RESUMEN
Este artículo, tras una breve referencia a los arts. 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea y a la forma en la que ambos preceptos han sido interpretados en la primera etapa de la jurisprudencia del Tribunal de Luxemburgo, se centrará en la argumentación realizada por el Tribunal en los casos a examen. El artículo destacará, en especial, el papel jugado por las disposiciones de la Carta en la argumentación de los magistrados y su impacto en las decisiones finales adoptadas por el Tribunal. Las conclusiones analizarán las consecuencias que parecen derivarse de la ponderación hecha por el Tribunal de Justicia cuando se centra en el ámbito digital en lugar del analógico, que se traducen en una reducción del nivel de protección de ciertos derechos fundamentales.
Palabras clave: Privacy digital; Carta de los Derechos Fundamentales de la Unión Europea; razonamiento jurídico; diálogo judicial;
ABSTRACT
This article, after a brief reference to Articles 7 and 8 of the Charter of fundamental rights of the European Union and to the manner in which such provisions were interpreted in the first stage of the case law of the Court of Luxembourg, focuses on the reasoning of the Court in the decisions under examination. The article highlights, in particular, the role played by the provisions of the Charter in the reasoning of the judges and its impact on the final decisions taken by the Court. The concluding remarks then analyze the consequences which seem to derive from the assessment made by the Court of Justice, when it focuses on the digital domain instead of the analog, which translate into a reduction in the level of protection of certain fundamental rights.
Keywords: Digital privacy; Charter of Fundamental Rights of the European Union; legal reasoning; judicial dialogue;
SUMARIO
«As legislative inertia and European democratic failings are good reasons for judicial activism, by contrast, when democracy advances and politics assert its claims, judges are bound to take a step back» (Pollicino, O. (2004). Legal reasoning of the Court of Justice in the Context of Principle of Equality between Judicial Activism and Self-restraint. German Law Journal, 5 (3), 283-317.Pollicino, 2004: 283). Hace diez años escribí esto en relación a un ámbito temático (aparentemente) lejano al de la tutela de los derechos fundamentales en la era digital. Pero a pesar del tiempo y de la distancia conceptual, esa observación ya apuntaba, entre otras, las carencias de la construcción que realiza el Tribunal de Justicia cuando trata de elaborar, como se observa acertadamente, «a constitutional doctrine by a common law method» (Posner, R. (1996). Law and Legal Theory in England and America. Oxford: Clarendon Press.Posner, 1996). En todas las ocasiones en las que los Estados miembros se muestran recelosos a avanzar hacia el enriquecimiento del acquis comunitario por la vía legislativa, aparece el Tribunal y se viste, con cierta alegría, todo hay que decirlo, con las ropas del judge made law para acelerar el proceso mediante su jurisprudencia. Algo así es lo que ha sucedido en relación a las últimas evoluciones que han experimentado los mecanismos de protección de los datos personales que plantea el ordenamiento comunitario.
Desde hace años, a nivel intergubernamental, se decidió que era necesario dar un paso adelante en cuanto al nivel de protección de la privacy europea, así como que resultaba indispensable adoptar un instrumento de alcance general directamente vinculante y obligatorio en todos sus términos que condujese a una mayor uniformidad de las regulaciones de los Estados miembros y adecuase los mecanismos de protección de los datos personales al contexto digital que, obviamente, no era el ámbito de referencia cuando se adoptó la Directiva 46/95. Sin embargo, el destino del Reglamento general sobre protección de datos personales, cuyo trámite de aprobación, como es lógico, se aceleró tras la intervención del Tribunal de Justicia en las dos decisiones que aquí se comentan, aparecía vinculado a la superación de una serie de vetos cruzados de difícil resolución.
Ante esta situación de estancamiento, los magistrados comunitarios respondieron de forma decisiva con dos decisiones entre abril y mayo de 2014, en las que parece entreverse la clara voluntad, por su parte, de abordar más en serio (¿quizá demasiado?) la protección de un nuevo digital right to privacy. En otras palabras, se trata de un intento del Tribunal de Justicia de adecuar a las características técnicas del «mundo del bit», manteniendo la legislación, ese Right to Privacy sobre el que Warren y Brandeis teorizaron por primera vez en 1890 en la Harvard Law Review, pensando, obviamente, en un «mundo de átomos». Un derecho a la privacy digital que los magistrados de Luxemburgo fundamentan en su núcleo, aunque no se diga explícitamente, en dos pilares constituidos por los derechos al respeto de la vida privada y al tratamiento de los propios datos personales, recogidos, respectivamente, en los arts. 7[1] y 8[2] de la Carta de los Derechos Fundamentales de la Unión Europea[3].
En el primer fallo, los magistrados de Luxemburgo anularon, por contradecir algunas de las previsiones de la Carta de los Derechos Fundamentales de la Unión Europea, la Directiva de 2006[4] sobre conservación de datos (también llamada data retention)[5], mientras que en el segundo responsabilizaron a los motores de búsqueda de la obligación de eliminar, con ciertas condiciones y bajo petición expresa del recurrente, aquellos links a páginas de Internet que contengan datos que pudieran vulnerar el llamado derecho al olvido de aquellos sujetos cuya información personal, de carácter particularmente sensible, permanezca en la red por un periodo de tiempo significativo[6].
