses sobre el curso o el resultado de la reclamación presentada en virtud del artículo 77.»
24 El artículo 94 del RGPD dispone:
«1. Queda derogada la Directiva [95/46] con efecto a partir del 25 de mayo de 2018.
2. Toda referencia a la Directiva derogada se entenderá hecha al presente Reglamento. Toda referencia al Grupo de protección de las personas en lo que respecta al tratamiento de datos personales establecido por el artículo 29 de la Directiva [95/46] se entenderá hecha al Comité Europeo de Protección de Datos establecido por el presente Reglamento.»
25 Con arreglo al artículo 99 de dicho Reglamento:
«1. El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
2. Será aplicable a partir del 25 de mayo de 2018.»
Decisión CPT
26 El considerando 11 de la Decisión CPT tiene el siguiente tenor:
«Las autoridades de control de los Estados miembros desempeñan una función esencial en este mecanismo contractual al garantizar la adecuada protección de los datos personales una vez realizada la transferencia. En casos excepcionales en que los exportadores de datos no quieran o no puedan informar adecuadamente a los importadores de datos y exista un riesgo inminente de que los interesados sufran un daño grave, las cláusulas contractuales tipo permitirán a las autoridades de control realizar la auditoría de los importadores de datos y los subencargados del tratamiento de datos y, en su caso, adoptar decisiones vinculantes para estos. Las autoridades de control tendrán la facultad de prohibir o suspender una transferencia o serie de transferencias que se fundamenten en las cláusulas contractuales tipo, en aquellos casos excepcionales en que se demuestre que una transferencia de este género podría tener efectos negativos considerables en las garantías y obligaciones de prestar la adecuada protección al interesado.»
27 El artículo 1 de dicha Decisión dispone:
«Se considera que las cláusulas contractuales tipo incluidas en el anexo ofrecen las garantías adecuadas con respecto a la protección de la vida privada y de los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los correspondientes derechos, según exige el artículo 26, apartado 2, de la Directiva [95/46].»
28 Con arreglo al artículo 2, párrafo segundo, de la antedicha Decisión, esta «se aplicará a la transferencia de datos personales por responsables del tratamiento establecidos en la Unión Europea a destinatarios establecidos fuera del territorio de la Unión Europea que actúen solamente como encargados del tratamiento».
29 El artículo 3 de la misma Decisión dispone lo siguiente:
«A efectos de la presente Decisión, serán aplicables las siguientes definiciones:
[…]
c) “exportador de datos”: el responsable del tratamiento que transfiera los datos personales;
d) “importador de datos”: el encargado del tratamiento establecido en un tercer país que convenga en recibir del exportador datos personales para su posterior tratamiento en nombre de este, de conformidad con sus instrucciones y los términos de la presente Decisión, y que no esté sujeto al sistema de un tercer país que garantice la protección adecuada en el sentido del artículo 25, apartado 1, de la Directiva [95/46];
[…]
f) “legislación de protección de datos aplicables”: la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la vida privada respecto del tratamiento de los datos personales, aplicable al responsable del tratamiento en el Estado miembro en que está establecido el exportador de datos;
[…]».
30 En su versión inicial, anterior a la entrada en vigor de la Decisión de Ejecución 2016/2297, el artículo 4 de la Decisión 2010/87 establecía:
«Las autoridades competentes de los Estados miembros, sin perjuicio de su facultad para iniciar acciones destinadas a garantizar el cumplimiento de las disposiciones de Derecho nacional adoptadas con arreglo a los capítulos II, III, V y VI de la Directiva [95/46], podrán ejercer sus facultades para prohibir o suspender los flujos de datos hacia terceros países con objeto de proteger a las personas físicas en relación con el tratamiento de sus datos personales en los casos siguientes:
a) si se determina que la legislación a la que está sujeto el importador de datos o un subencargado del tratamiento le impone desviaciones de la legislación de protección de datos aplicable que vayan más allá de las restricciones necesarias en una sociedad democrática, como establece el artículo 13 de la Directiva [95/46], cuando tales exigencias puedan tener un importante efecto negativo sobre las garantías proporcionadas por las cláusulas contractuales tipo, o
b) si una autoridad competente decide que el importador de datos o un subencargado del tratamiento no ha respetado las cláusulas contractuales tipo del anexo, o
c) si existe la probabilidad sustancial de que las cláusulas contractuales tipo contenidas en el anexo no se estén respetando, o no se respeten en el futuro, y la continuación de la transferencia provoque un riesgo inminente de daños graves para los interesados.
2. La prohibición o suspensión con arreglo al apartado 1 se levantará tan pronto como desaparezcan las razones para dicha prohibición o suspensión.
3. Cuando los Estados miembros adopten medidas de conformidad con los apartados 1 y 2, informarán inmediatamente de ello a la Comisión, que remitirá la información a los demás Estados miembros.»
31 El considerando 5 de la Decisión de Ejecución 2016/2297, adoptada a raíz de la sentencia de 6 octubre de 2015, Schrems (Câ€ÂÂÂ?362/14, EU:C:2015:650), tiene el siguiente tenor:
«Mutatis mutandis, una decisión de la Comisión adoptada de conformidad con el artículo 26, apartado 4, de la Directiva [95/46] es vinculante para todos los órganos de los Estados miembros a los que se dirige, incluidas sus autoridades de supervisión independientes, en la medida en que tiene el efecto de reconocer que las transferencias realizadas sobre la base de cláusulas contractuales tipo como las contempladas en dicha Directiva ofrecen garantías suficientes según lo establecido en su artículo 26, apartado 2. Ello no impide que una autoridad de supervisión nacional ejerza sus facultades para supervisar los flujos de datos, incluida la facultad de prohibir o suspender una transferencia de datos personales cuando constate que la transferencia se está realizando en infracción del Derecho de la Unión o de la legislación nacional en materia de protección de datos, como ocurre, por ejemplo, cuando el importador de datos no respeta las cláusulas contractuales tipo.»
32 En su versión actual, resultante de la Decisión de Ejecución 2016/2297, el artículo 4 de la Decisión CPT dispone:
«Cuando las autoridades competentes de los Estados miembros ejerzan sus facultades con arreglo al artículo 28, apartado 3, de la Directiva [95/46], y ello dé lugar a la suspensión o la prohibición definitiva de los flujos de datos hacia terceros países con el fin de proteger a las personas en lo que respecta al tratamiento de sus datos personales, el Estado miembro afectado informará inmediatamente a la Comisión, que remitirá la información a los demás Estados miembros.»
33 El anexo de la Decisión CPT, titulado «Cláusulas contractuales tipo (“encargados del tratamiento”)», comprende doce cláusulas tipo. La cláusula 3 de ese anexo, que, por su parte, tiene por título «Cláusula de tercero beneficiario», establece:
«1. Los interesados podrán exigir al exportador de datos el cumplimiento de la presente cláusula, las letras b) a i) de la cláusula 4, las letras a) a e) y g) a j) de la cláusula 5, los apartados 1 y 2 de la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, como terceros beneficiarios.
2. Los interesados podrán exigir al importador de datos el cumplimiento de la presente cláusula, las letras a) a e) y g) de la cláusula 5, la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, cuando el exportador de datos haya desaparecido de facto o haya cesado de existir jurídicamente, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ministerio de la ley y a resultas de lo cual asuma los derechos y las obligaciones del exportador de datos, en cuyo caso los interesados podrán exigirlos a dicha entidad.
[…]»
34 A tenor de la cláusula 4 del referido anexo, titulada «Obligaciones del exportador de datos»:
«El exportador de datos acuerda y garantiza lo siguiente:
a) el tratamiento de los datos personales, incluida la propia transferencia, ha sido efectuado y seguirá efectuándose de conformidad con las normas pertinentes de la legislación de protección de datos aplicable (y, si procede, se ha notificado a las autoridades correspondientes del Estado miembro de establecimiento del exportador de datos) y no infringe las disposiciones legales o reglamentarias en vigor en dicho Estado miembro;
b) ha dado al importador de datos, y dará durante la prestación de los servicios de tratamiento de los datos personales, instrucciones para que el tratamiento de los datos personales transferidos se lleve a cabo exclusivamente en nombre del exportador de datos y de conformidad con la legislación de protección de datos aplicable y con las cláusulas;
[…]
f) si la transferencia incluye categorías especiales de datos, se habrá informado a los interesados, o serán informados antes de que se efectúe aquella, o en cuanto sea posible, de que sus datos podrían ser transferidos a un tercer país que no proporciona la protección adecuada en el sentido de la Directiva [95/46];
g) enviará la notificación recibida del importador de datos o de cualquier subencargado del tratamiento de datos a la autoridad de control de la protección de datos, de conformidad con la letra b) de la cláusula 5 y el apartado 3 de la cláusula 8, en caso de que decida proseguir la transferencia o levantar la suspensión;
[…]».
35 La cláusula 5 del mencionado anexo, titulada «Obligaciones del importador de datos […]», dispone:
«El importador de datos acuerda y garantiza lo siguiente:
a) tratará los datos personales transferidos solo en nombre del exportador de datos, de conformidad con sus instrucciones y las cláusulas. En caso de que no pueda cumplir estos requisitos por la razón que fuere, informará de ello sin demora al exportador de datos, en cuyo caso este estará facultado para suspender la transferencia de los datos o rescindir el contrato;
b) no tiene motivos para creer que la legislación que le es de aplicación le impida cumplir las instrucciones del exportador de datos y sus obligaciones a tenor del contrato y que, en caso de modificación de la legislación que pueda tener un [importante] efecto negativo sobre las garantías y obligaciones estipuladas en las cláusulas, notificará al exportador de datos dicho cambio en cuanto tenga conocimiento de él, en cuyo caso este estará facultado para suspender la transferencia de los datos o rescindir el contrato;
[…]
d) notificará sin demora al exportador de datos sobre:
i) toda solicitud jurídicamente vinculante de divulgar los datos personales presentada por una autoridad encargada de la aplicación de ley a menos que esté prohibido, por ejemplo, por el Derecho penal para preservar la confidencialidad de una investigación [llevada] a cabo por una de dichas autoridades,
ii) todo acceso accidental o no autorizado,
iii) toda solicitud sin respuesta recibida directamente de los interesados, a menos que se le autorice;
[…]».
36 La nota a pie de página a la que se remite el título de la referida cláusula 5 tiene el siguiente tenor:
«Las obligaciones impuestas por la legislación nacional aplicable al importador de datos que no vayan más allá de las restricciones necesarias en una sociedad democrática con arreglo a los intereses recogidos en el artículo 13, apartado 1, de la Directiva [95/46], es decir, si dichas obligaciones constituyen una medida necesaria para la salvaguardia de la seguridad del Estado; la defensa; la seguridad pública; la prevención, investigación, detección y enjuiciamiento de delitos o infracciones de la deontología en las profesiones reguladas; un interés económico o financiero importante del Estado o la protección del interesado o de los derechos y libertades de otras personas, no están en contradicción con las cláusulas contractuales tipo. […]»
37 La cláusula 6 del anexo de la Decisión CPT, titulada «Responsabilidad», establece:
«1. Las partes acuerdan que los interesados que hayan sufrido daños como resultado del incumplimiento de las obligaciones mencionadas en la cláusula 3 o en la cláusula 11 por cualquier parte o subencargado del tratamiento tendrán derecho a percibir una indemnización del exportador de datos para el daño sufrido.
2. En caso de que el interesado no pueda interponer contra el exportador de datos la demanda de indemnización a que se refiere el apartado 1 por incumplimiento por parte del importador de datos o su subencargado de sus obligaciones impuestas en la cláusula 3 o en la cláusula 11, por haber desaparecido de facto, cesado de existir jurídicamente o ser insolvente, el importador de datos acepta que el interesado pueda demandarle a él en el lugar del exportador de datos […]
[…]».
38 La cláusula 8 del referido anexo, titulada «Cooperación con las autoridades de control», dispone, en su apartado 2:
«Las partes acuerdan que la autoridad de control está facultada para auditar al importador, o a cualquier subencargado, en la misma medida y condiciones en que lo haría respecto del exportador de datos conforme a la legislación de protección de datos aplicable.»
39 La cláusula 9 del antedicho anexo, titulada «Legislación aplicable», precisa que las cláusulas se regirán por la legislación del Estado miembro de establecimiento del exportador de datos.
40 A tenor de la cláusula 11 del mismo anexo, titulada «Subtratamiento de datos»:
«1. El importador de datos no subcontratará ninguna de sus operaciones de procesamiento llevadas a cabo en nombre del exportador de datos con arreglo a las cláusulas sin previo consentimiento por escrito del exportador de datos. Si el importador de datos subcontrata sus obligaciones con arreglo a las cláusulas, con el consentimiento del exportador de datos, lo hará exclusivamente mediante un acuerdo escrito con el subencargado del tratamiento de datos, en el que se le impongan a este las mismas obligaciones impuestas al importador de datos con arreglo a las cláusulas […]
2. El contrato escrito previo entre el importador de datos y el subencargado del tratamiento contendrá asimismo una cláusula de tercero beneficiario, tal como se establece en la cláusula 3, para los casos en que el interesado no pueda interponer la demanda de indemnización a que se refiere el apartado 1 de la cláusula 6 contra el exportador de datos o el importador de datos por haber estos desaparecido de facto, cesado de existir jurídicamente o ser insolventes, y ninguna entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos en virtud de contrato o por ministerio de la ley. Dicha responsabilidad civil del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento de datos con arreglo a las cláusulas.
[…]»
41 La cláusula 12 del anexo de la Decisión CPT, titulada «Obligaciones una vez finalizada la prestación de los servicios de tratamiento de los datos personales», dispone, en su apartado 1:
«Las partes acuerdan que, una vez finalizada la prestación de los servicios de tratamiento de los datos personales, el importador y el subencargado deberán, a discreción del exportador, o bien devolver todos los datos personales transferidos y sus copias, o bien destruirlos por completo y certificar esta circunstancia al exportador, a menos que la legislación aplicable al importador le impida devolver o destruir total o parcialmente los datos personales transferidos. […]»
Decisión EP
42 En su sentencia de 6 de octubre de 2015, Schrems (Câ€ÂÂÂ?362/14, EU:C:2015:650), el Tribunal de Justicia invalidó la Decisión 2000/520/CE de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América (DO 2000, L 215, p. 7), en la que la Comisión había declarado que ese país tercero garantizaba un nivel adecuado de protección.
43 A raíz de esta sentencia, la Comisión adoptó la Decisión EP, tras haber procedido, a efectos de su adopción, a una evaluación de la normativa de los Estados Unidos, como se precisa en el considerando 65 de la antedicha Decisión:
«La Comisión ha evaluado las limitaciones y salvaguardias existentes en el Derecho de los Estados Unidos con respecto al acceso a los datos personales transferidos en el marco del Escudo de la privacidad UE-EE. UU. y la utilización de los mismos por los poderes públicos estadounidenses a efectos de seguridad nacional, aplicación de la ley y otros fines de interés público. Asimismo, el Gobierno estadounidense, a través de su Oficina del Director de Inteligencia Nacional (ODNI, por sus siglas en inglés) […], ha proporcionado a la Comisión una serie de declaraciones y compromisos detallados que se exponen en el anexo VI de la presente Decisión. Mediante carta firmada por el secretario de Estado y adjunta como anexo III a la presente Decisión, el Gobierno de los Estados Unidos se ha comprometido asimismo a crear un nuevo mecanismo de supervisión de las injerencias con fines de seguridad nacional, a saber, el Defensor del Pueblo en el ámbito del Escudo de la privacidad, que será independiente de los servicios de inteligencia. Por último, la declaración del Departamento de Justicia de los Estados Unidos contenida en el anexo VII de la presente Decisión describe las limitaciones y salvaguardias aplicables al acceso a los datos y a su utilización por parte de los poderes públicos a efectos de aplicación de la ley y otros fines de interés público. Con vistas a mejorar la transparencia y reflejar la naturaleza jurídica de estos compromisos, cada uno de los documentos enumerados y adjuntos a la presente Decisión se publicará en el Registro Federal de los Estados Unidos.»
44 El examen realizado por la Comisión sobre esas limitaciones y salvaguardias se resume en los considerandos 67 a 135 de la Decisión EP, mientras que las conclusiones de esta institución acerca del nivel de protección adecuado en el marco del Escudo de la Privacidad UE-EE. UU. se recogen en los considerandos 136 a 141 de la referida Decisión.
45 En particular, los considerandos 68, 69, 76, 77, 109, 112 a 116, 120, 136 y 140 de la antedicha Decisión tienen el siguiente tenor:
«(68) De conformidad con la Constitución de los Estados Unidos, corresponde al presidente, en su calidad de jefe de Estado y de Gobierno y capitán general de las Fuerzas Armadas, garantizar la seguridad nacional y, por lo que respecta a la inteligencia exterior, administrar los asuntos exteriores del país […]. Si bien el Congreso está facultado para imponer limitaciones, y así lo ha hecho en diversos aspectos, el presidente podrá dirigir dentro de estos límites las actividades de los servicios de inteligencia estadounidenses, en particular mediante executive orders (decretos) o presidential directives (directivas presidenciales). […] En la actualidad, los dos principales instrumentos jurídicos en este sentido son [la] Executive Order 12333 (en lo sucesivo, “EO 12333”) […] y la Presidential Policy Directive 28 (en lo sucesivo, “PPD-28”).
(69) La PPD-28, adoptada el 17 de enero de 2014, impone una serie de limitaciones a las operaciones de “inteligencia de señales” […] Esta directiva presidencial es vinculante para los servicios de inteligencia de los Estados Unidos […] y permanece en vigor aunque se produzcan cambios en el Gobierno estadounidense […]. La PPD-28 reviste especial importancia para los ciudadanos no estadounidenses, entre ellos los interesados de la UE. […]
[…]
(76) Aunque no se formule en tales términos jurídicos, estos principios [de la PPD-28] captan la esencia de los principios de necesidad y proporcionalidad. […]
(77) Al estar contenidos en una directiva adoptada por el presidente en calidad de Jefe de Gobierno, estos requisitos vinculan a la totalidad de los servicios de inteligencia y se han aplicado asimismo a través de una serie de normas y procedimientos institucionales que incorporan los principios generales a las instrucciones específicas aplicables a sus operaciones cotidianas. […]
[…]
(109) En cambio, con arreglo al artículo 702 de la [Foreign Intelligence Surveillance Act (FISA)], el [United States Foreign Intelligence Surveillance Court (FISC) (Tribunal de Vigilancia de la Inteligencia Exterior de los Estados Unidos)] no autoriza medidas de vigilancia individuales, sino programas de vigilancia (como PRISM o Upstream) sobre la base de certificaciones anuales elaboradas por el [United States Attorney General (fiscal general)] y el [Director of National Intelligence (DNI) (director de Inteligencia Nacional)]. […] Según se indica, las certificaciones que han de recibir el visto bueno del FISC no contienen información sobre las personas objetivo propiamente dichas, sino que identifican categorías de información de inteligencia exterior […]. Aunque el FISC no valora —sobre la base de la existencia de indicios razonables o de cualquier otra norma— si [las personas objetivo seleccionadas son adecuadas] para recabar información de inteligencia exterior […], su control abarca la condición de que uno de los principales fines de la recopilación de datos sea obtener ese tipo de información […]
[…]
(112) En primer lugar, la FISA contempla una serie de recursos, también a disposición de los ciudadanos no estadounidenses, para impugnar la vigilancia electrónica ilegal […]. Esto incluye la posibilidad para las personas de interponer una demanda de indemnización por daños y perjuicios económicos contra los Estados Unidos cuando se haya utilizado o divulgado información sobre ellas de manera intencionada y no autorizada […]; de demandar a funcionarios públicos estadounidenses a título personal (“con apariencia de legalidad”) por daños y perjuicios económicos […]; y de impugnar la legalidad de la vigilancia (y solicitar la supresión de la información) en el supuesto de que el Gobierno de los Estados Unidos pretenda utilizar o divulgar cualquier información obtenida o derivada de la vigilancia electrónica en contra del interesado en diligencias judiciales o administrativas emprendidas en dicho país […]
(113) En segundo lugar, el Gobierno estadounidense indicó a la Comisión una serie de vías adicionales que los interesados de la UE podían utilizar para presentar un recurso contra determinados funcionarios por el acceso no autorizado a datos personales y la utilización de estos por parte [d]el Gobierno, incluso con presuntos fines de seguridad nacional […]
(114) Por último, el Gobierno de los Estados Unidos ha señalado la [Freedom of information Act (FOIA) (Ley de Libertad de Información)] como instrumento a disposición de los ciudadanos no estadounidenses para solicitar acceso a los registros que obran en poder de los servicios federales, en particular cuando estos contengan datos personales del interesado […]. Tal como está planteada, la FOIA no ofrece una vía de recurso individual propiamente dicha contra las injerencias en los datos personales, si bien podría, en principio, permitir a los interesados obtener acceso a la información pertinente que poseen los servicios de inteligencia nacional. […]
(115) Si bien las personas, incluidos los interesados de la UE, disponen, por tanto, de una serie de vías de recurso cuando han sido objeto de vigilancia (electrónica) no autorizada a efectos de seguridad nacional, también es evidente que no están cubiertas todas las bases jurídicas que pueden invocar los servicios de inteligencia estadounidenses (por ejemplo, [la] EO 12333). Además, aunque los ciudadanos no estadounidenses dispongan, en principio, de la posibilidad de recurso jurisdiccional, como en el caso de la vigilancia en virtud de la FISA, los medios de acción previstos son limitados […] y las demandas interpuestas por personas físicas (incluidos los ciudadanos estadounidenses) se declararán improcedentes cuando estas no puedan demostrar su legitimación […], lo que restringe el acceso a los órganos jurisdiccionales ordinarios […]
(116) Con miras a proporcionar una vía complementaria de recurso accesible a todos los interesados de la UE, el Gobierno de los Estados Unidos ha decidido crear una nueva figura, a saber, el Defensor del Pueblo, tal como se describe en la carta del Secretario de Estado a la Comisión, contenida en el anexo III de la presente Decisión. Dicha figura se basa en la designación, en virtud de la PPD-28, de un coordinador superior (con la categoría de subsecretario) en el seno del Departamento de Estado como punto de contacto para los gobiernos extranjeros que planteen cuestiones con respecto a las actividades de inteligencia de señales de los Estados Unidos, pero su cometido es mucho más amplio que el concepto original.
[…]
(120) […] El Gobierno de los EE. UU. se compromete a garantizar que, en el ejercicio de sus funciones, el Defensor del Pueblo en el ámbito del Escudo de la privacidad podrá apoyarse en la cooperación de otros mecanismos de verificación del cumplimiento y de supervisión previstos en el Derecho estadounidense. […] En los casos en que se haya detectado algún incumplimiento por parte de uno de estos organismos de supervisión, el servicio de inteligencia en cuestión (por ejemplo, una agencia de inteligencia) deberá corregir el incumplimiento, ya que solo de este modo podrá el Defensor del Pueblo garantizar una respuesta “positiva” a la persona (es decir, que se ha subsanado el incumplimiento), con arreglo al compromiso del Gobierno de los EE. UU. […]
[…]
(136) A la luz de las constataciones anteriormente expuestas, la Comisión considera que los Estados Unidos garantizan un nivel adecuado de protección de los datos personales transferidos desde la Unión a entidades autocertificadas en el marco del Escudo de la privacidad UEâ€ÂÂÂ?EE. UU.
[…]
(140) Por último, sobre la base de la información disponible acerca del ordenamiento jurídico de los Estados Unidos, incluidas las declaraciones y compromisos prestados por el Gobierno estadounidense, la Comisión opina que las injerencias de los poderes públicos de los Estados Unidos en los derechos fundamentales de las personas cuyos datos se transfieran desde la Unión a dicho país en el marco del Escudo de la privacidad a efectos de seguridad nacional, aplicación de la ley u otros fines de interés público, y las consiguientes restricciones impuestas a las entidades autocertificadas con respecto a su adhesión a los principios de privacidad, se limitarán a lo estrictamente necesario para alcanzar el objetivo legítimo perseguido, y que existe una tutela judicial efectiva frente a tales injerencias.»
46 A tenor del artículo 1 de la Decisión EP:
«1. A los efectos del artículo 25, apartado 2, de la Directiva [95/46], los Estados Unidos garantizan un nivel adecuado de protección de los datos personales transferidos desde la Unión a entidades establecidas en los Estados Unidos en el marco del Escudo de la privacidad UEâ€ÂÂÂ?EE. UU.
2. El Escudo de la privacidad UEâ€ÂÂÂ?EE. UU. se compone de los principios establecidos por el Departamento de Comercio de los Estados Unidos el 7 de julio de 2016, tal como se exponen en el anexo II, y en los compromisos y declaraciones oficiales recogidos en los documentos enumerados en los anexos I y III a VII.
3. A los efectos del apartado 1, se considerarán datos personales transferidos en el marco del Escudo de la privacidad UEâ€ÂÂÂ?EE. UU. aquellos que hayan sido transferidos desde la Unión a entidades establecidas en los Estados Unidos que figuren en la denominada “lista del Escudo de la privacidad”, mantenida y puesta a disposición del público por el Departamento de Comercio de los Estados Unidos, de conformidad con las secciones I a III de los principios expuestos en el anexo II.»
47 El anexo II de la Decisión EP, titulado «Principios del marco del Escudo de la privacidad UEâ€ÂÂÂ?EE. UU. publicados por el Departamento de Comercio estadounidense», dispone, en su punto I.5., que la adhesión a estos principios puede verse limitada, en particular, por «exigencias de seguridad nacional, interés público y cumplimiento de la ley».
48 El anexo III de la referida Decisión contiene una carta del Sr. John Kerry, entonces Secretary of State (secretario de Estado, Estados Unidos), a la comisaria de Justicia, Consumidores e Igualdad de Género, de 7 de julio de 2016, a la que se adjunta, como anexo A, un memorando titulado «La figura del Defensor del Pueblo en el ámbito del Escudo de la privacidad UEâ€ÂÂÂ?EE. UU. con relación a la inteligencia de señales», que contiene el siguiente pasaje:
«En reconocimiento a la importancia del marco del Escudo de la Privacidad UEâ€ÂÂÂ?EE. UU., este memorando establece el procedimiento para la implantación de un nuevo mecanismo, en virtud de la Presidential Policy Directive 28 (PPD-28), que contempla la inteligencia de señales.
[…] El presidente Obama anunció la publicación de una nueva directiva presidencial, la PPD-28, para “exponer con claridad lo que hacemos y lo que no hacemos en lo que se refiere a nuestra vigilancia en el extranjero”.
El artículo 4(d) de la PPD-28 exige que el secretario de Estado designe un “Senior Coordinator for International Information Technology Diplomacy” [(coordinador superior de la diplomacia internacional en materia de tecnología de la información)] (coordinador superior) “para […] que actúe como punto de contacto con los gobiernos extranjeros que deseen plantear sus dudas con respecto a las actividades de la inteligencia de señales llevadas a cabo por los Estados Unidos”.
[…]
1) [El coordinador superior] actuará de defensor del pueblo en el ámbito del Escudo de la Privacidad y […] trabajará estrechamente con los funcionarios de otros departamentos y organismos responsables del tratamiento de las solicitudes de conformidad con la legislación y la política aplicable de los Estados Unidos. El defensor del pueblo es independiente de los servicios de inteligencia. El defensor del pueblo informará directamente al secretario de Estado, que garantizará que aquel desempeñe sus funciones de manera objetiva y sin ninguna influencia indebida que pueda afectar a la respuesta que debe proporcionarse.
[…]»
49 El anexo VI de la Decisión EP contiene una carta de la Oficina del Director de Inteligencia Nacional (Office of the Director of National Intelligence) al Departamento de Comercio de los Estados Unidos y a la Administración del Comercio Internacional, de 21 de junio de 2016, en la que se precisa que la PPD-28 permite llevar a cabo una «recopilación “en bloque” […] de una cantidad relativamente grande de información o datos de inteligencia de señales en circunstancias en las que los servicios de inteligencia no puedan utilizar un identificador asociado a un criterio de selección específico […] para orientar la recopilación».
Litigio principal y cuestiones prejudiciales
50 El Sr. Schrems, nacional austriaco residente en Austria, es usuario de la red social Facebook (en lo sucesivo, «Facebook») desde 2008.
51 Toda persona residente en el territorio de la Unión que desee utilizar Facebook debe celebrar, en el momento de su inscripción, un contrato con Facebook Ireland, filial de Facebook Inc., que a su vez está establecida en los Estados Unidos. Los datos personales de los usuarios de Facebook residentes en el territorio de la Unión se transfieren total o parcialmente a servidores pertenecientes a Facebook Inc., situados en el territorio de Estados Unidos, donde son objeto de tratamiento.
52 El 25 de junio de 2013, el Sr. Schrems presentó ante el Comisario una reclamación en la que le solicitaba, en esencia, que prohibiera a Facebook Ireland transferir sus datos personales a los Estados Unidos, alegando que el Derecho y las prácticas en vigor en ese país no garantizaban una protección suficiente de los datos personales conservados en su territorio frente a las actividades de vigilancia llevadas a cabo en dicho país por las autoridades públicas. Esta reclamación fue desestimada basándose en que, en particular, la Comisión había declarado, en su Decisión 2000/520, que los Estados Unidos ofrecían un nivel adecuado de protección.
53 La High Court (Tribunal Superior, Irlanda), ante la que el Sr. Schrems había interpuesto un recurso contra la desestimación de su reclamación, planteó al Tribunal de Justicia una petición de decisión prejudicial relativa a la interpretación y a la validez de la Decisión 2000/520. Mediante sentencia de 6 de octubre de 2015, Schrems (Câ€ÂÂÂ?362/14, EU:C:2015:650), el Tribunal de Justicia declaró inválida la referida Decisión.
54 A raíz de dicha sentencia, el órgano jurisdiccional remitente anuló la desestimación de la reclamación del Sr. Schrems y se la devolvió al Comisario. En el marco de la investigación abierta por este último, Facebook Ireland explicó que una gran parte de los datos personales se transfería a Facebook Inc. basándose en cláusulas tipo de protección de datos recogidas en el anexo de la Decisión CPT. Habida cuenta de esos elementos, el Comisario instó al Sr. Schrems a modificar su reclamación.
55 En su reclamación modificada, presentada el 1 de diciembre de 2015, el Sr. Schrems alegó, en particular, que el Derecho estadounidense obliga a Facebook Inc. a poner los datos personales que se le transfieren a disposición de las autoridades estadounidenses, como la National Security Agency (NSA) y la Federal Bureau of Investigation (FBI). Esgrimió que, al utilizarse esos datos en el marco de diferentes programas de vigilancia de una manera incompatible con los artículos 7, 8 y 47 de la Carta, la Decisión CPT no puede justificar la transferencia de esos datos a los Estados Unidos. En esas condiciones, el Sr. Schrems solicitó al Comisario que prohibiese o suspendiese la transferencia de sus datos personales a Facebook Inc.
56 El 24 de mayo de 2016, el Comisario publicó un «proyecto de decisión» en el que se resumían las conclusiones provisionales de su investigación. En dicho proyecto, consideró con carácter provisional que los datos personales de ciudadanos de la Unión transferidos a Estados Unidos corrían el riesgo de ser consultados y tratados por las autoridades estadounidenses de una manera incompatible con los artículos 7 y 8 de la Carta y que el Derecho estadounidense no ofrece a esos ciudadanos vías de recurso compatibles con el artículo 47 de la Carta. El Comisario estimó que las cláusulas tipo de protección de datos recogidas en el anexo de la Decisión CPT no subsanan esa deficiencia, en la medida en que solo confieren a los interesados derechos contractuales contra el exportador o el importador de los datos, sin vincular a las autoridades estadounidenses.
57 Al considerar que, en esas circunstancias, la reclamación modificada del Sr. Schrems planteaba la cuestión de la validez de la Decisión CPT, el 31 de mayo de 2016, el Comisario inició un procedimiento ante la High Court (Tribunal Superior), apoyándose en la jurisprudencia resultante de la sentencia de 6 de octubre de 2015, Schrems (Câ€ÂÂÂ?362/14, EU:C:2015:650), apartado 65, a efectos de que esta última pregunte al Tribunal de Justicia acerca de esta cuestión. Mediante resolución de 4 de mayo de 2018, la High Court (Tribunal Superior) planteó la presente petición de decisión prejudicial ante el Tribunal de Justicia.
58 La High Court (Tribunal Superior) ha adjuntado a dicha petición de decisión prejudicial una sentencia dictada el 3 de octubre de 2017, en la que había reseñado el resultado del examen de las pruebas que se le habían aportado en el marco del procedimiento nacional, procedimiento en el que había participado el Gobierno estadounidense.
59 En esa sentencia, a la que la petición de decisión prejudicial hace referencia en varias ocasiones, el órgano jurisdiccional remitente señaló que, en principio, no solo tiene el derecho, sino también la obligación de examinar la totalidad de los hechos y argumentos invocados ante ella para decidir, basándose en ellos, si una remisión prejudicial es necesaria o no. En cualquier caso, señaló, que estaba obligado a tener en cuenta las posibles modificaciones del Derecho que tuviesen lugar entre la interposición del recurso y la vista que se organizase ante él. Dicho órgano jurisdiccional precisó que, en el marco del procedimiento principal, su propia apreciación no se limitaba a los motivos de invalidez invocados por el Comisario, sino que también podía plantear de oficio otros motivos de invalidez y, basándose en ellos, proceder a una remisión prejudicial.
60 Conforme a las apreciaciones efectuadas en la referida sentencia, las actividades de inteligencia de las autoridades estadounidenses por lo que atañe a los datos personales transferidos a los Estados Unidos se basan, en particular, en el artículo 702 de la FISA y en la E.O. 12333.
61 Por lo que respecta al artículo 702 de la FISA, el órgano jurisdiccional remitente precisa, en la misma sentencia, que dicho artículo permite al fiscal general y al director de los Servicios de Inteligencia Nacionales autorizar conjuntamente, previa aprobación del FISC, con el fin de obtener «información en materia de inteligencia exterior», la vigilancia de personas no nacionales de los Estados Unidos que se encuentren fuera del territorio de ese país y sirve, en particular, de fundamento a los programas de vigilancia PRISM y Upstream. En el marco del programa PRISM, los proveedores de servicios de Internet están obligados, según las apreciaciones del referido órgano jurisdiccional, a proporcionar a la NSA todas las comunicaciones enviadas y recibidas por un «selector», de las cuales una parte se transmite también al FBI y a la Central Intelligence Agency (CIA) (Agencia Central de Inteligencia).