En el caso de ambas decisiones, el terreno de juego viene definido por los procesos
de desterritorialización, desestatalización y desmaterialización que conforman, quizá,
el resultado más inmediato y, paradójicamente, más «tangible» de la revolución digital
(Pascuzzi, G. (2002). Il diritto dell’era digitale. Bologna: Il Mulino.Pascuzzi, 2002). Y, en ambos fallos, la perspectiva principal a través de la cual el Tribunal de
Luxemburgo explora ese terreno es la relativa al impacto del factor tecnológico sobre
el nivel de protección de los derechos fundamentales implicados, respecto de los que
se debate el cuándo y el cómo de las posibles limitaciones que estos pueden sufrir
a causa de las nuevas modalidades de vigilancia e indexación derivadas del desarrollo
de la tecnología digital (Costanzo, P. (2012). Il fattore tecnologico e le sue conseguenze, Convención anual de la AIC, «Costituzionalismo e Globalizzazione», Salerno, 23-24 de noviembre de 2012. Disponible en:
Para ello, tras una breve referencia al contenido de los arts. 7 y 8 de la Carta y a la interpretación que al respecto realizó el Tribunal de Luxemburgo en una primera fase, anterior a los dos fallos objeto de análisis, el trabajo se concentrará en el reasoning de estos últimos, poniendo de manifiesto especialmente el papel jugado por ciertas disposiciones de la Carta que apenas se citan en la argumentación o en el contenido final de las decisiones. Las reflexiones finales se orientarán, por su parte, a las consecuencias que parecen derivarse de la distinta ponderación que realiza el Tribunal de Justicia cuando el campo de juego cambia del contexto analógico al digital, y que se concretan en la reducción del nivel de protección de algunos de los derechos en juego.
Si se quisiera identificar cuál de las disposiciones previstas en los arts. 7 y 8 está dotada de un contenido más innovador, no cabe duda de que se trata de la previsión de un derecho a la protección de los datos personales sancionada por el art. 8[7]. En la práctica, y a pesar del intento de la interpretación anexa a la Carta[8] de restringir su contenido a una mera reproducción del acquis existente[9], el art. 8 resulta significativamente novedoso. Porque no solo consigue «constitucionalizar» el derecho a la protección de los datos personales, sino que además, especialmente, lo desvincula definitivamente de esa dimensión económica, propia de la consolidación del mercado interior, que caracterizaba, al menos ab origine, el contenido normativo de la Directiva 95/46[10]. Ciertamente, con la entrada en vigor del Tratado de Lisboa y la atribución de carácter vinculante a la Carta de Niza, esta tutela paraconstitucional del derecho a la protección de los datos personales pasó a recogerse de manera conjunta tanto en esta como en el primer inciso del art. 16 TFUE[11], pero no por ello puede dejar de subrayarse, a este respecto, la labor pionera que ha desempeñado desde 2001 el art. 8 de la Carta[12], por, entre otras cosas, «constitucionalizar» también la figura de la Autoridad para la protección de los datos personales como un ente único entre las autoridades independientes.
En la jurisprudencia del Tribunal anterior al terrible «uno/dos» de Luxemburgo que constituyen las decisiones sobre data retention y derecho al olvido, puede identificarse una doble caracterización en lo que respecta al objeto de esta investigación.
Por una parte, la jurisprudencia relevante se define por una aproximación que se podría denominar omnicomprensiva a la protección de la privacy que se concreta, a su vez, mediante un empleo cumulativo de los arts. 7 y 8 de la Carta, sin que se pueda apreciar con claridad la autonomía conceptual del derecho a la protección de los datos personales en relación al clásico derecho al respeto de la vida privada. Por otra parte, al plantearse la cuestión de las limitaciones legítimas a los derechos previstos en los arts. 7 y 8 y, por tanto, la posible aplicación del art. 52 de la Carta[13], los magistrados comunitarios nunca han distinguido, hasta las decisiones de estos últimos meses, los dos perfiles que presenta la cuestión que ahora se invoca: por un lado, el relativo a la aplicación del principio de proporcionalidad, y por otro, el que respecta a la vulneración del contenido esencial de los derechos en juego.
En relación a la primera de las dos tendencias que se acaban de describir, constituye un ejemplo bastante significativo la Sentencia Shelcke de 2010[14], en la que los magistrados comunitarios afirmaron textualmente que «se debe señalar, por un lado, que el respeto del derecho a la vida privada en relación al tratamiento de datos personales, reconocido en los arts. 7 y 8 de la Carta, se refiere a cualquier información relativa a una persona física identificada o identificable […] y, por otro, que las limitaciones que pueden establecerse legítimamente al derecho a la protección de los datos personales corresponden con aquellas toleradas en el ámbito del art. 8 CEDH (par. 52)».