62 En lo que se refiere al programa Upstream, el antedicho órgano jurisdiccional ha observado que, en el marco de este programa, las empresas de telecomunicaciones que explotan la «red troncal» de Internet —es decir, la red de cables, conmutadores y enrutadores— están obligadas a permitir a la NSA copiar y filtrar los flujos de tráfico de Internet con el fin de recabar comunicaciones enviadas o recibidas por el nacional no americano al que corresponda un «selector» o que estén relacionadas con esa persona. En el marco de ese programa, conforme a las apreciaciones de ese mismo órgano jurisdiccional, la NSA tiene acceso tanto a los metadatos como al contenido de las comunicaciones de que se trate.
63 Por lo que se refiere a la E.O. 12333, el órgano jurisdiccional remitente observa que esta permite a la NSA acceder a datos «en tránsito» hacia los Estados Unidos, accediendo a los cables submarinos situados en el lecho del Atlántico, así como recabar y conservar esos datos antes de que lleguen a los Estados Unidos y estén sujetos a las disposiciones de la FISA. El órgano jurisdiccional remitente precisa que las actividades basadas en la E.O. 12333 no se rigen por la ley.
64 Por lo que atañe a los límites establecidos con respecto a las actividades de inteligencia, el órgano jurisdiccional remitente pone de relieve el hecho de que a las personas que no son nacionales de Estados Unidos únicamente se les aplica la PPD-28 y que esta se limita a indicar que las actividades de inteligencia deben ser «lo más adaptadas posible» (as tailored as feasible). Basándose en estas apreciaciones, el antedicho órgano jurisdiccional considera que los Estados Unidos llevan a cabo un tratamiento de datos en masa, sin garantizar una protección sustancialmente equivalente a la garantizada por los artículos 7 y 8 de la Carta.
65 En lo que se refiere a la tutela judicial, ese mismo órgano jurisdiccional expone que los ciudadanos de la Unión no tienen acceso a los mismos recursos de los que disponen los nacionales estadounidenses contra el tratamiento de datos personales por parte de las autoridades estadounidenses, ya que la cuarta enmienda de la Constitution of the United States (Constitución de los Estados Unidos), que constituye, en el Derecho estadounidense, la protección más importante contra la vigilancia ilegal, no es aplicable a los ciudadanos de la Unión. A este respecto, el órgano jurisdiccional remitente precisa que los recursos de que disponen estos últimos se enfrentan a obstáculos importantes, en particular, la obligación —a su juicio, excesivamente difícil de cumplir— de justificar su legitimación activa. Asimismo, según las apreciaciones del referido órgano jurisdiccional, las actividades de la NSA basadas en la E.O. 12333 no son objeto de control jurisdiccional y no pueden interponerse contra ellas recursos judiciales. Finalmente, el antedicho órgano jurisdiccional considera que, en la medida en que, a su entender, el Defensor del Pueblo en el ámbito del Escudo de la Privacidad no constituye un tribunal, en el sentido del artículo 47 de la Carta, el Derecho estadounidense no garantiza a los ciudadanos de la Unión un nivel de protección sustancialmente equivalente al garantizado por el derecho fundamental reconocido en ese artículo.
66 En su petición de decisión prejudicial, el órgano jurisdiccional remitente precisa, además, que las partes en el procedimiento principal discrepan, en particular, sobre la cuestión de la aplicabilidad del Derecho de la Unión a las transferencias a un país tercero de datos personales que puedan ser tratados por las autoridades de ese país, concretamente, con fines de seguridad nacional, así como sobre los elementos que deben tenerse en cuenta para la apreciación del nivel de protección adecuado garantizado por el referido país. En particular, el antedicho órgano jurisdiccional señala que, según Facebook Ireland, las constataciones de la Comisión relativas a la adecuación del nivel de protección garantizado por un país tercero, como las recogidas en la Decisión EP, vinculan a las autoridades de control también en el contexto de una transferencia de datos personales basada en las cláusulas tipo de protección de datos recogidas en el anexo de la Decisión CPT.
67 Por lo que atañe a las cláusulas tipo de protección de datos, el referido órgano jurisdiccional se pregunta si la Decisión CPT puede considerarse válida, dado que, según ese mismo órgano jurisdiccional, las mencionadas cláusulas no tienen carácter vinculante para las autoridades estatales del país tercero de que se trata y, por tanto, no pueden subsanar una eventual falta de nivel de protección adecuado en ese país. A este respecto, estima que la posibilidad, reconocida a las autoridades competentes de los Estados miembros, en el artículo 4, apartado 1, letra a), de la Decisión 2010/87, en su versión anterior a la entrada en vigor de la Decisión de Ejecución 2016/2297, de prohibir las transferencias de datos personales a un país tercero que imponga al importador obligaciones incompatibles con las garantías contenidas en esas mismas cláusulas demuestra que la situación del Derecho del país tercero puede justificar la prohibición de una transferencia de datos, aunque esta se realice sobre la base de las cláusulas tipo de protección de datos recogidas en el anexo de la Decisión CPT y, por tanto, pone de manifiesto que estas pueden ser insuficientes para garantizar una protección adecuada. No obstante, el órgano jurisdiccional remitente plantea sus dudas acerca del alcance de la facultad del Comisario de prohibir una transferencia de datos basada en esas cláusulas, considerando al mismo tiempo que una potestad discrecional no es suficiente para garantizar una protección adecuada.
68 En estas circunstancias, la High Court (Tribunal Superior) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:
«1) ¿Es la normativa de la Unión, incluida la Carta, sin perjuicio de lo dispuesto en los artículos 4 TUE, apartado 2, respecto a la seguridad nacional, y 3, apartado 2, primer guion, de la Directiva [95/46], en relación con la seguridad pública, la defensa y la seguridad del Estado, aplicable a la transferencia de datos personales en un contexto en el que una empresa privada de un Estado miembro de la [Unión] transfiere, con arreglo a la Decisión [CPT], a una empresa privada de un tercer país datos personales con fines comerciales que pueden ser tratados posteriormente por las autoridades de ese tercer país no solo por razones de seguridad nacional, sino también a efectos de la aplicación de la ley y de la administración de los asuntos exteriores del país?
2) a) A efectos de la Directiva [95/46], al determinar si el hecho de transferir con arreglo a la Decisión [CPT] datos desde la [Unión] a un tercer país en el que posteriormente pueden tratarse dichos datos por razones de seguridad nacional constituye una vulneración de los derechos de una persona, ¿el elemento de referencia pertinente es:
i) la Carta, el Tratado UE, el Tratado FUE, la Directiva [95/46], el [Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, firmado en Roma el 4 de noviembre de 1950,] (o cualquier otra disposición del Derecho de la Unión), o bien
ii) la legislación nacional de uno o varios Estados miembros?
b) Si el elemento de referencia pertinente es el mencionado en [el inciso ii)], ¿deben incluirse en él también las prácticas seguidas en el contexto de la seguridad nacional en uno o varios Estados miembros?
3) Al valorar si un tercer país garantiza el nivel de protección que exige la normativa de la Unión para transferir datos personales a dicho país a efectos del artículo 26 de la Directiva [95/46], ¿deberá evaluarse el nivel de protección ofrecido en ese tercer país atendiendo a:
a) las reglas aplicables en ese tercer país derivadas de la legislación interna o de los compromisos internacionales de este, así como a la práctica seguida para asegurar el cumplimiento de esas reglas, al efecto de incluir las normas profesionales y las medidas de seguridad que aplica dicho país,
o bien
b) las reglas referidas en la letra a) junto con tales prácticas administrativas, reglamentarias y de ejecución y las medidas de protección y los procedimientos, protocolos, mecanismos de control y recursos extrajudiciales aplicables en el tercer país?
4) ¿Constituye una violación de los derechos de toda persona contemplados en los artículos 7 y/u 8 de la Carta la transferencia de datos personales desde la [Unión] a EE. UU. [con arreglo a la Decisión CPT], habida cuenta de los hechos probados por la High Court [(Tribunal Superior)] en relación con la normativa de EE. UU.?
5) Habida cuenta de los hechos probados por la High Court [(Tribunal Superior)] respecto a la normativa de EE. UU., en el supuesto de que se transfieran datos personales desde la [Unión] a EE. UU. con arreglo a la Decisión [CPT]:
a) ¿Respeta el nivel de protección proporcionado por EE. UU. el contenido esencial del derecho de toda persona a la tutela judicial efectiva garantizado por el artículo 47 de la Carta en caso de violación del derecho a mantener la privacidad de sus datos?
En caso de respuesta afirmativa a la cuestión planteada en la letra a):
b) ¿Son proporcionadas, en el sentido del artículo 52 de la Carta, las limitaciones impuestas por la legislación de EE. UU. al ejercicio del derecho de toda persona a la tutela judicial en el contexto de la seguridad nacional de ese país y no van más allá de lo necesario para salvaguardar la seguridad nacional en una sociedad democrática?
6) a) ¿Cuál es, en virtud del artículo 26, apartado 4, de la Directiva [95/46], a la luz de las disposiciones de [esta] Directiva, y en particular de [sus] artículos 25 y 26, interpretados a la luz de la Carta, el nivel de protección que debe proporcionarse a los datos personales transferidos a un tercer país con arreglo a cláusulas contractuales tipo estipuladas de conformidad con una decisión de la Comisión?
b) ¿Cuáles son los elementos que han de tomarse en consideración al valorar si el nivel de protección proporcionado a los datos transferidos a un tercer país en virtud de la Decisión [CPT] cumple los requisitos establecidos por la Directiva [95/46] y la Carta?
7) El hecho de que las cláusulas contractuales tipo sean aplicables al exportador de datos y al importador de datos, pero no resulten vinculantes para las autoridades nacionales de un tercer país, que pueden exigir al importador de datos que facilite a sus servicios de seguridad, para su posterior tratamiento, los datos personales transferidos con arreglo a las cláusulas establecidas en la Decisión [CPT], ¿impide que se incluyan en las cláusulas contractuales tipo las garantías de protección adecuadas previstas en el artículo 26, apartado 2, de la Directiva [95/46]?
8) Si un importador de datos de un tercer país está sujeto a normas de vigilancia que, en opinión de una autoridad de protección de datos, entran en conflicto con las cláusulas tipo de protección, los artículos 25 y 26 de la Directiva [95/46] o la Carta, ¿está obligada una autoridad de protección de datos a ejercer las facultades en materia de aplicación de la legislación que le confiere el artículo 28, apartado 3, de la Directiva [95/46] para suspender los flujos de datos, o bien el ejercicio de dichas facultades se limita únicamente a situaciones excepcionales, a la luz del considerando 11 de la Decisión [CPT], o acaso puede la autoridad de protección de datos hacer uso de su potestad discrecional para no suspender tales flujos de datos?
9) a) A los efectos del artículo 25, apartado 6, de la Directiva [95/46], ¿constituye la Decisión [EP] una constatación de alcance general vinculante para las autoridades de protección de datos y los órganos jurisdiccionales de los Estados miembros en el sentido de que EE. UU., en virtud de su legislación nacional o de los compromisos internacionales que ha suscrito, garantiza un nivel de protección adecuado en el sentido del artículo 25, apartado 2, de la Directiva [95/46]?
b) Si no es así, ¿qué relevancia tiene, en su caso, la Decisión [EP] en la valoración efectuada en cuanto a la adecuación de la protección ofrecida a los datos transferidos a EE. UU. conforme a la Decisión [CPT]?
10) Habida cuenta de las consideraciones de la High Court [(Tribunal Superior)] respecto a la legislación de EE. UU., ¿constituye la figura del defensor del pueblo en el ámbito del Escudo de la Privacidad a que se refiere el anexo A del anexo III de la Decisión [EP], en combinación con el régimen vigente en EE. UU., una garantía de que este país ofrece una vía de recurso compatible con el artículo 47 de la Carta a los interesados cuyos datos personales son transferidos a EE. UU. con arreglo a la Decisión [CPT]?
11) ¿Viola la Decisión [CPT] los artículos 7, 8 y/o 47 de la Carta?»
Sobre la admisibilidad de la petición de decisión prejudicial
69 Facebook Ireland y los Gobiernos alemán y del Reino Unido alegan que la petición de decisión prejudicial es inadmisible.
70 En lo que se refiere a la excepción propuesta por Facebook Ireland debe señalarse que esta sociedad considera que las disposiciones de la Directiva 95/46 en las que se basan las cuestiones prejudiciales fueron derogadas por el RGPD.
71 A este respecto, es preciso observar que, si bien, en virtud del artículo 94, apartado 1, del RGPD, la Directiva 95/46 fue derogada con efecto a partir del 25 de mayo de 2018, dicha Directiva estaba todavía en vigor en el momento de la formulación, el 4 de mayo de 2018, de la presente petición de decisión prejudicial recibida en el Tribunal de Justicia el 9 de mayo de 2018. Asimismo, los artículos 3, apartado 2, primer guion, 25, 26 y 28, apartado 3, de la Directiva 95/46, a los que se refieren las cuestiones prejudiciales, fueron, en esencia, reproducidos en los artículos 2, apartado 2, 45, 46 y 58 del RGPD, respectivamente. Por otra parte, hay que recordar que el Tribunal de Justicia tiene la misión de interpretar cuantas disposiciones del Derecho de la Unión sean necesarias para que los órganos jurisdiccionales nacionales puedan resolver los litigios que se les hayan sometido, aun cuando tales disposiciones no se mencionen expresamente en las cuestiones remitidas por dichos órganos jurisdiccionales (sentencia de 2 de abril de 2020, Ruska Federacija, Câ€ÂÂÂ?897/19 PPU, EU:C:2020:262, apartado 43 y jurisprudencia citada). Por esos distintos motivos, el hecho de que el órgano jurisdiccional remitente haya formulado las cuestiones prejudiciales refiriéndose únicamente a las disposiciones de la Directiva 95/46 no puede dar lugar a la inadmisibilidad de la presente petición de decisión prejudicial.
72 Por su parte, el Gobierno alemán basa su excepción de inadmisibilidad, por un lado, en que el Comisario solo ha expuesto dudas, y no una opinión definitiva, sobre la cuestión de la validez de la Decisión CPT y, por otro lado, en que el órgano jurisdiccional remitente se abstuvo de comprobar si el Sr. Schrems había dado su consentimiento de forma indubitada a las transferencias de datos de que se trata en el procedimiento principal, lo que, en caso de haber sido así, tendría como efecto hacer innecesaria una respuesta a esa cuestión. Finalmente, según el Gobierno del Reino Unido, las cuestiones prejudiciales tienen carácter hipotético, dado que el referido órgano jurisdiccional no ha constatado que esos datos hubiesen sido efectivamente transferidos sobre la base de la antedicha Decisión.
73 De reiterada jurisprudencia se desprende que corresponde exclusivamente al juez nacional que conoce del litigio y que debe asumir la responsabilidad de la decisión jurisdiccional que se ha de pronunciar apreciar, a la luz de las particularidades del asunto, tanto la necesidad de una decisión prejudicial para poder dictar sentencia como la pertinencia de las cuestiones que plantea al Tribunal de Justicia. Por consiguiente, cuando las cuestiones planteadas se refieren a la interpretación o a la validez de una norma del Derecho de la Unión, en principio, el Tribunal de Justicia está obligado a pronunciarse. De ello se deduce que las cuestiones planteadas por los órganos jurisdiccionales nacionales disfrutan de una presunción de pertinencia. La negativa del Tribunal de Justicia a pronunciarse sobre una cuestión prejudicial planteada por un órgano jurisdiccional nacional solo es posible cuando resulta evidente que la interpretación solicitada no tiene relación alguna con la realidad o con el objeto del litigio principal, cuando el problema sea de naturaleza hipotética o cuando el Tribunal de Justicia no disponga de los elementos de hecho y de Derecho necesarios para responder adecuadamente a las cuestiones que se le hayan planteado (sentencias de 16 de junio de 2015, Gauweiler y otros, Câ€ÂÂÂ?62/14, EU:C:2015:400, apartados 24 y 25; de 2 de octubre de 2018, Ministerio Fiscal, Câ€ÂÂÂ?207/16, EU:C:2018:788, apartado 45, y de 19 de diciembre de 2019, Dobersberger, Câ€ÂÂÂ?16/18, EU:C:2019:1110, apartados 18 y 19).
74 En el caso de autos, la petición de decisión prejudicial contiene elementos de hecho y Derecho suficientes para comprender el alcance de las cuestiones prejudiciales. Asimismo, y ante todo, ningún elemento de los autos que obran en poder del Tribunal de Justicia permite considerar que la interpretación del Derecho de la Unión que se solicita no tenga relación con la realidad o con el objeto del litigio principal o sea de naturaleza hipotética, en particular, debido al hecho de que la transferencia de datos personales de que se trata en el litigio principal se fundamentase en el consentimiento explícito de la persona afectada por esa transferencia, y no en la Decisión CPT. En efecto, según las indicaciones que figuran en la referida petición de decisión prejudicial, Facebook Ireland reconoció que transfiere a Facebook Inc. los datos personales de sus abonados residentes en la Unión y que una gran parte de esas transferencias, cuya legalidad impugna el Sr. Schrems, se realiza sobre la base de las cláusulas tipo de protección de datos recogidas en el anexo de la Decisión CPT.