Bien visto, esta mención que se hace al art. 8 CEDH muestra cómo el derecho a la protección de datos ha sido considerado simplemente como un apéndice accesorio del derecho al respeto de la vida privada previsto en el art. 7 de la Carta y, en particular, ha sido interpretado como un derecho a la predeterminación informativa que no puede olvidar la Informationelle Selbsbestimmung de raíz alemana[15].
Sin embargo, esto no parece corresponderse del todo con las intenciones de los redactores de la Carta de Niza. De hecho, mientras que, como ya se sabe, el concepto de predeterminación informativa gira alrededor de la obtención del consentimiento para el tratamiento, cuando se concibió la formulación del art. 8 se quiso separar, al menos en algunos casos, el tratamiento de los datos del consentimiento inicial del titular del derecho[16]. Tal y como se ha apuntado acertadamente, el art. 8 refleja un acquis comunitario en materia de protección de datos que «looks beyond consent only and create a system of checks and balances which ensures lawful processing also without asking the consent of the person involved» (Kranenborg, H. (2014). Protection of Personal Data. En S. Peers, T. Harvey, J. Kenner y A. Ward (eds.). The EU Charter of Fundamental Rights: A Commentary (cap. 8). Oxford: Hart Publishing.Kranenborg, 2014: 229).
Así, en orden cronológico, lo primero a tener en cuenta en la decisión sobre data retention es que los magistrados comunitarios, innovando respecto a la jurisprudencia anterior, parecen por una parte más favorables a considerar la relevancia por separado de los dos derechos previstos en los arts. 7 y 8 de la Carta[17]; y lo segundo es que se plantea una distinción bastante clara entre, por un lado, lo que es la vulneración del contenido esencial de estos derechos por parte del acto de derecho derivado objeto de examen[18], y, por otro, aquello que tiene que ver con el examen de la proporcionalidad de las medidas recogidas en la propia Directiva para lograr los objetivos previstos de tutela del orden público y lucha contra el terrorismo. Medidas, estas últimas, consideradas por el Tribunal de Luxemburgo como excesivamente intrusivas en los límites de los derechos al respecto a la vida privada y a la protección de los datos personales.
Antes de entrar en los elementos específicos de ambas cuestiones, es importante identificar cuál es el núcleo duro de relevancia constitucional que caracteriza el caso objeto de examen, que aparece magistralmente descrito en las palabras del abogado general Cruz Villalón cuando apunta que:
En la causa examinada se ha planteado en dos ocasiones ante el Tribunal[19] por la vía prejudicial una cuestión relativa a la validez de la Directiva 2006/24/CE, lo que le permite pronunciarse sobre las condiciones en las que es constitucionalmente posible para la Unión Europea regular una limitación al ejercicio de los derechos fundamentales, en el sentido del art. 52, párrafo 1, de la Carta de los Derechos Fundamentales de la Unión Europea, a través de una directiva y sus correlativos actos nacionales de recepción[20].
Y los magistrados de Luxemburgo no dejaron escapar tan golosa ocasión y decidieron, por primera vez en la historia del proceso de integración europea, y tal y como se preveía, anular un acto de derecho derivado de la Unión a causa de su contradicción con el bill of rights europeo, esa Carta de los Derechos Fundamentales que, en el supuesto en cuestión, se utiliza (aunque no únicamente, como se expondrá en la conclusión) como parámetro de constitucionalidad por parte de un Tribunal que, sin renunciar del todo a su ADN internacionalista a pesar de que con el tiempo este ha recibido una dosis masiva de supranacionalidad, muestra una mal disimulada vocación de juez paraconstitucional y, como tal, de custodio de la legalidad, en términos constitucionales, en Europa.
Hay que tener en cuenta que no es casualidad que un capítulo histórico en la jurisprudencia de matriz constitucional desarrollada por el Tribunal de Justicia se haya escrito en referencia a un ámbito sustancial como el regulado en la Directiva 2006/24, que ya en un caso anterior se había librado de las cuchillas del propio Tribunal porque, entonces, el petitum se fundamentó en un supuesto error en la base jurídica de la norma en lugar de hacerlo en la falta de tutela de los derechos fundamentales en juego[21].
Si bien es cierto que el objeto de regulación de la Directiva en cuestión deriva directamente de ese securization ethos que surgió como reacción inmediata a los ataques del 11 de septiembre de 2011, sus raíces originarias se encuentran en la progresiva importancia que, en el ordenamiento de la Unión, ha ido adquiriendo la tutela de la seguridad europea. Esta cuestión, en un primer momento, se concibió como una exigencia funcional para la mejor realización de las cuatro libertades fundamentales, y más tarde, a partir del Tratado de Maastricht, como un telos autónomo de la Unión Europea. La regulación que es objeto de análisis por parte del Tribunal, impregnado de la lógica del control preventivo y con la duda como regla general[22], deroga, como recuerda el abogado general en sus Conclusiones[23], las reglas sobre tutela del derecho al respeto de la vida privada, instituidas por las Directivas 95/46 y 2002/58, en relación al tratamiento de los datos personales en el ámbito de las comunicaciones electrónicas. Mientras que, de hecho, estas Directivas reconocieron la confidencialidad de las comunicaciones y de los datos relativos al tráfico, además de la obligación de borrarlos o mantenerlos en secreto cuando ya no sean necesarios para transmitir una comunicación excepto para fines de facturación y en la medida en que sea imprescindible, la Directiva del 2006 dispone[24], alterando el principio general que se acaba de exponer, que los Estados miembros deberán regular, «for the purposes of the investigation, detection and prosecution of serious crime»[25], la obligación de conservar estos datos por un periodo no inferior a seis meses y no superior a dos años.
Esta circunstancia no ha pasado desapercibida para los Tribunales constitucionales y supremos[26] de los Estados miembros, que deben valorar la conformidad de las normas nacionales de trasposición y que, desde 2008, han venido mostrando su preocupación respecto de la insuficiente tutela de los derechos a la privacy y a la protección de datos que se deriva de la regulación mencionada, identificando como responsables directos de esta situación a las normas nacionales de trasposición pero también, indirectamente y por otro lado de forma obvia, a la Directiva europea sobre data retention. A este respecto, merecen una mención especial los casos que hay pendientes en los tribunales eslovaco y esloveno. El primero, tras el fallo del Tribunal de Justicia, prefirió —en relación a una controversia sobre la validez de la ley de trasposición— suspender la eficacia de las normas mediante las que esta Directiva se incorporó al ordenamiento nacional. De este modo adelantó los efectos de aquella decisión.
El caso de Eslovenia es diferente, ya que su Tribunal constitucional suspendió el procedimiento que estaba sustanciando en espera del fallo del Tribunal de Justicia para después retomarlo y, a partir de las pautas interpretativas procedentes de Luxemburgo, declarar nula la norma de trasposición[27].
Como se ha expuesto hace un momento, el primero de los dos aspectos que, en este momento, merece ser objeto de especial atención es la autonomía que, de manera innovadora, se ha atribuido en el caso que se analiza a los arts. 7 y 8 de la Carta, que hasta ese momento eran considerados «simplemente» elementos de un binomio inescindible.
El abogado general Cruz Villalón distingue claramente en sus conclusiones ambos elementos, poniendo de relieve que «el artículo 8 de la Carta consagra el derecho a la protección de datos de carácter personal como un derecho distinto del derecho al respeto de la vida privada. Si bien la protección de datos pretende garantizar el respeto de la vida privada, está sujeta a un régimen autónomo»[28]. El razonamiento del abogado se dirige en su totalidad a evidenciar cómo pueden existir casos, como el que se estudia, en los que una norma que restringe legítimamente el derecho a la protección de los datos de carácter personal conforme a los términos del art. 8 de la Carta puede, sin embargo, ser considerada como causante de una lesión desproporcionada del art. 7 de la misma. Y para alcanzar su objetivo, el abogado general necesitó recurrir a una diferenciación, nunca antes hecha y no desprovista de cierta dosis de artificialidad, entre «datos personales» tout court y datos «más que personales»[29]. Los primeros tendrían como función exclusiva la de individualizar a la persona y, dotados de cierta permanencia y a menudo también de cierto carácter neutro, serían datos «personales sin más y cabría decir, con carácter general, que son aquellos con respecto a los que la estructura y las garantías del artículo 8 de la Carta están mejor adaptadas»[30]. Los segundos, por su parte, se referirían «bajo una perspectiva cualitativa» a la reserva de la vida privada, comprendiendo la esfera íntima. En esos casos los problemas que plantean los datos personales comienzan, por así decirlo, ya «en una fase anterior»[31] y la cuestión que se plantea entonces no sería la de «las garantías relativas al tratamiento de los datos, sino, en una fase anterior, el de los datos como tales, es decir, el hecho de que las circunstancias de la vida privada de una persona hayan podido materializarse en forma de datos, que, en consecuencia, pueden ser objeto de tratamientos informáticos»[32].
La segunda distinción que se desprende claramente del análisis del caso que se está examinando también innovadora en relación al acquis jurisprudencial precedente y contenida en esta ocasión en el reasoning de los magistrados comunitarios, es, como ya se ha mencionado, la que se basa en el párrafo 1 del art. 52 de la Carta[33], diferenciando entre el examen que se hace de la posible violación por parte de la Directiva del contenido esencial de los arts. 7 y 8 y el relativo a la proporcionalidad de las medidas previstas para alcanzar los objetivos de tutela del orden público y lucha contra el terrorismo, que el Tribunal considera legítimos.
Hasta esta sentencia, la jurisprudencia comunitaria tendía a considerar como una especie de «bloque único» al párrafo 1 del art. 52 de la Carta, sin detenerse a analizar la posibilidad de que una limitación de los derechos fundamentales en juego que no afectase a su contenido esencial pudiera no resultar proporcionada en relación a los objetivos prefijados por la regulación sustantiva objeto de examen.