75 Por otra parte, no tiene relevancia por lo que atañe a la admisibilidad de la presente petición de decisión prejudicial que el Comisario no haya dado una opinión definitiva sobre la validez de la referida Decisión, ya que el órgano jurisdiccional remitente considera que la respuesta a las cuestiones prejudiciales relativas a la interpretación y a la validez de las normas del Derecho de la Unión es necesaria para resolver el litigio principal.
76 De las anteriores consideraciones se desprende que la petición de decisión prejudicial es admisible.
Sobre las cuestiones prejudiciales
77 Con carácter preliminar, debe recordarse que la presente petición de decisión prejudicial tiene su origen en una reclamación del Sr. Schrems que tiene por objeto que el Comisario ordene la suspensión o la prohibición, para el futuro, de la transferencia por parte de Facebook Ireland de sus datos personales a Facebook Inc. Pues bien, aunque las cuestiones prejudiciales se refieren a las disposiciones de la Directiva 95/46, ha quedado acreditado que el Comisario aún no había adoptado una decisión final sobre esa reclamación cuando la Directiva fue derogada y sustituida por el RGPD, con efecto a partir del 25 de mayo de 2018.
78 Esta ausencia de decisión nacional diferencia la situación de que se trata en el procedimiento principal de las que dieron lugar a las sentencias de 24 de septiembre de 2019, Google (Alcance territorial del derecho a la retirada de enlaces), (Câ€ÂÂÂ?507/17, EU:C:2019:772), y de 1 de octubre de 2019, Planet49 (Câ€ÂÂÂ?673/17, EU:C:2019:801), en las que eran objeto de litigio decisiones adoptadas con anterioridad a la derogación de la referida Directiva.
79 Por tanto, procede dar respuesta a las cuestiones prejudiciales a la luz de las disposiciones del RGPD, y no de las disposiciones de la Directiva 95/46.
Sobre la primera cuestión prejudicial
80 Mediante la primera cuestión prejudicial, el órgano jurisdiccional remitente solicita, en esencia, que se dilucide si el artículo 2, apartados 1 y 2, letras a), b) y d), del RGPD, en relación con el artículo 4 TUE, apartado 2, debe interpretarse en el sentido de que está comprendida dentro del ámbito de aplicación de ese Reglamento una transferencia de datos personales realizada por un operador económico establecido en un Estado miembro a otro operador económico establecido en un país tercero cuando, en el transcurso de esa transferencia o tras ella, esos datos puedan ser tratados por las autoridades de ese país tercero con fines de seguridad nacional, defensa y seguridad del Estado.
81 A este respecto, procede señalar, para empezar, que la disposición recogida en el artículo 4 TUE, apartado 2, según la cual, en la Unión, la seguridad nacional seguirá siendo responsabilidad exclusiva de cada Estado miembro, atañe únicamente a los Estados miembros de la Unión. Por consiguiente, esa disposición no es pertinente, en el caso de autos, para interpretar el artículo 2, apartados 1 y 2, letras a), b) y d), del RGPD.
82 A tenor de su artículo 2, apartado 1, el RGPD se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. El artículo 4, punto 2, de dicho Reglamento define el concepto de «tratamiento» como «cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no» y cita, como ejemplos, la «comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso», sin hacer ninguna distinción en función de que esas operaciones se realicen en el interior de la Unión o tengan un vínculo con un país tercero. Asimismo, el referido Reglamento aplica a las transferencias de datos personales a países terceros normas particulares recogidas en su capítulo V, titulado «Transferencias de datos personales a terceros países u organizaciones internacionales», y confiere, además, a las autoridades de control poderes específicos a ese efecto, que se recogen en el artículo 58, apartado 2, letra j), del mismo Reglamento.
83 De ello se desprende que la operación consistente en hacer transferir datos personales desde un Estado miembro a un tercer país constituye por sí misma un tratamiento de datos personales, en el sentido del artículo 4, punto 2, del RGPD, realizado en el territorio de un Estado miembro, tratamiento al que dicho Reglamento se aplica en virtud de su artículo 2, apartado 1 [véase por analogía, por lo que respecta a los artículos 2, letra b), y 3, apartado 1, de la Directiva 95/46, la sentencia de 6 de octubre de 2015, Schrems, Câ€ÂÂÂ?362/14, EU:C:2015:650, apartado 45 y jurisprudencia citada].
84 Por lo que atañe a la cuestión de si una operación de ese tipo puede considerarse excluida del ámbito de aplicación del RGPD en virtud del artículo 2, apartado 2, de este, debe recordarse que dicha disposición establece excepciones al ámbito de aplicación de dicho Reglamento, tal como se define en su artículo 2, apartado 1, y que esas excepciones deben interpretarse en sentido estricto (véase por analogía, por lo que respecta al artículo 3, apartado 2, de la Directiva 95/46, la sentencia de 10 de julio de 2018, Jehovan todistajat, Câ€ÂÂÂ?25/17, EU:C:2018:551, apartado 37 y jurisprudencia citada).
85 En el caso de autos, al haber sido realizada la transferencia de datos personales de que se trata en el litigio principal por Facebook Ireland hacia Facebook Inc., es decir, entre dos personas jurídicas, dicha transferencia no está comprendida dentro del ámbito del artículo 2, apartado 2, letra c), del RGPD, que tiene por objeto el tratamiento de datos efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas. A la referida transferencia tampoco pueden aplicársele las excepciones recogidas en el artículo 2, apartado 2, letras a), b) y d), del antedicho Reglamento, ya que las actividades que allí se enumeran a título de ejemplo son, en todos los casos, actividades propias del Estado o de las autoridades estatales y ajenas a la esfera de actividades de los particulares (véase por analogía, por lo que respecta al artículo 3, apartado 2, de la Directiva 95/46, la sentencia de 10 de julio de 2018, Jehovan todistajat, Câ€ÂÂÂ?25/17, EU:C:2018:551, apartado 38 y jurisprudencia citada).
86 Pues bien, la posibilidad de que los datos personales transferidos entre dos operadores económicos con fines comerciales sean objeto, en el transcurso de la transferencia o tras ella, de un tratamiento con fines de seguridad pública, defensa o seguridad del Estado por parte de las autoridades del país tercero de que se trate no puede excluir a la referida transferencia del ámbito de aplicación del RGPD.
87 Asimismo, al obligar explícitamente a la Comisión, cuando esta evalúa la adecuación del nivel de protección ofrecido por un país tercero, a tener en cuenta, en particular, «la legislación pertinente, tanto general como sectorial, incluida la relativa a la seguridad pública, la defensa, la seguridad nacional y la legislación penal, y el acceso de las autoridades públicas a los datos personales, así como la aplicación de dicha legislación», el propio tenor del artículo 45, apartado 2, letra a), del referido Reglamento pone de manifiesto el hecho de que el eventual tratamiento por un país tercero de los datos en cuestión con fines de seguridad pública, defensa y seguridad del Estado no pone en entredicho la aplicabilidad del antedicho Reglamento a la transferencia de que se trata.
88 De lo anterior se desprende que esa transferencia no puede quedar excluida del ámbito de aplicación del RGPD basándose en que los datos de que se trata pueden ser tratados, en el transcurso de la transferencia o tras ella, por las autoridades del país tercero en cuestión con fines de seguridad pública, defensa y seguridad del Estado.
89 Por tanto, procede responder a la primera cuestión prejudicial que el artículo 2, apartados 1 y 2, del RGPD debe interpretarse en el sentido de que está comprendida dentro del ámbito de aplicación de ese Reglamento una transferencia de datos personales realizada con fines comerciales por un operador económico establecido en un Estado miembro a otro operador económico establecido en un país tercero, a pesar del hecho de que, en el transcurso de dicha transferencia o tras ella, esos datos puedan ser tratados por las autoridades del país tercero en cuestión con fines de seguridad nacional, defensa y seguridad del Estado.
Sobre las cuestiones prejudiciales segunda, tercera y sexta
90 En sus cuestiones prejudiciales segunda, tercera y sexta, el órgano jurisdiccional remitente pregunta, en esencia, al Tribunal de Justicia acerca del nivel de protección exigido en el artículo 46, apartados 1 y 2, letra c), del RGPD en el marco de una transferencia de datos personales a un país tercero basada en cláusulas tipo de protección de datos. En particular, dicho órgano jurisdiccional solicita al Tribunal de Justicia que precise los elementos que han de tomarse en consideración a efectos de determinar si ese nivel de protección está garantizado en el contexto de tal transferencia.
91 Por lo que atañe al nivel de protección exigido, de una lectura conjunta de esas disposiciones se desprende que, cuando no existe una decisión de adecuación adoptada en virtud del artículo 45, apartado 3, del referido Reglamento, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país si hubiera ofrecido «garantías adecuadas» y a condición de que los interesados cuenten «con derechos exigibles y acciones legales efectivas», pudiendo proporcionarse esas garantías adecuadas, en particular, mediante cláusulas tipo de protección de datos adoptadas por la Comisión.
92 Si bien el artículo 46 del RGPD no precisa la naturaleza de las exigencias que se derivan de esa referencia a las «garantías adecuadas», a los «derechos exigibles» y a las «acciones legales efectivas», debe señalarse que el antedicho artículo se encuentra en el capítulo V del referido Reglamento y, por tanto, debe interpretarse a la luz del artículo 44 del mencionado Reglamento, titulado «Principio general de las transferencias», que dispone que «todas las disposiciones [de dicho capítulo» se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el [mismo] Reglamento no se vea menoscabado». Por tanto, ese nivel de protección debe garantizarse con independencia de cuál sea la disposición del referido capítulo sobre cuya base se realice una transferencia de datos personales a un país tercero.
93 En efecto, como ha señalado el Abogado General en el punto 117 de sus conclusiones, las disposiciones del capítulo V del RGPD tienen como finalidad garantizar la continuidad del elevado nivel de esa protección cuando se produzca una transferencia de datos personales a un país tercero, de conformidad con el objetivo precisado en el considerando 6 del antedicho Reglamento.
94 El artículo 45, apartado 1, primera frase, del RGPD establece que podrá autorizarse una transferencia de datos personales a un tercer país mediante una decisión adoptada por la Comisión conforme a la cual ese tercer país, un territorio o uno o varios sectores específicos de ese tercer país garantizan un nivel de protección adecuado. A este respecto, sin exigir que el país tercero de que se trate garantice un nivel de protección idéntico al garantizado en el ordenamiento jurídico de la Unión, debe entenderse que la expresión «nivel de protección adecuado», tal como queda confirmado en el considerando 104 del referido Reglamento, exige que ese tercer país garantice efectivamente, por su legislación interna o sus compromisos internacionales, un nivel de protección de las libertades y de los derechos fundamentales sustancialmente equivalente al garantizado en la Unión en virtud del antedicho Reglamento, interpretado a la luz de la Carta. En efecto, a falta de esa exigencia, el objetivo mencionado en el anterior apartado se frustraría (véase por analogía, por lo que respecta al artículo 25, apartado 6, de la Directiva 95/46, la sentencia de 6 de octubre de 2015, Schrems, Câ€ÂÂÂ?362/14, EU:C:2015:650, apartado 73).
95 En este contexto, el considerando 107 del RGPD dispone que, cuando «un tercer país, un territorio o sector específico en un tercer país […] ya no garantiza un nivel de protección de datos adecuado […], debe prohibirse la transferencia de datos personales a dicho tercer país […], salvo que se cumplan los requisitos [de dicho Reglamento] relativos a las transferencias basadas en garantías adecuadas». A tal efecto, el considerando 108 del referido Reglamento precisa que, en ausencia de una decisión por la que se constate la adecuación de la protección de los datos, las garantías adecuadas que corresponda adoptar al responsable o el encargado del tratamiento con arreglo al artículo 46, apartado 1, del mismo Reglamento deben «compensar la falta de protección de datos en un tercer país» para «asegurar la observancia de requisitos de protección de datos y derechos de los interesados adecuados al tratamiento dentro de la Unión».
96 De ello se desprende, como ha señalado el Abogado General en el punto 115 de sus conclusiones, que esas garantías adecuadas deben asegurar que las personas cuyos datos personales se transfieren a un país tercero sobre la base de cláusulas tipo de protección de datos gocen, como en el marco de una transferencia basada en una decisión de adecuación, de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión.
97 El órgano jurisdiccional remitente se pregunta también si ese nivel de protección sustancialmente equivalente al garantizado dentro de la Unión debe determinarse a la luz del Derecho de la Unión, en particular, de los derechos garantizados por la Carta y/o a la luz de los derechos fundamentales reconocidos en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales (en lo sucesivo, «CEDH») o también a la luz del Derecho nacional de los Estados miembros.
98 A este respecto, debe recordarse que, si bien, como confirma el artículo 6 TUE, apartado 3, los derechos fundamentales reconocidos por el CEDH forman parte del Derecho de la Unión como principios generales y el artículo 52, apartado 3, de la Carta dispone que los derechos contenidos en ella que correspondan a derechos garantizados por el CEDH tienen el mismo sentido y alcance que les confiere dicho Convenio, este no constituye, dado que la Unión no se ha adherido a él, un instrumento jurídico integrado formalmente en el ordenamiento jurídico de la Unión (sentencias de 26 de febrero de 2013, Åkerberg Fransson, Câ€ÂÂÂ?617/10, EU:C:2013:105, apartado 44 y jurisprudencia citada, y de 20 de marzo de 2018, Menci, Câ€ÂÂÂ?524/15, EU:C:2018:197, apartado 22).
99 En estas circunstancias, el Tribunal de Justicia ha declarado que la interpretación del Derecho de la Unión y el examen de la validez de los actos de la Unión deben basarse en los derechos fundamentales garantizados por la Carta (véase, por analogía, la sentencia de 20 de marzo de 2018, Menci, Câ€ÂÂÂ?524/15, EU:C:2018:197, apartado 24).
100 Asimismo, es de reiterada jurisprudencia que la validez de las disposiciones del Derecho de la Unión y, a falta de una remisión expresa al Derecho nacional de los Estados miembros, su interpretación no pueden apreciarse a la luz de dicho Derecho nacional, incluso de rango constitucional y, en particular, de los derechos fundamentales tal y como están formulados en su constitución nacional (véanse, en este sentido, las sentencias de 17 de diciembre de 1970, Internationale Handelsgesellschaft, 11/70, EU:C:1970:114, apartado 3; de 13 de diciembre de 1979, Hauer, 44/79, EU:C:1979:290, apartado 14, y de 18 de octubre de 2016, Nikiforidis, Câ€ÂÂÂ?135/15, EU:C:2016:774, apartado 28 y jurisprudencia citada).
101 De lo anterior se deriva que, cuando, por una parte, una transferencia de datos personales, como aquella de que se trata en el litigio principal, realizada con fines comerciales por un operador económico establecido en un Estado miembro, con destino a otro operador económico establecido en un país tercero, está comprendida, como se desprende de la respuesta a la primera cuestión prejudicial, dentro del ámbito de aplicación del RGPD y cuando, por otra parte, dicho Reglamento tiene como finalidad, en particular, tal y como se desprende de su considerando 10, garantizar un nivel uniforme y elevado de protección de las personas físicas dentro de la Unión y, a tal efecto, garantizar en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de esas personas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea, el nivel de protección de los derechos fundamentales exigido en el artículo 46, apartado 1, del antedicho Reglamento debe determinarse sobre la base de las disposiciones del mismo Reglamento, interpretadas a la luz de los derechos fundamentales garantizados por la Carta.
102 El órgano jurisdiccional remitente desea asimismo saber qué elementos deben tomarse en consideración para determinar la adecuación del nivel de protección en el contexto de una transferencia de datos personales a un país tercero sobre la base de las cláusulas tipo de protección de datos adoptadas en virtud del artículo 46, apartado 2, letra c), del RGPD.
103 A este respecto, si bien esa disposición no enumera los diferentes elementos que han de tenerse en cuenta para evaluar la adecuación del nivel de protección que debe respetarse en el marco de una transferencia de esas características, el artículo 46, apartado 1, del referido Reglamento precisa que los interesados deben gozar de garantías adecuadas y contar con derechos exigibles y acciones legales efectivas.
104 La evaluación requerida a tal efecto en el contexto de una transferencia de esas características debe, en particular, tomar en consideración tanto las estipulaciones contractuales acordadas entre el responsable o el encargado del tratamiento establecidos en la Unión y el destinatario de la transferencia establecido en el país tercero de que se trate como, por lo que atañe a un eventual acceso de las autoridades públicas de ese país tercero a los datos personales transferidos, los elementos pertinentes del sistema jurídico de dicho país. En lo que a este último aspecto se refiere, los elementos que deben tomarse en consideración en el contexto del artículo 46 del antedicho Reglamento se corresponden con los mencionados, de modo no exhaustivo, en el artículo 45, apartado 2, de este.