En el reasoning del fallo objeto de estudio, por el contrario, los magistrados de Luxemburgo, tras afirmar que «la injerencia que supone la Directiva 2006/24 en los derechos fundamentales reconocidos en los artículos 7 y 8 de la Carta resulta de gran magnitud», afrontan de modo separado el examen de las dos cuestiones que se derivan del art. 52.1. En relación a la primera, el Tribunal descarta que exista una violación del núcleo esencial tutelado tanto por el derecho a la vida privada como por el relativo a la protección de datos. En el primer caso porque la Directiva, a tenor de su art. 5.c).2, no permite recabar el contenido de las comunicaciones electrónicas, con lo que queda protegido, según el razonamiento de los magistrados, el objeto de las mismas, que obviamente constituye el elemento más sensible cuando se habla de la privacy de los usuarios. En el segundo caso, según el Tribunal, el hecho de que la Directiva prevea algunos principios en materia de protección y seguridad de los datos proporcionaría la base necesaria para que cada Estado miembro adopte «medidas técnicas y organizativas adecuadas contra la destrucción accidental o ilícita de los datos y su pérdida o alteración accidental»[34]. Tras validar de hecho la admisibilidad de los mecanismos de data retention y su consiguiente puesta a disposición de las autoridades nacionales, el Tribunal afirma que este tipo de sistemas responden a objetivos de interés general de la Unión Europea, como la lucha contra el terrorismo, dirigida a mantener la paz y la seguridad internacionales, o, en términos más abstractos, contra las formas más graves de delincuencia, contribuyendo a la seguridad pública.
Pero es en relación a la valoración de la proporcionalidad de la posibilidad de recoger y conservar los datos, tal y como se prevé en la Directiva, donde el Tribunal de Justicia llega a una conclusión negativa[35]. Después de haber constatado la existencia de una injerencia de gran magnitud en los derechos tutelados por los arts. 7 y 8 de la Carta, el Tribunal se plantea si existe la debida adecuación entre la misma y los objetivos perseguidos por la Directiva. De este modo, el reasoning de los magistrados se orienta a valorar si existen las suficientes garantías que permitan justificar las limitaciones que se propone realizar sobre los derechos fundamentales tutelados y asegurados por la Carta, circunstancia que motiva las críticas del Tribunal sobre algunos de los puntos de la Directiva.
El Tribunal basa sus argumentaciones subsiguientes en la premisa de que la injerencia en la vida privada de los individuos afecta a la «totalidad de la población europea» (par. 56), sin limitación alguna. Desde esta óptica, el Tribunal reconoce que la injerencia en los datos se plantea también respecto de personas sobre las que no existe sospecha alguna de haber cometido un delito, apareciendo como algo totalmente desconectado de la comisión —directa o indirecta— de delitos graves. En resumen, la recogida de datos no se limita a un determinado grupo de personas, ni a un área geográfica concreta, ni se circunscribe a periodos de tiempo determinados.
También resulta vago e incompleto, y desde luego no respetuoso con el principio de proporcionalidad, el recurso al concepto de «delitos graves». Según los magistrados, el hecho de que la Directiva permita a cada Estado miembro realizar su propia definición de lo que es un delito grave hace que no se pueda determinar ni concretar fácilmente qué debe entenderse por tal.
El Tribunal subraya a continuación la ausencia de garantías específicas, tanto sustanciales
como procedimentales, adecuadas para asegurar un acceso «controlado» por parte de
las autoridades de los Estados miembros. El número de personas —pertenecientes a las
autoridades de cada Estado miembro— que puede acceder a los datos almacenados resulta
de hecho indeterminado (Cocq, C. y Galli, F. (2013). Comparative law paper on data retention regulation in a sample of EU Member States.
Surveille Project D4.3, 2013. Disponible en:
Y en lo que respecta a la duración del periodo durante el que se pueden conservar los datos, las objeciones se basan en el hecho de que no se realiza distinción alguna por razón de las distintas categorías de los mismos, considerando, además, que en cualquier caso la conservación de los datos debería limitarse al tiempo estrictamente necesario.
Estas son, pues, las razones en las que el Tribunal se basa para entender que la Directiva 2006/24 no recoge normas claras y precisas que resulten adecuadas para regular las posibles injerencias que se plantean sobre los derechos fundamentales consagrados en los arts. 7 y 8 de la Carta. Dado el gran alcance de estas, la Directiva no responde a las exigencias del principio de necesidad, criterio auxiliar y complementario del más general principio de proporcionalidad (par. 65)[36].
El camino iniciado por la sentencia comentada, que anula la Directiva sobre data retention e identifica un digital (Internet based) right to data protection, alcanza su apoteosis en el reasoning de los magistrados con motivo de la decisión del caso Google Spain, dictada unas semanas después, sobre derecho al olvido. En esta, los magistrados comunitarios, como se verá en el próximo párrafo, enfatizan aún más el carácter absoluto de la protección de la privacy en la era digital a través de una interpretación extensiva, cabría decir incluso manipulativa, y axiológicamente orientada, de las disposiciones de los arts. 7 y 8 de la Carta de Niza y de la Directiva 95/46 (que entró en vigor en el momento en el que se desarrollaba la transición de lo analógico a lo digital, por lo que seguramente no se redactó pensando en Internet como un ámbito tecnológico especial).
La cuestión específica sobre la que se solicita el pronunciamiento del Tribunal por la vía prejudicial, a través de un reenvío planteado en 2012 por la Audiencia Nacional, es la aplicación de la regulación contenida en la Directiva 95/46/CE, norma de referencia aún vigente en materia de datos personales a nivel de la Unión Europea, a los Internet Service Provider que gestionan un motor de búsqueda, en concreto Google. En el caso del que trae causa la cuestión prejudicial, la Agencia Española de Protección de Datos, autoridad nacional para la protección de los datos de carácter personal, ordenó a Google eliminar de entre los resultados generados a través de su motor de búsqueda los relativos a algunas noticias sobre un embargo sufrido por el Sr. Costeja González, recurrente ante la Agencia; considerando que los datos carecían ya de relevancia en ese momento, Google se opuso alegando que la normativa europea sobre datos personales (y, por consiguiente, la española) no le era aplicable, además de señalar que una intervención como la pretendida por la Agencia podría suponer una restricción ilegítima de la libertad de expresión de los gestores de páginas web. Por el contrario, bajo el punto de vista del motor de búsqueda, únicamente interviniendo los sitios web indexados se podría satisfacer la pretensión de vuelta al anonimato que plantean los interesados. Ante esto, la Audiencia Nacional, competente para conocer el recurso contra la decisión de la AEPD, elevó una cuestión prejudicial en la que se planteaban tres preguntas complejas dirigidas a verificar, en esencia, si la Directiva 95/46 es aplicable a un proveedor como Google y si es posible garantizar el enforcement del derecho al olvido por parte de los sujetos a los que se refieren los datos personales.
La pléyade particularmente compleja y difícil de derechos fundamentales que presenta el caso de autos impide que deba justificarse el refuerzo de la situación jurídica de los interesados con arreglo a la Directiva, e imbuirla del derecho al olvido. Ello entrañaría sacrificar derechos básicos, como la libertad de expresión e información. También desaconsejaría al Tribunal de Justicia que declarara que estos intereses en conflicto pueden equilibrarse de modo satisfactorio en cada situación concreta sobre una base casuística, dejando la decisión en manos del proveedor de servicios de motor de búsqueda en Internet[37].
Esto es lo que el abogado general Jääskinen, en sus conclusiones, propuso al Tribunal de Luxemburgo en relación a la ponderación entre los derechos que, en la esencia del caso, se integraban formando la bella imagen de una «pléyade particularmente compleja».
Es complicado encontrar algún precedente en el que el Tribunal no solo se haya opuesto en su resolución a la tesis defendida por el abogado general, sino que además haya empleado una línea argumental radicalmente distinta a la propuesta por este último. Basta con reformular a contrario el párrafo del abogado general que se acaba de reproducir para identificar, teniendo en cuenta la simplificación y pérdida de precisión que obviamente implica esto, los dos (iguales y opuestos) puntos cardinales que aparecen en la operación de (no) ponderación que realiza el Tribunal de Justicia en este caso. De hecho, en relación al primer elemento que parece caracterizarse en dicho pasaje, los magistrados de Luxemburgo, exactamente (y literalmente) al contrario de lo que se lee en las reflexiones del abogado general, refuerzan decididamente la posición jurídica de la persona interesada (en el sentido de la Directiva 95/46), reconociéndole, en esencia y quizá sin la mejor técnica, ese derecho al olvido[38] que, según el abogado general, no era posible identificar a la luz del acquis comunitario vigente. Y lo hacen sacrificando, como se verá más adelante, esas libertades de información y de expresión que el propio abogado general define, siempre en el mismo párrafo, como «derechos básicos».
En lo que respecta al segundo elemento que se identifica en las reflexiones de Jääskinen, y teniendo en cuenta los añadidos y precisiones que se harán a continuación, no parece descabellado afirmar que, nuevamente de un modo literalmente contrario a lo que propone aquel, los magistrados concluyen, sustancialmente, que la ponderación entre los derechos implicados antes mencionados (por una parte el derecho al olvido, y por la otra las libertades de expresión e información) puede ser realizada satisfactoriamente para cada situación a partir de una valoración caso por caso, lo cual puede acarrear consecuencias nada despreciables; de hecho, se deja la decisión final en manos de los proveedores de servicios de motores de búsqueda de Internet, contrariamente a lo que aconsejaba vivamente el abogado general.
Quizá el par. 69 del fallo sea el que mejor ilustra de todos la intención de los magistrados comunitarios de leer las disposiciones aplicables de la Directiva bajo la luz de las previsiones de la Carta que se dirigen a tutelar la llamada privacy digital.
En concreto, los magistrados comunitarios apuntan que:
[…] el artículo 7 de la Carta garantiza el respeto de la vida privada, mientras que el artículo 8 de la Carta proclama expresamente el derecho a la protección de los datos personales. Los apartados 2 y 3 de este último precisan que estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley, que toda persona tiene derecho a acceder a los datos recogidos que le conciernan y a obtener su rectificación y que el respeto de estas normas estará sujeto al control de una autoridad independiente. Aplican estos requisitos, en particular, los artículos 6, 7, 12, 14 y 28 de la Directiva 95/46.