105 Por tanto, procede responder a las cuestiones prejudiciales segunda, tercera y sexta que el artículo 46, apartados 1 y 2, letra c), del RGPD debe interpretarse en el sentido de que las garantías adecuadas, los derechos exigibles y las acciones legales efectivas requeridas por dichas disposiciones deben garantizar que los derechos de las personas cuyos datos personales se transfieren a un país tercero sobre la base de cláusulas tipo de protección de datos gozan de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión por el referido Reglamento, interpretado a la luz de la Carta. A tal efecto, la evaluación del nivel de protección garantizado en el contexto de una transferencia de esas características debe, en particular, tomar en consideración tanto las estipulaciones contractuales acordadas entre el responsable o el encargado del tratamiento establecidos en la Unión y el destinatario de la transferencia establecido en el país tercero de que se trate como, por lo que atañe a un eventual acceso de las autoridades públicas de ese país tercero a los datos personales de ese modo transferidos, los elementos pertinentes del sistema jurídico de dicho país y, en particular, los mencionados en el artículo 45, apartado 2, del referido Reglamento.
Sobre la octava cuestión prejudicial
106 Mediante la octava cuestión prejudicial, el órgano jurisdiccional remitente solicita, en esencia, que se dilucide si el artículo 58, apartado 2, letras f) y j), del RGPD debe interpretarse en el sentido de que la autoridad de control competente está obligada a suspender o prohibir una transferencia de datos personales a un país tercero basada en cláusulas tipo de protección de datos adoptadas por la Comisión cuando esa autoridad de control considera que dichas cláusulas no se respetan o no pueden respetarse en ese país tercero y que la protección de los datos transferidos exigida por el Derecho de la Unión, en particular, por los artículos 45 y 46 del RGPD y por la Carta, no puede garantizarse, o en el sentido de que el ejercicio de esas facultades está limitado a supuestos excepcionales.
107 Conforme al artículo 8, apartado 3, de la Carta y al artículo 51, apartado 1, y al artículo 57, apartado 1, letra a), del RGPD, las autoridades nacionales de control están encargadas del control del cumplimiento de las reglas de la Unión para la protección de las personas físicas frente al tratamiento de datos personales. Por tanto, cada una de ellas está investida de la competencia para comprobar si una transferencia de datos personales desde el Estado miembro de esa autoridad hacia un tercer país respeta las exigencias establecidas por el antedicho Reglamento (véase por analogía, por lo que respecta al artículo 28 de la Directiva 95/46, la sentencia de 6 de octubre de 2015, Schrems, Câ€ÂÂÂ?362/14, EU:C:2015:650, apartado 47).
108 De las anteriores disposiciones se deriva que las autoridades de control tienen como misión principal controlar la aplicación del RGPD y velar por su cumplimiento. El ejercicio de esta misión tiene una especial importancia en el contexto de una transferencia de datos personales a un país tercero, dado que, como se desprende del propio tenor del considerando 116 del referido Reglamento, «cuando los datos personales circulan a través de las fronteras hacia el exterior de la Unión se puede poner en mayor riesgo la capacidad de las personas físicas para ejercer los derechos de protección de datos, en particular con el fin de protegerse contra la utilización o comunicación ilícitas de dicha información». En ese supuesto, tal como se precisa en ese mismo considerando, «es posible que las autoridades de control se vean en la imposibilidad de tramitar reclamaciones o realizar investigaciones relativas a actividades desarrolladas fuera de sus fronteras».
109 Asimismo, en virtud del artículo 57, apartado 1, letra f), del RGPD, incumbirá a cada autoridad de control, en su territorio, tratar las reclamaciones que cualquier persona, de conformidad con el artículo 77, apartado 1, del antedicho Reglamento, pueda presentar si considera que el tratamiento de datos personales que le conciernen infringe el referido Reglamento y examinar su objeto en la medida en que sea necesario. La autoridad de control debe proceder al tratamiento de esas reclamaciones con toda la diligencia exigible (véase por analogía, por lo que respecta al artículo25, apartado 6, de la Directiva 95/46, la sentencia de 6 de octubre de 2015, Schrems, Câ€ÂÂÂ?362/14, EU:C:2015:650, apartado 63).
110 El artículo 78, apartados 1 y 2, del RGPD reconoce a toda persona el derecho a la tutela judicial efectiva, en particular, cuando la autoridad de control no da curso a su reclamación. El considerando 141 del antedicho Reglamento hace también referencia a ese «derecho a la tutela judicial efectiva de conformidad con el artículo 47 de la Carta» en caso de que la mencionada autoridad de control «no actúe cuando sea necesario para proteger los derechos del interesado».
111 Para permitirles tratar las reclamaciones presentadas, el artículo 58, apartado 1, del RGPD confiere a cada autoridad de control importantes poderes de investigación. Cuando una de esas autoridades considera, al finalizar su investigación, que el interesado cuyos datos personales se transfirieron a un país tercero no goza en ese país de un nivel de protección adecuado, está obligada, en aplicación del Derecho de la Unión, a reaccionar de modo adecuado con el fin de subsanar la insuficiencia constatada, con independencia del origen o la naturaleza de dicha insuficiencia. A tal efecto, el artículo 58, apartado 2, del referido Reglamento enumera los diferentes poderes correctivos de que dispone la autoridad de control.
112 Aunque la elección del medio adecuado y necesario corresponde a la autoridad de control y es esta la que debe proceder a esa elección tomando en consideración todas las circunstancias de la transferencia de datos personales de que se trate, dicha autoridad sigue estando obligada a llevar a cabo con toda la diligencia exigible su misión de velar por el pleno cumplimiento del RGPD.
113 A este respecto, como el Abogado General ha señalado también en el punto 148 de sus conclusiones, la referida autoridad está obligada, en virtud del artículo 58, apartado 2, letras f) y j), del mencionado Reglamento, a suspender o prohibir una transferencia de datos personales a un país tercero si considera, a la luz de todas las circunstancias que rodean a esa transferencia, que las cláusulas tipo de protección de datos no se respetan o no pueden ser respetadas en ese país tercero y que la protección de los datos transferidos exigida por el Derecho de la Unión no puede garantizarse mediante otros medios, si el responsable o el encargado del tratamiento establecidos en la Unión no ha suspendido la transferencia o puesto fin a esta por sí mismos.
114 La interpretación realizada en el apartado anterior no se ve desvirtuada por la argumentación del Comisario según la cual el artículo 4 de la Decisión 2010/87, en su versión anterior a la entrada en vigor de la Decisión 2016/2297, entendida a la luz del considerando 11 de dicha Decisión, limitaba a ciertos supuestos excepcionales la facultad de las autoridades de control de suspender o prohibir una transferencia de datos personales a un país tercero. En efecto, en su versión resultante de la Decisión de Ejecución 2016/2297, el artículo 4 de la Decisión CPT hace alusión a la facultad que tienen esas autoridades, en lo sucesivo, en virtud del artículo 58, apartado 2, letras f) y j), del RGPD, de suspender o prohibir esa transferencia, sin limitar en modo alguno el ejercicio de la antedicha facultad a circunstancias excepcionales.
115 En cualquier caso, el poder de ejecución que el artículo 46, apartado 2, letra c), del RGPD reconoce a la Comisión para que adopte cláusulas tipo de protección de datos no le confiere la competencia para restringir las facultades de que disponen las autoridades de control en virtud del artículo 58, apartado 2, del antedicho Reglamento (véase por analogía, por lo que respecta a los artículos 25, apartado 6, y 28 de la Directiva 95/46, la sentencia de 6 de octubre de 2015, Schrems, Câ€ÂÂÂ?362/14, EU:C:2015:650, apartados 102 y 103). Por otra parte, el considerando 5 de la Decisión de Ejecución 2016/2297 confirma que la Decisión CPT «no impide que una [autoridad de control] ejerza sus facultades para supervisar los flujos de datos, incluida la facultad de prohibir o suspender una transferencia de datos personales cuando constate que la transferencia se está realizando en infracción del Derecho de la Unión o de la legislación nacional en materia de protección de datos».
116 Sin embargo, es importante señalar que las facultades de la autoridad de control competente están sujetas al pleno cumplimiento de la Decisión mediante la cual la Comisión constata, en su caso, en aplicación del artículo 45, apartado 1, frase primera, del RGPD, que un tercer país determinado garantiza un nivel de protección adecuado. En efecto, en ese supuesto, del artículo 45, apartado 1, segunda frase, del referido Reglamento, en relación con el considerando 103 del mismo, se desprende que las transferencias de datos personales al tercer país de que se trate pueden realizarse sin que sea necesario obtener una autorización específica.
117 En virtud del artículo 288 TFUE, párrafo cuarto, una decisión de adecuación de la Comisión tiene, en todos sus elementos, carácter obligatorio para todos los Estados miembros destinatarios y vincula, por tanto, a todos su órganos, en la medida en que constate que el país tercero de que se trate garantiza un nivel de protección adecuado y tenga el efecto de autorizar las antedichas transferencias de datos (véase por analogía, por lo que respecta al artículo 25, apartado 6, de la Directiva 95/46, la sentencia de 6 de octubre de 2015, Schrems, Câ€ÂÂÂ?362/14, EU:C:2015:650, apartado 51 y jurisprudencia citada).
118 Así pues, mientras la decisión de adecuación no haya sido declarada inválida por el Tribunal de Justicia, los Estados miembros y sus órganos, entre ellos las autoridades de control independientes, no pueden ciertamente adoptar medidas contrarias a esa decisión, como serían actos por los que se apreciará con efecto obligatorio que el tercer país al que se refiere dicha decisión no garantiza un nivel de protección adecuado (sentencia de 6 de octubre de 2015, Schrems, Câ€ÂÂÂ?362/14, EU:C:2015:650, apartado 52 y jurisprudencia citada) ni, por consiguiente, suspender o prohibir transferencias de datos personales a ese tercer país.
119 No obstante, una decisión de adecuación de la Comisión adoptada en virtud del artículo 45, apartado 3, del RGPD no puede impedir que las personas cuyos datos personales hayan sido o pudieran ser transferidos a un tercer país presenten, en aplicación del artículo 77, apartado 1, del RGPD, a la autoridad nacional de control competente una reclamación para la protección de sus derechos y libertades frente al tratamiento de esos datos. De igual forma, una decisión de esa naturaleza no puede dejar sin efecto ni limitar las facultades expresamente reconocidas a las autoridades nacionales de control por el artículo 8, apartado 3, de la Carta y por los artículos 51, apartado 1, y 57, apartado 1, letra a), del antedicho Reglamento (véase por analogía, por lo que respecta a los artículos 25, apartado 6, y 28 de la Directiva 95/46, la sentencia de 6 de octubre de 2015, Schrems, Câ€ÂÂÂ?362/14, EU:C:2015:650, apartado 53).
120 Por tanto, incluso habiendo adoptado la Comisión una decisión de adecuación, la autoridad nacional de control competente, a la que una persona haya presentado una reclamación para proteger sus derechos y libertades frente al tratamiento de datos personales que la conciernen, debe poder apreciar con toda independencia si la transferencia de esos datos cumple las exigencias establecidas por el RGPD y, en su caso, interponer un recurso ante los tribunales nacionales, para que estos, si concuerdan en las dudas de esa autoridad sobre la validez de la decisión de adecuación, planteen al Tribunal de Justicia una cuestión prejudicial sobre esta validez (véase por analogía, por lo que respecta al artículo 25, apartado 6, y al artículo 28 de la Directiva 95/46, la sentencia de 6 de octubre de 2015, Schrems, Câ€ÂÂÂ?362/14, EU:C:2015:650, apartado 57 y 65).
121 Habida cuenta de las consideraciones anteriores, procede responder a la octava cuestión prejudicial que el artículo 58, apartado 2, letras f) y j), del RGPD debe interpretarse en el sentido de que, a no ser que exista una decisión de adecuación válidamente adoptada por la Comisión, la autoridad de control competente está obligada a suspender o prohibir una transferencia de datos a un país tercero basada en cláusulas tipo de protección de datos adoptadas por la Comisión cuando esa autoridad de control considera, a la luz de todas las circunstancias específicas de la referida transferencia, que dichas cláusulas no se respetan o no pueden respetarse en ese país tercero y que la protección de los datos transferidos exigida por el Derecho de la Unión, en particular, por los artículos 45 y 46 del RGPD y por la Carta, no puede garantizarse mediante otros medios, si el responsable o el encargado del tratamiento establecidos en la Unión no han suspendido la transferencia o puesto fin a esta por sí mismos.
Sobre las cuestiones prejudiciales séptima y undécima
122 Mediante sus cuestiones prejudiciales séptima y undécima, que es preciso examinar conjuntamente, el órgano jurisdiccional remitente pregunta, en esencia, al Tribunal de Justicia acerca de la validez de la Decisión CPT a la luz de los artículos 7, 8 y 47 de la Carta.
123 En particular, tal como se desprende del propio tenor de la séptima cuestión prejudicial y de las explicaciones referentes a dicha cuestión contenidas en la petición de decisión prejudicial, el órgano jurisdiccional remitente se pregunta si la Decisión CPT puede garantizar un nivel de protección adecuado de los datos personales transferidos a países terceros, en la medida en que las cláusulas tipo de protección de datos que prevé no son vinculantes para las autoridades de esos países terceros.
124 El artículo 1 de la Decisión CPT dispone que se considera que las cláusulas tipo de protección de datos incluidas en el anexo de esta ofrecen garantías suficientes con respecto a la protección de la vida privada y de los derechos y libertades fundamentales de las personas, de conformidad con las exigencias del artículo 26, apartado 2, de la Directiva 95/46. Esta última disposición ha sido recogida, en esencia, en el artículo 46, apartados 1 y 2, letra c), del RGPD.
125 Sin embargo, aunque esas cláusulas son obligatorias para el responsable del tratamiento establecido en la Unión y el destinatario de la transferencia de datos personales establecido en un país tercero, en el supuesto de que hayan celebrado un contrato que haga referencia a esas cláusulas, ha quedado acreditado que dichas cláusulas no vinculan a las autoridades de ese país tercero, dado que estas últimas no son partes del contrato.
126 Si bien existen, por tanto, situaciones en las que, en función del estado del Derecho y de las prácticas en vigor en el país de que se trate, el destinatario de una transferencia de esas características puede garantizar la protección de datos necesaria basándose únicamente en las cláusulas tipo de protección de datos, existen otras situaciones en las que las estipulaciones contenidas en esas cláusulas podrían no constituir un medio suficiente para garantizar en la práctica la protección efectiva de los datos personales transferidos al país tercero de que se trate. Eso es lo que sucede, en particular, cuando el Derecho de ese país tercero permite a sus autoridades públicas llevar a cabo injerencias en los derechos de los interesados relativos a esos datos.
127 Por tanto, es preciso dilucidar si una decisión de la Comisión relativa a cláusulas tipo de protección de datos, adoptada sobre la base del artículo 46, apartado 2, letra c), del RGPD, es inválida si la referida decisión no contiene garantías exigibles a las autoridades públicas de los países terceros a los que se transfieran o puedan transferirse datos personales sobre la base de las antedichas cláusulas.
128 El artículo 46, apartado 1, del RGPD establece que, a falta de una decisión de adecuación, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas. Según el artículo 46, apartado 2, letra c), del antedicho Reglamento, esas garantías podrán ser aportadas mediante cláusulas tipo de protección de datos adoptadas por la Comisión. Pues bien, las anteriores disposiciones no establecen que la totalidad de las referidas garantías deban estar necesariamente previstas en una decisión de la Comisión como la Decisión CPT.
129 A este respecto, es preciso señalar que una decisión de esas características es distinta de una decisión de adecuación adoptada en virtud del artículo 45, apartado 3, del RGPD, la cual tiene por objeto declarar con efecto vinculante, tras un examen de la normativa del tercer país de que se trate que tenga en cuenta, en particular, la legislación pertinente en materia de seguridad nacional y de acceso de las autoridades públicas a los datos personales, que un tercer país, un territorio o uno o varios sectores específicos de un tercer país garantizan un nivel de protección adecuados y que, por tanto, el acceso de las autoridades públicas de ese tercer país a esos datos no impide su transferencia a ese mismo tercer país. Por consiguiente, tal decisión de adecuación solo puede ser adoptada por la Comisión si ha constatado que la legislación pertinente del país tercero en la materia recoge efectivamente todas las garantías exigibles para poder considerar que asegura un nivel de protección adecuado.
130 En cambio, cuando se trata de una decisión de la Comisión que adopta cláusulas tipo de protección de datos, como la Decisión CPT, en la medida en que tal decisión no tiene por objeto un tercer país, un territorio o uno o varios sectores específicos de un tercer país, no puede inferirse del artículo 46, apartados 1 y 2, letra c), del RGPD que la Comisión esté obligada a llevar a cabo, antes de la adopción de dicha decisión, una evaluación de la adecuación del nivel de protección garantizado por los países terceros a los que podrían transferirse datos personales sobre la base de las referidas cláusulas.
131 A este respecto, debe recordarse que, a tenor del artículo 46, apartado 1, del mencionado Reglamento, a falta de decisión de adecuación de la Comisión, incumbe al responsable o al encargado del tratamiento establecidos en la Unión ofrecer, en particular, garantías adecuadas. Los considerandos 108 y 114 del antedicho Reglamento confirman que, cuando la Comisión no haya tomado ninguna decisión sobre el nivel adecuado de la protección de datos en un tercer país, el responsable o, en su caso, el encargado del tratamiento «deben tomar medidas para compensar la falta de protección de datos en un tercer país mediante garantías adecuadas para el interesado» y que «esas garantías deben asegurar la observancia de requisitos de protección de datos y derechos de los interesados adecuados al tratamiento dentro de la Unión, incluida la disponibilidad por parte de los interesados de derechos exigibles y de acciones legales efectivas […] en la Unión o en un tercer país».