No es difícil ver cómo todo esto está totalmente orientado a realizar una especie de ajuste temporal: en el reasoning del Tribunal están los arts. 7 y 8, concebidos al principio de este milenio y destinados a ser desarrollados por disposiciones de derecho derivado bastante más recientes.
Partiendo de estas premisas, las reflexiones que siguen intentarán mostrar las distorsiones, las anomalías o, simplemente, las reformulaciones argumentativas que parecen derivar de la opción, asumida por los magistrados comunitarios, de emplear los arts. 7 y 8 de la Carta de Niza como parámetros casi exclusivos para solucionar el caso.
La primera anomalía argumentativa es, quizá, la más evidente. A diferencia de lo hecho por el abogado general, que planteó una relación numéricamente casi equivalente entre, por una parte, los artículos que se acaban de citar y, por otra, las disposiciones de la Carta sobre libertad de expresión (y acceso a la información) —art. 11— y sobre libertad de iniciativa económica —art. 16—, en el desarrollo argumental del Tribunal no aparece ninguno de estos dos preceptos. No hay referencias ni al art. 11 ni al art. 16, lo cual deja un espacio libre para ser ocupado por las numerosísimas citas de los arts. 7 y 8 de la Carta que se realizan.
La ponderación entre los derechos en juego se plantea ya de inicio de una forma totalmente descompensada hacia la tutela de la privacy digital. Esto queda confirmado con la afirmación que el Tribunal repite en más ocasiones[39], en la que, tras haber razonablemente apuntado que la supresión de links de la lista de resultados podría, en función de la información de que se trate, tener repercusiones en el interés legítimo de los internautas potencialmente interesados en tener acceso a la información en cuestión, en situaciones como las del litigio en curso se debe buscar «un justo equilibrio, en particular entre este interés y los derechos fundamentales de la persona afectada con arreglo a los artículos 7 y 8 de la Carta», concluyendo el razonamiento con una presunción de prevalencia muy poco comprensible. En concreto, se afirma que «ciertamente, los derechos de esa persona protegidos por dichos artículos prevalecen igualmente, con carácter general, sobre el mencionado interés de los internautas, no obstante este equilibrio puede depender, en supuestos específicos, de la naturaleza de la información de que se trate y del carácter sensible para la vida privada de la persona afectada y del interés del público en disponer de esta información, que puede variar, en particular, en función del papel que esta persona desempeñe en la vida pública».
En otras palabras, la regla general es el sacrificio del derecho (reducido a mero interés) al acceso a la información en favor de los derechos que se refieren a la protección de la esfera privada y de los datos personales de los usuarios, siendo algo excepcional la posible prevalencia, en casos concretos y bajo ciertas condiciones, del primero sobre los segundos.
Esta forma de articular la regla general y la excepción no solo no figura en absoluto en la ponderación entre los derechos en conflicto que propuso el abogado general Jääskinen, sino que hace tiempo que fue explícitamente descartada por el abogado general Kokott[40] en el caso Satamedia [41]; además, está en las antípodas de lo que establece la jurisprudencia del Tribunal Europeo de Derechos Humanos para casos similares. Comenzando por la reciente Sentencia Smolczewski [42], en la que, como se ha apuntado (Vigevani, G. E. (2014). Identità, oblio, informazione e memoria in viaggio da Strasburgo a Lussemburgo, passando per Milano. Danno e Responsabilitá, 7, 741 y ss.Vigevani, 2014), el Tribunal de Estrasburgo, reiterando una doctrina que viene desde sus primeras sentencias importantes en materia de libertad de expresión, concluye claramente que la prevalencia de esta última es la regla general, siendo las restricciones a este derecho excepciones que deben ser interpretadas de manera restrictiva. Y esto también es aplicable a los casos en los que el conflicto se produce entre el acceso a la información disponible en la web y el interés del sujeto recurrente en que determinados datos que afectan a su reputación no sean accesibles en Internet[43].
Si bien el énfasis que se da al papel que cumplen los arts.7 y 8 de la Carta tiene una importancia determinante en lo que se refiere a la orientación axiológica de la ponderación entre los derechos en conflicto llevada a cabo por el Tribunal, no menos relevante es su influencia en la aplicación que este hace de las disposiciones de la Directiva 95/46 al caso enjuiciado. Se podrían identificar cuatro cuestiones en las que la interpretación que los magistrados comunitarios hacen de la Directiva a la luz de los arts. 7 y 8 de la Carta, mencionados hasta la saciedad, provoca un efecto, por así decirlo, alterador. En primer lugar, la importancia que, en el caso específico, tiene la legislación de la Unión Europea; en segundo, la identificación del motor de búsqueda como un controller encargado del tratamiento de los datos y, por tanto, responsable del mismo; en tercer término, la aplicación al caso enjuiciado del art. 12.b) de la Directiva, en lo que se refiere a las formas y los supuestos, inter alia, del derecho a obtener el borrado, la rectificación y el bloqueo de los datos personales; y, por último, la aplicación del art. 9 de la misma como regla especial en caso de tratamiento de datos relativos a la actividad periodística.