132 Dado que, como se desprende del apartado 125 de la presente sentencia, es inherente al carácter contractual de las cláusulas tipo de protección de datos que estas no pueden vincular a las autoridades públicas de países terceros, pero que los artículos 44 y 46, apartados 1 y 2, letra c), del RGPD, interpretados a la luz de los artículos 7, 8 y 47 de la Carta, exigen que el nivel de protección de las personas físicas garantizado por dicho Reglamento no se vea comprometido, puede resultar necesario completar las garantías recogidas en esas cláusulas tipo de protección datos. A ese respecto, el considerando 109 del referido Reglamento dispone que «la posibilidad de que [los] responsable[s] […] del tratamiento recurran a cláusulas tipo de protección de datos adoptadas por la Comisión […] no debe obstar a que los responsables […] añadan otras cláusulas o garantías adicionales» y precisa, en particular, que «se debe alentar a los responsables […] a ofrecer garantías adicionales […] que complementen las cláusulas tipo de protección de datos».
133 Resulta, por tanto, evidente que las cláusulas tipo de protección de datos adoptadas por la Comisión en virtud del artículo 46, apartado 2, letra c), del mismo Reglamento tienen únicamente como finalidad proporcionar a los responsables o encargados del tratamiento establecidos en la Unión garantías contractuales que se apliquen de manera uniforme en todos los países terceros y, por tanto, independientemente del nivel de protección garantizado en cada uno de ellos. En la medida en que esas cláusulas tipo de protección de datos no pueden proporcionar, debido a su naturaleza, garantías que vayan más allá de una obligación contractual de velar por que se respete el nivel de protección exigido por el Derecho de la Unión, tales cláusulas pueden necesitar, en función de cuál sea la situación de un país tercero determinado, la adopción de medidas adicionales por parte del responsable del tratamiento con el fin de garantizar el respeto de ese nivel de protección.
134 A este respecto, tal como ha señalado el Abogado General en el punto 126 de sus conclusiones, el mecanismo contractual previsto en el artículo 46, apartado 2, letra c), del RGPD se basa en la responsabilización del responsable o del encargado del tratamiento establecidos en la Unión, así como, con carácter subsidiario, de la autoridad de control competente. Corresponde, por tanto, ante todo, a ese responsable o encargado del tratamiento comprobar, caso por caso y, si es preciso, en colaboración con el destinatario de la transferencia, si el Derecho del tercer país de destino garantiza una protección adecuada, a la luz del Derecho de la Unión, de los datos personales transferidos sobre la base de cláusulas tipo de protección de datos, proporcionado, cuando sea necesario, garantías adicionales a las ofrecidas por dichas cláusulas.
135 Si el responsable o el encargado del tratamiento establecidos en la Unión no pueden adoptar medidas adicionales suficientes para garantizar esa protección, estos o, con carácter subsidiario, la autoridad de control competente están obligados a suspender o poner fin a la transferencia de datos personales al país tercero de que se trate. En particular, eso es lo que ocurre cuando el Derecho de ese país tercero impone al destinatario de una transferencia de datos personales procedentes de la Unión obligaciones que son contrarias a las referidas cláusulas y que, por tanto, pueden poner en entredicho la garantía contractual de un nivel de protección adecuado contra el acceso de las autoridades públicas del mencionado país tercero a esos datos.
136 Por consiguiente, el mero hecho de que las cláusulas tipo de protección de datos recogidas en una decisión de la Comisión adoptada en aplicación del artículo 46, apartado 2, letra c), del RGPD, como las recogidas en el anexo de la Decisión CPT, no vinculen a las autoridades del país tercero al que pueden transferirse datos personales no afecta a la validez de dicha Decisión.
137 Esa validez depende, en cambio, de si, de conformidad con la exigencia resultante de los artículos 46, apartado 1 y 2, letra c), del RGPD, interpretados a la luz de los artículos 7, 8 y 47 de la Carta, tal decisión incluye mecanismos efectivos que permitan en la práctica garantizar que el nivel de protección exigido por el Derecho de la Unión sea respetado y que las transferencias de datos personales basadas en esas cláusulas sean suspendidas o prohibidas en caso de violación de dichas cláusulas o de que resulte imposible su cumplimiento.
138 Por lo que atañe a las garantías contenidas en las cláusulas tipo de protección de datos que se recogen en el anexo de la Decisión CPT, de las cláusulas 4, letras a) y b), 5, letra a), 9 y 11, apartado 1, de dicho anexo se desprende que el responsable del tratamiento establecido en la Unión, el destinatario de la transferencia de datos personales y el eventual encargado de este último se comprometen mutuamente a que el tratamiento de esos datos, incluida su transferencia, ha sido efectuado y seguirá efectuándose de conformidad con «la legislación de protección de datos aplicable», es decir, según la definición recogida en el artículo 3, letra f) de la antedicha Decisión, «la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la vida privada respecto del tratamiento de los datos personales, aplicable al responsable del tratamiento en el Estado miembro en que está establecido el exportador de datos». Pues bien, las disposiciones del RGPD, interpretadas a la luz de la Carta, forman parte de esa legislación.
139 Asimismo, el destinatario de la transferencia de datos personales establecido en un país tercero se compromete, en virtud de la referida cláusula 5, letra a), a informar sin demora al responsable del tratamiento establecido en la Unión de su eventual incapacidad para cumplir con las obligaciones que le incumben con arreglo al contrato celebrado. En particular, según la mencionada cláusula 5, letra b), el antedicho destinatario certificará que no tiene motivos para creer que la legislación que le es de aplicación le impida cumplir las obligaciones que le incumben con arreglo al contrato celebrado y se comprometerá a notificar al responsable del tratamiento, en cuanto tenga conocimiento de ello, cualquier modificación de la legislación nacional que le ataña que pueda tener un importante efecto negativo sobre las garantías y obligaciones estipuladas en las cláusulas tipo de protección de datos recogidas en el anexo de la Decisión CPT. Por otra parte, si bien la misma cláusula 5, letra d), inciso i), permite al destinatario de la transferencia de datos personales, en caso de que exista una legislación que se lo impida, como una prohibición de carácter penal para preservar la confidencialidad de una investigación llevada a cabo por la policía, no notificar al responsable del tratamiento establecido en la Unión una solicitud jurídicamente vinculante de divulgar los datos personales presentada por una autoridad encargada de la aplicación de la ley, el referido destinatario sigue estando obligado, de conformidad con la cláusula 5, letra a), del anexo de la Decisión CPT, a informar al responsable del tratamiento de que no puede cumplir las cláusulas tipo de protección de datos.
140 En los dos supuestos que contempla, la antedicha cláusula 5, letras a) y b), confiere al responsable del tratamiento establecido en la Unión la facultad de suspender la transferencia de los datos o rescindir el contrato. Habida cuenta de las exigencias resultantes del artículo 46, apartados 1 y 2, letra c), del RGPD, interpretado a la luz de los artículos 7 y 8 de la Carta, la suspensión de la transferencia de los datos o la rescisión del contrato es obligatoria para el responsable del tratamiento cuando el destinatario de la transferencia no cumple, o ya no puede cumplir, las cláusulas tipo de protección de datos. Si no actuase así, el responsable del tratamiento incumpliría las exigencias que le incumben en virtud de la cláusula 4, letra a), del anexo de la Decisión CPT interpretada a la luz de las disposiciones del RGPD y de la Carta.
141 Por tanto, es evidente que las cláusulas 4, letra a), y 5, letras a) y b), del referido anexo obligan al responsable del tratamiento establecido en la Unión y al destinatario de la transferencia de datos personales a asegurarse de que la legislación del país tercero de destino permita al antedicho destinatario cumplir con las cláusulas tipo de protección de datos recogidas en el anexo de la Decisión CPT, antes de llevar a cabo una transferencia de datos personales a ese país tercero. Por lo que atañe a esta comprobación, la nota a pie de página relativa a la mencionada cláusula 5 precisa que las obligaciones impuestas por esa legislación que no vayan más allá de las restricciones necesarias en una sociedad democrática para la salvaguardia, en particular, de la seguridad del Estado, la defensa y la seguridad pública no están en contradicción con las cláusulas tipo de protección de datos. Por el contrario, tal como ha subrayado el Abogado General en el punto 131 de sus conclusiones, el hecho de acatar una obligación dictada por el Derecho del país tercero de destino que vaya más allá de lo necesario para la consecución de tales fines debe considerarse una violación de las antedichas cláusulas. La apreciación, por parte de esos operadores, del carácter necesario de esa obligación deberá, en su caso, tener en cuenta la constatación de la adecuación del nivel de protección garantizado por el país tercero de que se trate que se recoja en una decisión de adecuación de la Comisión, adoptada en virtud del artículo 45, apartado 3, del RGPD.
142 De lo anterior se desprende que el responsable del tratamiento establecido en la Unión y el destinatario de la transferencia de datos personales están obligados a comprobar, previamente, el respeto, en el país tercero de que se trate, del nivel de protección exigido por el Derecho de la Unión. El destinatario de esa transferencia tiene, en su caso, la obligación, en virtud de la misma cláusula 5, letra b), de informar al responsable del tratamiento de su eventual incapacidad para cumplir con esas cláusulas, incumbiendo entonces a este último suspender la transferencia de datos o rescindir el contrato.
143 Si el destinatario de la transferencia de datos personales a un país tercero pone en conocimiento del responsable del tratamiento, en virtud de la cláusula 5, letra b), del anexo de la Decisión CPT, que la legislación del país tercero de que se trate no le permite cumplir con las cláusulas tipo de protección de datos recogidas en dicho anexo, de la cláusula 12 del antedicho anexo se deriva que los datos que ya hayan sido transferidos a ese país tercero y sus copias deben ser devueltos o destruidos en su totalidad. En cualquier caso, la cláusula 6 del mismo anexo castiga el incumplimiento de esas cláusulas tipo confiriendo al interesado el derecho a percibir una indemnización por el daño sufrido.
144 Debe añadirse que, conforme a la cláusula 4, letra f), del anexo de la Decisión CPT, el responsable del tratamiento establecido en la Unión se compromete, en el caso de que categorías especiales de datos pudieran ser transferidas a un tercer país que no proporcione un nivel de protección adecuado, a informar de ello al interesado antes de que se efectúe la transferencia o en cuanto sea posible. Esa información puede permitir a esa persona ejercer el derecho de recurso contra el responsable del tratamiento que le reconoce la cláusula 3, apartado 1, del antedicho anexo con el fin de que ese responsable suspenda la transferencia prevista, rescinda el contrato celebrado con el destinatario de la transferencia de datos personales o, en su caso, solicite a este último la devolución o la destrucción de los datos transferidos.
145 Finalmente, en virtud de la cláusula 4, letra g), del referido anexo, el responsable del tratamiento establecido en la Unión está obligado, cuando el destinatario de la transferencia de datos personales le notifica, con arreglo a la cláusula 5, letra b), del anexo, que la legislación que le es de aplicación ha sido objeto de una modificación que puede tener un importante efecto negativo sobre las garantías ofrecidas y las obligaciones impuestas por las cláusulas tipo de protección de datos, a enviar esa notificación a la autoridad de control competente en caso de que, a pesar de dicha notificación, decida proseguir la transferencia o levantar la suspensión. El envío de la referida notificación a esa autoridad de control y la facultad de esta de auditar al destinatario de la transferencia de datos personales en aplicación de la cláusula 8, apartado 2, del mismo anexo permiten a la mencionada autoridad de control comprobar si es preciso proceder a la suspensión o la prohibición de la transferencia prevista para garantizar un nivel de protección adecuado.
146 En este contexto, el artículo 4 de la Decisión CPT, interpretado a la luz del considerando 5 de la Decisión de Ejecución 2016/2297, confirma que en modo alguno la Decisión CPT impide a la autoridad de control competente suspender o prohibir, en su caso, una transferencia de datos personales a un país tercero basada en las cláusulas tipo de protección de datos recogidas en el anexo de dicha Decisión. A este respecto, tal como se desprende de la respuesta a la octava cuestión prejudicial, a no ser que exista una decisión de adecuación válidamente adoptada por la Comisión, la autoridad de control competente está obligada, en virtud del artículo 58, apartado 2, letras f) y j), del RGPD, a suspender o prohibir esa transferencia cuando considere, a la luz de las circunstancias específicas de la referida transferencia, que dichas cláusulas no se respetan o no pueden respetarse en ese país tercero y que la protección de los datos transferidos exigida por el Derecho de la Unión no puede garantizarse mediante otros medios, si el responsable o el encargado del tratamiento establecidos en la Unión no han suspendido la transferencia o puesto fin a esta por sí mismos.
147 Por lo que atañe a la circunstancia, puesta de relieve por el Comisario, de que las transferencias de datos personales a tal país tercero podría ser eventualmente objeto de decisiones divergentes de las autoridades de control en diferentes Estados miembros, debe añadirse que, como se desprende de los artículos 55, apartado 1, y 57, apartado 1, letra a), del RGPD, la función de velar por el cumplimiento de dicho Reglamento se confía, en principio, a cada autoridad de control en el territorio del Estado miembro al que pertenece. Asimismo, para evitar decisiones divergentes, el artículo 64, apartado 2, del referido Reglamento prevé la posibilidad de que una autoridad de control que considere que las transferencias de datos a un país tercero deben, de manera general, prohibirse solicite el dictamen del Comité Europeo de Protección de Datos (EDPB), el cual, en aplicación del artículo 65, apartado 1, letra c), del mismo Reglamento, podrá adoptar una decisión vinculante, en particular, cuando una autoridad de control competente no siga el dictamen emitido por el Comité.
148 De lo anterior se desprende que la Decisión CPT prevé mecanismos efectivos que permiten en la práctica garantizar que la transferencia a un país tercero de datos personales sobre la base de las cláusulas tipo de protección de datos recogidas en el anexo de la antedicha Decisión se prohíba o suspenda cuando el destinatario de la transferencia no cumpla las referidas cláusulas o no le resulte posible cumplirlas.
149 Habida cuenta de todas las consideraciones anteriores, procede responder a las cuestiones prejudiciales séptima y undécima que el examen de la Decisión CPT a la luz de los artículos 7, 8 y 47 de la Carta no ha puesto de manifiesto la existencia de ningún elemento que pueda afectar a la validez de dicha Decisión.
Sobre las cuestiones prejudiciales, cuarta, quinta, novena y décima
150 Mediante la novena cuestión prejudicial, el órgano jurisdiccional remitente solicita, en esencia, que se dilucide si una autoridad de control de un Estado miembro está vinculada por las constataciones contenidas en la Decisión EP según las cuales los Estados Unidos garantizan un nivel de protección adecuado y en qué medida queda vinculada por ellas. En las cuestiones prejudiciales cuarta, quinta y décima, dicho órgano jurisdiccional pregunta, en esencia, si, habida cuenta de sus propias constataciones relativas a la normativa de los Estados Unidos, la transferencia a ese país tercero de datos personales sobre la base de las cláusulas tipo de protección de datos recogidas en el anexo de la Decisión CPT vulnera los derechos garantizados en los artículos 7, 8 y 47 de la Carta y pide, en particular, al Tribunal de Justicia que determine si la creación del Defensor del Pueblo mencionado en el anexo III de la Decisión EP es compatible con el antedicho artículo 47.
151 Con carácter preliminar, debe señalarse que, si bien el recurso en el litigio principal interpuesto por el Comisario pone en entredicho únicamente la validez de la Decisión CPT, dicho recurso fue presentado ante el órgano jurisdiccional remitente con anterioridad a la adopción de la Decisión EP. En la medida en que, en sus cuestiones prejudiciales cuarta y quinta, ese órgano jurisdiccional pregunta al Tribunal de Justicia, de manera general, acerca de la protección que debe garantizarse, en virtud de los artículos 7, 8 y 47 de la Carta, en el contexto de la referida transferencia, el examen del Tribunal de Justicia debe tomar en consideración las consecuencias resultantes de la adopción de la Decisión EP, que tuvo lugar entretanto. Esto es tanto más cierto cuanto que el antedicho órgano jurisdiccional pregunta explícitamente, en su décima cuestión prejudicial, si la protección exigida por el artículo 47 de la Carta queda garantizada por medio del Defensor del Pueblo mencionado en esa última Decisión.
152 Asimismo, de las indicaciones contenidas en la petición de decisión prejudicial se desprende que, en el marco del procedimiento principal, Facebook Ireland ha alegado que la Decisión EP producía, en opinión del Comisario, efectos vinculantes por lo que atañe a la constatación de la adecuación del nivel de protección garantizado por los Estados Unidos y, por consiguiente, en lo que respecta a la legalidad de una transferencia a este país tercero de datos personales basada en las cláusulas tipo de protección de datos recogidas en el anexo de la Decisión CPT.
153 Pues bien, tal como se desprende del apartado 59 de la presente sentencia, en su
154 En particular, la existencia de efectos vinculantes ligados a la constatación por la Decisión EP de un nivel de protección adecuado en los Estados Unidos es pertinente a la hora de apreciar tanto las obligaciones, recordadas en los apartados 141 y 142 de la presente sentencia, que incumben al responsable del tratamiento y al destinatario de una transferencia de datos personales a un país tercero realizada sobre la base de las cláusulas tipo de protección de datos recogidas en el anexo de la Decisión CPT como las obligaciones que, en su caso, recaigan en la autoridad de control de suspender o prohibir tal transferencia.
155 Efectivamente, por lo que atañe a los efectos vinculantes de la Decisión EP, el artículo 1, apartado 1, de dicha Decisión dispone que, a los efectos del artículo 45, apartado 1, del RGPD, «los Estados Unidos garantizan un nivel adecuado de protección de los datos personales transferidos desde la Unión a entidades establecidas en los Estados Unidos en el marco del Escudo de la privacidad UE-EE. UU.» Con arreglo al artículo 1, apartado 3, de la referida Decisión, se considerarán datos personales transferidos en el marco de ese Escudo aquellos que hayan sido transferidos desde la Unión a entidades establecidas en los Estados Unidos que figuren en la denominada «lista del Escudo de la privacidad», mantenida y puesta a disposición del público por el Departamento de Comercio de los Estados Unidos, de conformidad con las secciones I y III de los principios expuestos en el anexo II de la misma Decisión.
156 Tal como se desprende de la jurisprudencia recordada en los apartados 117 y 118 de la presente sentencia, la Decisión EP tiene carácter obligatorio para las autoridades de control en la medida en que constate que los Estados Unidos garantizan un nivel de protección adecuado y, por tanto, tenga el efecto de autorizar las transferencias de datos personales realizadas en el marco del Escudo de la Privacidad UEâ€ÂÂÂ?EE. UU. Así pues, mientras la referida Decisión no haya sido declarada inválida por el Tribunal de Justicia, la autoridad de control competente no puede suspender o prohibir una transferencia de datos personales a una entidad que se haya adherido a ese Escudo basándose en que considera, contrariamente a la apreciación efectuada por la Comisión en la mencionada Decisión, que la legislación de los Estados Unidos que regula el acceso a los datos personales transferidos en el marco del antedicho Escudo y el uso de esos datos por las autoridades públicas de ese país tercero a efectos de seguridad nacional, aplicación de la ley o de interés público no garantiza un nivel de protección adecuado.
157 No es menos cierto que, con arreglo a la jurisprudencia recordada en los apartados 119 y 120 de la presente sentencia, cuando una persona le presenta una reclamación, la autoridad de control competente debe apreciar con toda independencia si la transferencia de datos personales de que se trata cumple las exigencias establecidas por el RGPD y, en caso de que considere fundadas las alegaciones formuladas por esa persona para poner en entredicho la validez de una decisión de adecuación, interponer un recurso ante los tribunales nacionales para que estos planteen al Tribunal de Justicia una cuestión prejudicial sobre la validez de esa decisión.
158 En efecto, una reclamación presentada con arreglo al artículo 77, apartado 1, del RGPD, mediante la que una persona cuyos datos personales hayan sido o pudieran ser transferidos a un tercer país alegue que el Derecho y las prácticas de ese país no garantizan un nivel de protección adecuado, no obstante lo constatado por la Comisión en una decisión adoptada en virtud del artículo 45, apartado 3, de ese Reglamento, debe entenderse como concerniente en sustancia a la compatibilidad de esa decisión con la protección de la vida privada y de las libertades y derechos fundamentales de las personas (véase por analogía, por lo que respecta a los artículos 25, apartado 6, y 28, apartado 4, de la Directiva 95/46, la sentencia de 6 de octubre de 2015, Schrems, Câ€ÂÂÂ?362/14, EU:C:2015:650, apartado 59).
159 En el caso de autos, el Sr. Schrems solicitó, en esencia, al Comisario que prohibiese o suspendiese la transferencia de sus datos personales por Facebook Ireland a Facebook Inc., establecida en los Estados Unidos, aduciendo que ese país tercero no garantizaba un nivel de protección adecuado. Habida cuenta de que, a raíz de una investigación sobre las alegaciones del Sr. Schrems, el Comisario interpuso recurso ante el órgano jurisdiccional remitente, a este último, a la luz de las pruebas presentadas y del debate contradictorio desarrollado ante él, parecen haberle surgido preguntas acerca del fundamento de las dudas del Sr. Schrems por lo que respecta a la adecuación del nivel de protección garantizado por el mencionado país tercero, a pesar de las constataciones efectuadas entretanto por la Comisión en la Decisión EP, lo que ha llevado al referido órgano jurisdiccional a plantear al Tribunal de Justicia las cuestiones prejudiciales cuarta, quinta y décima.
160 Tal como ha señalado el Abogado General en el punto 175 de sus conclusiones, debe entenderse que esas cuestiones prejudiciales ponen, en esencia, en entredicho la constatación de la Comisión contenida en la Decisión EP de que los Estados Unidos garantizan un nivel de protección adecuado de los datos personales transferidos desde la Unión a ese tercer país y, por consiguiente, la validez de la antedicha Decisión.
161 Habida cuenta de las circunstancias señaladas en los apartados 121 y 157 a 160 de la presente sentencia y para dar una respuesta completa al órgano jurisdiccional remitente, es preciso apreciar si la Decisión EP se ajusta a las exigencias derivadas del RGPD entendido a la luz de la Carta (véase, por analogía, la sentencia de 6 de octubre de 2015, Schrems, Câ€ÂÂÂ?362/14, EU:C:2015:650, apartado 67).
162 La adopción por la Comisión de una decisión de adecuación en virtud del artículo 45, apartado 3, del RGPD requiere la constatación debidamente motivada por esa institución de que el tercer país considerado garantiza efectivamente, por su legislación interna o sus compromisos internacionales, un nivel de protección de los derechos fundamentales sustancialmente equivalente al garantizado en el ordenamiento jurídico de la Unión (véase por analogía, por lo que respecta al artículo 25, apartado 6, de la Directiva 95/46, la sentencia de 6 de octubre de 2015, Schrems, Câ€ÂÂÂ?362/14, EU:C:2015:650, apartado 96).
Sobre el contenido de la Decisión EP
163 La Comisión constató, en el artículo 1, apartado 1, de la Decisión EP, que los Estados Unidos garantizan un nivel adecuado de protección de los datos personales transferidos desde la Unión a entidades establecidas en los Estados Unidos en el marco del Escudo de la Privacidad UEâ€ÂÂÂ?EE. UU., el cual se compone, en particular, en virtud del artículo 1, apartado 2, de dicha Decisión, de los principios establecidos por el Departamento de Comercio de los Estados Unidos el 7 de julio de 2016, tal como se exponen en el anexo II de la referida Decisión, y de los compromisos y declaraciones oficiales recogidos en los documentos enumerados en los anexos I y III a VII de la misma Decisión.
164 No obstante, la Decisión EP precisa también, en el punto I.5 de su anexo II, titulado «Principios del marco del Escudo de la privacidad UEâ€ÂÂÂ?EE. UU.», que la adhesión a estos principios puede verse limitada, en particular, por «exigencias de seguridad nacional, interés público y cumplimiento de la Ley». Así pues, dicha Decisión reconoce, al igual que sucede con la Decisión 2000/520, la primacía de las referidas exigencias sobre los antedichos principios, primacía en virtud de la cual las entidades estadounidenses autocertificadas que reciban datos personales desde la Unión están obligadas sin limitación a dejar de aplicar esos principios cuando estos entren en conflicto con esas exigencias y se manifiesten por tanto incompatibles con ellas (véase por analogía, por lo que respecta a la Decisión 2000/520, la sentencia de 6 de octubre de 2015, Schrems, Câ€ÂÂÂ?362/14, EU:C:2015:650, apartado 86).
165 Dado su carácter general, la excepción prevista en el punto I.5 del anexo II de la Decisión EP hace posibles así injerencias, fundadas en exigencias concernientes a la seguridad nacional, el interés público y el cumplimiento de la ley de Estados Unidos, en los derechos fundamentales de las personas cuyos datos personales se transfieren o pudieran transferirse desde la Unión a Estados Unidos (véase por analogía, por lo que respecta a la Decisión 2000/520, la sentencia de 6 de octubre de 2015, Schrems, Câ€ÂÂÂ?362/14, EU:C:2015:650, apartado 87). Más concretamente, y tal como se ha constatado en la Decisión EP, las referidas injerencias pueden producirse como consecuencia del acceso a los datos personales transferidos desde la Unión a los Estados Unidos y de la utilización de esos datos por las autoridades públicas estadounidenses, en el marco de los programas de vigilancia PRISM y Upstream basados en el artículo 702 de la FISA y en la E.O. 12333.
166 En este contexto, en los considerandos 67 a 135 de la Decisión EP, la Comisión evaluó las limitaciones y las garantías previstas en la normativa de los Estados Unidos y, en particular, en el artículo 702 de la FISA, en la E.O. 12333 y en la PPD-28, por lo que atañe al acceso a los datos personales transferidos en el marco del Escudo de la Privacidad UEâ€ÂÂÂ?EE. UU. y a la utilización de esos datos por las autoridades públicas estadounidenses a efectos de seguridad nacional, aplicación de la ley y otros fines de interés general.
167 Al término de esa evaluación, la Comisión constató, en el considerando 136 de la referida Decisión, que «los Estados Unidos garantizan un nivel adecuado de protección de los datos personales transferidos desde la Unión a entidades autocertificadas [en los Estados Unidos]» y estimó, en el considerando 140 de la antedicha Decisión, que «sobre la base de la información disponible acerca del ordenamiento jurídico de los Estados Unidos, […] las injerencias de los poderes públicos de los Estados Unidos en los derechos fundamentales de las personas cuyos datos se transfieran desde la Unión a dicho país en el marco del Escudo de la privacidad a efectos de seguridad nacional, aplicación de la ley u otros fines de interés público, y las consiguientes restricciones impuestas a las entidades autocertificadas con respecto a su adhesión a los principios de privacidad, se limitarán a lo estrictamente necesario para alcanzar el objetivo legítimo perseguido, y que existe una tutela judicial efectiva frente a tales injerencias».
Sobre la constatación relativa al nivel de protección adecuado
168 Habida cuenta de los elementos mencionados por la Comisión en la Decisión EP y de los acreditados por el órgano jurisdiccional remitente en el marco del procedimiento principal, dicho órgano jurisdiccional alberga dudas acerca de si el Derecho de los Estados Unidos garantiza efectivamente el nivel de protección adecuado exigido en el artículo 45 del RGPD, interpretado a la luz de los derechos fundamentales garantizados en los artículos 7, 8 y 47 de la Carta. En particular, el referido órgano jurisdiccional considera que el Derecho de ese país tercero no prevé las limitaciones y las garantías necesarias con respecto a las injerencias autorizadas por su normativa nacional y tampoco garantiza una tutela judicial efectiva contra tales injerencias. En relación con este último aspecto, añade que la creación del Defensor del Pueblo en el ámbito del Escudo de la Privacidad no puede, a su entender, subsanar esas lagunas, ya que ese Defensor del Pueblo no puede asimilarse a un tribunal, en el sentido del artículo 47 de la Carta.
169 Por lo que atañe, en primer lugar, a los artículos 7 y 8 de la Carta, que forman parte del nivel de protección exigido dentro de la Unión y cuyo respeto debe ser constatado por la Comisión antes de que esta adopte una decisión de adecuación en virtud del artículo 45, apartado 1, del RGPD, debe recordarse que el artículo 7 de la Carta garantiza a toda persona el derecho al respeto de su vida privada y familiar, de su domicilio y de sus comunicaciones Por su parte, el artículo 8, apartado 1, de la Carta reconoce expresamente a toda persona el derecho a la protección de los datos de carácter personal que le conciernan.
170 Así pues, el acceso a los datos personales de una persona física para su conservación o su utilización afecta al derecho fundamental de dicha persona al respeto de la vida privada, garantizado en el artículo 7 de la Carta, derecho que atañe a toda información relativa a una persona física identificada o identificable. Además, los antedichos tratamientos de datos también están comprendidos dentro del ámbito del artículo 8 de la Carta porque constituyen tratamientos de datos de carácter personal en el sentido del referido artículo y, en consecuencia, deben cumplir necesariamente los requisitos de protección de los datos previstos en él [véanse, en este sentido, las sentencias de 9 de noviembre de 2010, Volker und Markus Schecke y Eifert, Câ€ÂÂÂ?92/09 y Câ€ÂÂÂ?93/09, EU:C:2010:662, apartados 49 y 52; de 8 de abril de 2014, Digital Rights Ireland y otros, Câ€ÂÂÂ?293/12 y Câ€ÂÂÂ?594/12, EU:C:2014:238, apartado 29, y el dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017, EU:C:2017:592, apartados 122 y 123].
171 El Tribunal de Justicia ya ha declarado que la comunicación de datos de carácter personal a un tercero, como una autoridad pública, constituye una injerencia en los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta, cualquiera que sea la utilización posterior de la información comunicada. Lo mismo puede decirse de la conservación de los datos de carácter personal y del acceso a esos datos con vistas a su utilización por parte de las autoridades públicas, con independencia de que la información relativa a la vida privada de que se trate tenga o no carácter sensible o de que los interesados hayan sufrido o no inconvenientes en razón de tal injerencia [véanse, en este sentido, las sentencias de 20 de mayo de 2003, Österreichischer Rundfunk y otros, Câ€ÂÂÂ?465/00, Câ€ÂÂÂ?138/01 y Câ€ÂÂÂ?139/01, EU:C:2003:294, apartados 74 y 75; de 8 de abril de 2014, Digital Rights Ireland y otros, Câ€ÂÂÂ?293/12 y Câ€ÂÂÂ?594/12, EU:C:2014:238, apartados 33 a 36, y el dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017, EU:C:2017:592, apartados 124 y 126].
172 No obstante, los derechos consagrados en los artículos 7 y 8 de la Carta no constituyen prerrogativas absolutas, sino que deben considerarse según su función en la sociedad [véanse, en este sentido, las sentencias de 9 de noviembre de 2010, Volker und Markus Schecke y Eifert, Câ€ÂÂÂ?92/09 y Câ€ÂÂÂ?93/09, EU:C:2010:662, apartado 48 y jurisprudencia citada; de 17 de octubre de 2013, Schwarz, Câ€ÂÂÂ?291/12, EU:C:2013:670, apartado 33 y jurisprudencia citada, y el dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017, EU:C:2017:592, apartado 136].
173 A este respecto, debe asimismo ponerse de relieve que, a tenor del artículo 8, apartado 2, de la Carta, los datos de carácter personal deben tratarse, en particular, «para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley».
174 Asimismo, conforme al artículo 52, apartado 1, primera frase, de la Carta, cualquier limitación del ejercicio de los derechos y libertades reconocidos por esta deberá ser establecida por la ley y respetar el contenido esencial de dichos derechos y libertades. Según el artículo 52, apartado 1, segunda frase, de la Carta, dentro del respeto del principio de proporcionalidad, solo podrán introducirse limitaciones a dichos derechos y libertades cuando sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás.
175 Cabe añadir, sobre este último aspecto, que el requisito de que cualquier limitación del ejercicio de los derechos fundamentales deba ser establecida por ley implica que la base legal que permita la injerencia en dichos derechos debe definir ella misma el alcance de la limitación del ejercicio del derecho de que se trate [dictamen 1/15 (Acuerdo PNR UEâ€ÂÂÂ?Canadá), de 26 de julio de 2017, EU:C:2017:592, apartado 139 y jurisprudencia citada].
176 Finalmente, para cumplir el requisito de proporcionalidad según el cual las excepciones a la protección de los datos personales y las limitaciones de esa protección no deben exceder de lo estrictamente necesario, la normativa controvertida que conlleve la injerencia debe establecer reglas claras y precisas que regulen el alcance y la aplicación de la medida en cuestión e impongan unas exigencias mínimas, de modo que las personas cuyos datos se hayan transferido dispongan de garantías suficientes que permitan proteger de manera eficaz sus datos de carácter personal contra los riesgos de abuso. En particular, dicha normativa deberá indicar en qué circunstancias y con arreglo a qué requisitos puede adoptarse una medida que contemple el tratamiento de tales datos, garantizando así que la injerencia se limite a lo estrictamente necesario. La necesidad de disponer de tales garantías reviste especial importancia cuando los datos personales se someten a un tratamiento automatizado [véase, en este sentido, el dictamen 1/15 (Acuerdo PNR UEâ€ÂÂÂ?Canadá), de 26 de julio de 2017, EU:C:2017:592, apartados 140 y 141 y jurisprudencia citada).
177 A tal efecto, el artículo 45, apartado 2, letra a), del RGPD precisa que, en el marco de su evaluación de la adecuación del nivel de protección garantizado por un país tercero, la Comisión tendrá en cuenta, en particular, «el reconocimiento a los interesados cuyos datos personales estén siendo transferidos de derechos efectivos y exigibles».
178 En el caso de autos, la constatación llevada a cabo por la Comisión en la Decisión EP según la cual los Estados Unidos garantizan un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión por el RGPD, interpretado a la luz de los artículos 7 y 8 de la Carta, ha sido puesta en entredicho fundándose, en particular, en que las injerencias resultantes de los programas de vigilancia basados en los artículos 702 de la FISA y en la E.O. 12333 no están supuestamente sujetas a exigencias que garanticen, dentro del respeto del principio de proporcionalidad, un nivel de protección sustancial equivalente al garantizado por el artículo 52, apartado 1, segunda frase, de la Carta. Por tanto, es preciso examinar si esos programas de vigilancia se aplican respetando tales exigencias, sin que sea necesario comprobar previamente el respeto por ese país tercero de requisitos sustancialmente equivalentes a los previstos en el artículo 52, apartado 1, primera frase, de la Carta.
179 A este respecto, por lo que atañe a los programas de vigilancia basados en el artículo 702 de la FISA, la Comisión constató, en el considerando 109 de la Decisión EP, que, con arreglo al antedicho artículo, «el FISC no autoriza medidas de vigilancia individuales, sino programas de vigilancia (como PRISM o Upstream) sobre la base de certificaciones anuales elaboradas por el fiscal general y el director de Inteligencia Nacional». Tal como se desprende de este considerando, el control ejercido por el FISC tiene por objeto comprobar si esos programas de vigilancia se atienen a la finalidad de obtener información en materia de inteligencia exterior, pero no tiene por objeto determinar «si [las personas objetivo seleccionadas son adecuadas] para recabar información de inteligencia exterior».
180 Por tanto, resulta evidente que del artículo 702 de la FISA en modo alguno se desprende la existencia de limitaciones a la habilitación que dicho artículo otorga para la ejecución de programas de vigilancia con fines de inteligencia exterior ni tampoco la existencia de garantías para las personas no nacionales de los Estados Unidos que sean potencialmente objeto de esos programas. En estas circunstancias, tal como el Abogado General señaló, en esencia, en los puntos 291, 292 y 297 de sus conclusiones, el referido artículo no puede garantizar un nivel de protección sustancialmente equivalente al garantizado por la Carta, tal y como esta ha sido interpretada por la jurisprudencia recordada en los apartados 175 y 176 de la presente sentencia, conforme a la cual una base legal que permita injerencias en los derechos fundamentales, para cumplir el principio de proporcionalidad, debe definir ella misma el alcance de la limitación del ejercicio del derecho de que se trate y establecer reglas claras y precisas que regulen el alcance y la aplicación de la medida en cuestión e impongan unas exigencias mínimas.
181 Según las constataciones contenidas en la Decisión EP, es cierto que los programas de vigilancia basados en el artículo 702 de la FISA deben aplicarse respetando las exigencias resultantes de la PPD-28. Sin embargo, aunque la Comisión subrayó, en los considerandos 69 y 77 de la Decisión EP, que esas exigencias son vinculantes para los servicios de inteligencia estadounidenses, el Gobierno estadounidense ha admitido, en respuesta a una pregunta del Tribunal de Justicia, que la PPD-28 no confiere a los interesados derechos exigibles a las autoridades estadounidenses ante los tribunales. Por tanto, esta no puede garantizar un nivel de protección sustancialmente equivalente al resultante de la Carta, contrariamente a lo que exige el artículo 45, apartado 2, letra a), del RGPD, según el cual la constatación de dicho nivel de protección depende, en particular, de la existencia de derechos efectivos y exigibles que sean reconocidos a los interesados cuyos datos personales hayan sido transferidos al país tercero de que se trate.
182 Por lo que respecta a los programas de vigilancia basados en la E.O. 12333, de los autos en poder del Tribunal de Justicia se deprende que este decreto tampoco confiere derechos exigibles a las autoridades estadounidenses ante los tribunales.
183 Es preciso añadir que la PPD-28, que debe respetarse en el marco de la aplicación de los programas a los que se hace referencia en los dos apartados anteriores, permite proceder a una «recopilación “en bloque” […] de una cantidad relativamente grande de información o datos de inteligencia de señales en circunstancias en las que los servicios de inteligencia no puedan utilizar un identificador asociado a un criterio de selección específico […] para orientar la recopilación», tal como se precisa en la carta de 21 de junio de 2016 de la Oficina del Director de Inteligencia Nacional (Office of the Director of National Intelligence) al Departamento de Comercio de los Estados Unidos y a la Administración del Comercio Internacional, recogida en el anexo VI de la Decisión EP. Pues bien, esta posibilidad, que permite, en el marco de los programas de vigilancia basados en la E.O. 12333, acceder a datos en tránsito hacia los Estados Unidos sin que dicho acceso sea objeto de ningún control judicial, no regula, en cualquier caso, de manera suficientemente clara y precisa el alcance de la antedicha recopilación en bloque de datos personales.
184 Por tanto, resulta evidente que ni el artículo 702 de la FISA ni la E.O. 12333, interpretados en relación con la PPD-28, satisfacen las exigencias mínimas establecidas por el Derecho de la Unión con respecto al principio de proporcionalidad, de modo que no puede considerarse que los programas de vigilancia basados en esas disposiciones se limiten a lo estrictamente necesario.
185 En estas circunstancias, las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización, por las autoridades estadounidenses, de los datos transferidos desde la Unión a los Estados Unidos, que la Comisión evaluó en la Decisión EP, no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas, en el Derecho de la Unión, en el artículo 52, apartado 1, segunda frase, de la Carta.
186 Por lo que atañe, en segundo lugar, al artículo 47 de la Carta, que forma parte también del nivel de protección exigido dentro de la Unión cuyo respeto debe ser constatado por la Comisión antes de adoptar una decisión de adecuación en virtud del artículo 45, apartado 1, del RGPD, debe recordarse que el primer párrafo del referido artículo 47 requiere que toda persona cuyos derechos y libertades garantizados por el Derecho de la Unión hayan sido violados tenga derecho a la tutela judicial efectiva respetando las condiciones establecidas en el mencionado artículo. A tenor del párrafo segundo del antedicho artículo, toda persona tiene derecho a que su causa sea oída por un juez independiente e imparcial.
187 Según reiterada jurisprudencia, la existencia misma de un control jurisdiccional efectivo para garantizar el cumplimiento de las disposiciones del Derecho de la Unión es inherente a la existencia de un Estado de Derecho. Así, una normativa que no prevé posibilidad alguna de que el justiciable ejerza acciones en Derecho para acceder a los datos personales que le conciernen o para obtener su rectificación o supresión no respeta el contenido esencial del derecho fundamental a la tutela judicial efectiva que reconoce el artículo 47 de la Carta (sentencia de 6 de octubre de 2015, Schrems, Câ€ÂÂÂ?362/14, EU:C:2015:650, apartado 95 y jurisprudencia citada).
188 A tal efecto, el artículo 45, apartado 2, letra a), del RGPD exige que, en el marco de su evaluación de la adecuación del nivel de protección garantizado por un país tercero, la Comisión tenga en cuenta, en particular, «el reconocimiento a los interesados cuyos datos personales estén siendo transferidos de […] recursos administrativos y acciones judiciales que sean efectivos». El considerando 104 del RGPD subraya, a este respecto, que el tercer país «debe garantizar que haya un control verdaderamente independiente de la protección de datos y establecer mecanismos de cooperación con las autoridades de protección de datos de los Estados miembros» y precisa que se debe «reconocer a los interesados derechos efectivos y exigibles y acciones administrativas y judiciales efectivas».
189 La existencia de posibilidades efectivas de acciones administrativas y judiciales en el país tercero de que se trate tiene una especial importancia en el contexto de una transferencia de datos personales a ese país tercero, en la medida en que, tal como se desprende del considerando 116 del RGPD, los interesados pueden verse confrontados a la insuficiencia de las facultades y medios de las autoridades administrativas y judiciales de los Estados miembros a la hora de dar curso eficazmente a sus reclamaciones basadas en un tratamiento supuestamente ilegal, en ese país tercero, de los datos de ese modo transferidos, lo que puede obligarles a dirigirse a las autoridades y órganos jurisdiccionales de ese mismo país tercero.
190 En el caso de autos, la constatación realizada por la Comisión en la Decisión EP, según la cual los Estados Unidos garantizan un nivel de protección sustancialmente equivalente al garantizado en el artículo 47 de la Carta, fue puesta en entredicho basándose, en particular, en que la creación del Defensor del Pueblo en el ámbito del Escudo de la Privacidad no puede subsanar las lagunas constatadas por la propia Comisión por lo que respecta a la tutela judicial de las personas cuyos datos personales son transferidos a ese país tercero.
191 A este respecto, la Comisión ha señalado, en el considerando 115 de la Decisión EP, que, si bien «las personas, incluidos los interesados de la [Unión], disponen […] de una serie de vías de recurso cuando han sido objeto de vigilancia (electrónica) no autorizada a efectos de seguridad nacional, también es evidente que no están cubiertas todas las bases jurídicas que pueden invocar los servicios de inteligencia estadounidenses (por ejemplo, [la] EO 12333)». Por tanto, por lo que atañe a la E.O. 12333, la Comisión hizo hincapié, en el referido considerando 115, en la inexistencia de vías de recurso. Pues bien, según la jurisprudencia recordada en el apartado 187 de la presente sentencia, una laguna de ese tipo en la tutela judicial con respecto a las injerencias ligadas a los programas de inteligencia basados en el mencionado decreto presidencial impide que pueda concluirse, como hizo la Comisión en la Decisión EP, que el Derecho de los Estados Unidos garantiza un nivel de protección sustancialmente equivalente al garantizado en el artículo 47 de la Carta.
192 Asimismo, en lo que respecta tanto a los programas de vigilancia basados en el artículo 702 de la FISA como a los basados en la E.O. 12333, se ha señalado en los apartados 181 y 182 de la presente sentencia que ni la PPD-28 ni la E.O. 12333 confieren a los interesados derechos exigibles a las autoridades estadounidenses ante los tribunales, de modo que esas personas no disponen de tutela judicial efectiva.
193 Sin embargo, la Comisión observó, en los considerandos 115 y 116 de la Decisión EP, que, debido a la existencia del mecanismo del Defensor del Pueblo establecido por las autoridades estadounidenses, tal como se describe en la carta del secretario de Estado estadounidense a la comisaria europea de Justicia, Consumidores e Igualdad de Género, de 7 de julio de 2016, contenida en el anexo III de la antedicha Decisión, y a la naturaleza de la misión encomendada al Defensor del Pueblo, en este caso, como «coordinador superior de la diplomacia internacional en materia de tecnología de la información», podía considerarse que los Estados Unidos garantizan un nivel de protección sustancialmente equivalente al garantizado en el artículo 47 de la Carta.
194 El examen de la cuestión de si el mecanismo del Defensor del Pueblo contemplado en la Decisión EP puede efectivamente subsanar las limitaciones del derecho a la tutela judicial constatadas por la Comisión debe, con arreglo a las exigencias que se derivan del artículo 47 de la Carta y de la jurisprudencia recordada en el apartado 187 de la presente sentencia, partir del principio de que los justiciables han de tener la posibilidad de ejercer acciones en Derecho ante un tribunal independiente e imparcial para acceder a los datos personales que les conciernen o para obtener su rectificación o supresión.
195 Pues bien, en la carta mencionada en el apartado 193 de la presente sentencia, aunque se describe al defensor del pueblo en el ámbito del Escudo de la Privacidad como «independiente de los servicios de inteligencia», se dice que «informará directamente al secretario de Estado, que garantizará que aquel desempeñe sus funciones de manera objetiva y sin ninguna influencia indebida que pueda afectar a la respuesta que debe proporcionarse». Asimismo, aparte del hecho de que, como ha observado la Comisión en el considerando 116 de la Decisión EP, el defensor del pueblo es nombrado por el secretario de Estado y forma parte integrante del Departamento de Estado, no existe, en la referida Decisión, como ha señalado el Abogado General en el punto 337 de sus conclusiones, ninguna indicación de que la destitución del defensor del pueblo o la anulación de su nombramiento vengan acompañadas de garantías específicas, lo que pone en entredicho la independencia del Defensor del Pueblo con respecto al poder ejecutivo (véase, en este sentido, la
196 Asimismo, tal como ha subrayado el Abogado General en el punto 338 de sus conclusiones, si bien el considerando 120 de la Decisión EP pone de manifiesto un compromiso del Gobierno estadounidense a que el servicio de inteligencia en cuestión esté obligado a corregir cualquier infracción de las normas aplicables detectada por el defensor del pueblo en el ámbito del Escudo de la Privacidad, dicha Decisión no contiene ninguna indicación de que dicho defensor del pueblo esté facultado para adoptar decisiones vinculantes con respecto a esos servicios ni tampoco menciona ninguna garantía legal que acompañe a ese compromiso y pueda ser invocada por los interesados.
197 Por tanto, el mecanismo del Defensor del Pueblo contemplado en la Decisión EP no proporciona ninguna vía de recurso ante un órgano que ofrezca a las personas cuyos datos se transfieren a los Estados Unidos garantías sustancialmente equivalentes a las exigidas en el artículo 47 de la Carta.
198 Por consiguiente, al declarar, en el artículo 1, apartado 1, de la Decisión EP, que los Estados Unidos garantizan un nivel adecuado de protección de los datos personales transferidos desde la Unión a entidades establecidas en ese país tercero en el marco del Escudo de la Privacidad UEâ€ÂÂÂ?EE. UU., la Comisión no tuvo en cuenta las exigencias resultantes del artículo 45, apartado 1, del RGPD, interpretado a la luz de los artículos 7, 8 y 47 de la Carta.
199 De lo anterior se desprende que el artículo 1 de la Decisión EP es incompatible con el artículo 45, apartado 1, del RGPD, interpretado a la luz de los artículos 7, 8 y 47 de la Carta, y que es, por ello, inválido.
200 Toda vez que el artículo 1 de la Decisión EP es indisociable de los artículos 2 a 6 y de los anexos de esta, su invalidez tiene el efecto de afectar a la validez de esa Decisión en su conjunto.
201 Habida cuenta de todas las consideraciones anteriores, debe concluirse que la Decisión EP es inválida.
202 Por lo que respecta a si es preciso mantener los efectos de la antedicha Decisión para evitar la creación de un vacío legal (véase, en este sentido, la sentencia de 28 de abril de 2016, Borealis Polyolefine y otros, Câ€ÂÂÂ?191/14, Câ€ÂÂÂ?192/14, Câ€ÂÂÂ?295/14, Câ€ÂÂÂ?389/14 y Câ€ÂÂÂ?391/14 a Câ€ÂÂÂ?393/14, EU:C:2016:311, apartado 106), debe señalarse que, en cualquier caso, habida cuenta del artículo 49 del RGPD, la anulación de una decisión de adecuación como la Decisión EP no crea tal vacío legal. En efecto, el antedicho artículo establece, de manera precisa, las condiciones en las que pueden tener lugar transferencias de datos personales a países terceros en ausencia de una decisión de adecuación en virtud del artículo 45, apartado 3, del referido Reglamento o de garantías adecuadas con arreglo al artículo 46 del mismo Reglamento.
Costas
203 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional nacional, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.
En virtud de todo lo expuesto, el Tribunal de Justicia (Gran Sala) declara:
1) El artículo 2, apartados 1 y 2, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), debe interpretarse en el sentido de que está comprendida dentro del ámbito de aplicación de ese Reglamento una transferencia de datos personales realizada con fines comerciales por un operador económico establecido en un Estado miembro a otro operador económico establecido en un país tercero, a pesar de que, en el transcurso de esa transferencia o tras ella, esos datos puedan ser tratados por las autoridades del país tercero en cuestión con fines de seguridad nacional, defensa y seguridad del Estado.
2) El artículo 46, apartados 1 y apartado 2, letra c), del Reglamento 2016/679 debe interpretarse en el sentido de que las garantías adecuadas, los derechos exigibles y las acciones legales efectivas requeridas por dichas disposiciones deben garantizar que los derechos de las personas cuyos datos personales se transfieren a un país tercero sobre la base de cláusulas tipo de protección de datos gozan de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión Europea por el referido Reglamento, interpretado a la luz de la Carta de los Derechos Fundamentales de la Unión Europea. A tal efecto, la evaluación del nivel de protección garantizado en el contexto de una transferencia de esas características debe, en particular, tomar en consideración tanto las estipulaciones contractuales acordadas entre el responsable o el encargado del tratamiento establecidos en la Unión Europea y el destinatario de la transferencia establecido en el país tercero de que se trate como, por lo que atañe a un eventual acceso de las autoridades públicas de ese país tercero a los datos personales de ese modo transferidos, los elementos pertinentes del sistema jurídico de dicho país y, en particular, los mencionados en el artículo 45, apartado 2, del referido Reglamento.
3) El artículo 58, apartado 2, letras f) y j), del Reglamento 2016/679 debe interpretarse en el sentido de que, a no ser que exista una decisión de adecuación válidamente adoptada por la Comisión Europea, la autoridad de control competente está obligada a suspender o prohibir una transferencia de datos a un país tercero basada en cláusulas tipo de protección de datos adoptadas por la Comisión, cuando esa autoridad de control considera, a la luz de todas las circunstancias específicas de la referida transferencia, que dichas cláusulas no se respetan o no pueden respetarse en ese país tercero y que la protección de los datos transferidos exigida por el Derecho de la Unión, en particular, por los artículos 45 y 46 del mencionado Reglamento y por la Carta de los Derechos Fundamentales, no puede garantizarse mediante otros medios, si el responsable o el encargado del tratamiento establecidos en la Unión no han suspendido la transferencia o puesto fin a esta por sí mismos.
4) El examen de la Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, en su versión modificada por la Decisión de Ejecución (UE) 2016/2297 de la Comisión, de 16 de diciembre de 2016, a la luz de los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales no ha puesto de manifiesto la existencia de ningún elemento que pueda afectar a la validez de dicha Decisión.
5) La Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la Privacidad UEâ€ÂÂÂ?EE. UU., es inválida.
Firmas
* Lengua de procedimiento: inglés.