En primer lugar, respecto a la primera cuestión, es cierto que el abogado general llegó a la misma conclusión que los magistrados comunitarios: la aplicabilidad de la normativa europea a un motor de búsqueda que haya abierto en un Estado miembro una oficina para la promoción y venta de espacios publicitarios mediante la que dirija su actividad a los ciudadanos de dicho Estado. Sin embargo, los magistrados de Luxemburgo van en su justificación más allá de los fundamentos planteados en el reasoning del abogado general, haciendo una interpretación extensiva de la locución «en el contexto de la actividad»[44] que aparece en el art. 4.a); la aplicación de la legislación europea a Google Spain (que «técnicamente no trata datos» según admite el Tribunal) es necesaria en la medida en que «visto el objetivo de la Directiva 95/46 de garantizar una protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales, esta expresión no puede ser objeto de una interpretación restrictiva»[45].
Nuevamente el derecho a la vida privada se convierte en el prisma único de modulación de la protección, sin que se haga referencia alguna a la necesidad de proteger los posibles intereses que chocan con él. En el intento de justificar su afirmación, el Tribunal, entre otras cosas, cita «por analogía» los parágrafos 62 y 63 de su sentencia en el caso L’Oréal [46]. Y ello a pesar de que, en realidad, se trata de unos apartados que tienen una influencia muy limitada sobre el caso enjuiciado. De hecho, hacen referencia a otras normas de derecho derivado cuyo objeto principal es la protección del derecho de propiedad industrial y la fijación de sus límites, nada que ver con la tutela de los datos personales; el único punto en común de ambos fallos es la ubicación de los servidores fuera de la Unión Europea[47].
En segundo lugar, respecto de la consideración del motor de búsqueda como un controller del tratamiento, lo relevante es la premisa de partida del razonamiento del Tribunal, basada en la identificación de los arts. 7 y 8 como parámetros (casi) exclusivos. Esto parece manifestarse claramente cuando los magistrados comunitarios, al interpretar el ámbito de aplicación del art. 2.d) de la Directiva, que define la figura del controller, añaden que:
[…] por otro lado, es necesario declarar que sería contrario, no sólo al claro tenor de esta disposición sino también a su objetivo, consistente en garantizar, mediante una definición amplia del concepto de «responsable», una protección eficaz y completa de los interesados, excluir de esta disposición al gestor de un motor de búsqueda debido a que no ejerce control sobre los datos personales publicados en las páginas web de terceros (par. 34).
Aquí, la interpretación que se hace de la legislación aplicable, a través de las previsiones contenidas en los arts. 7 y 8 de la Carta, en lugar de iluminar el razonamiento del Tribunal de Justicia, consigue hacerlo más oscuro y débil. De hecho, se trata, como ya he tenido ocasión de plantear en otro momento (Pollicino, O. y Bassini, M. (2014). Reconciling Right to Be Forgotten and Freedom of Information: Past and Future of Personal Data Protection in Europe. Diritto Pubblico Comparato ed Europeo, 641 (2014), 641-662.Bassini y Pollicino, 2014), de una evidente excusatio non petita. El Tribunal intenta construir una definición amplia de «responsable» amparándose en una justificación, la mayor tutela de los interesados, que resulta irrelevante. Con esto se ignora que en la posición del «titular del tratamiento» concurren, de hecho, las principales obligaciones establecidas por la Directiva, y que al aplicar estas a los gestores de un motor de búsqueda se corre el riesgo de desnaturalizar profundamente el modelo de negocio de estos operadores.
Además, el Tribunal no aclara un aspecto determinante: ¿a qué finalidad obedecen las obligaciones del responsable del tratamiento? Si, como sostienen los magistrados comunitarios, constituye tratamiento tanto la publicación de datos en la propia página web como la indización y reformulación de estos en resultados de búsqueda, entonces habría que preguntarse si también los gestores de motores de búsqueda, llevando al límite (aunque no demasiado) el razonamiento, deberían obtener el consentimiento de los interesados.
Si existen aún dudas en relación al rol que cumplen los arts. 7 y 8 de la Carta en la ampliación (mellius: mutación) del entramado normativo que constituye la legislación aplicable, hasta el punto de incluir en la noción de responsable del tratamiento también a los motores de búsqueda, algunos parágrafos más adelante el Tribunal reafirma el concepto argumentando que:
[…] en la medida en que la actividad de un motor de búsqueda puede afectar, significativamente y de modo adicional a la de los editores de sitios de Internet, a los derechos fundamentales de respeto de la vida privada y de protección de datos personales, el gestor de este motor, como persona que determina los fines y los medios de esta actividad, debe garantizar, en el marco de sus responsabilidades, de sus competencias y de sus posibilidades, que dicha actividad satisface las exigencias de la Directiva 95/46 para que las garantías establecidas en ella puedan tener pleno efecto y pueda llevarse a cabo una protección eficaz y completa de los interesados, en particular, de su derecho al respeto de la vida privada[48].
En lo que se refiere a la tercera cuestión señalada, el Tribunal, como se ha dicho, tiene la tarea de valorar si los derechos reconocidos a los interesados por la Directiva, en sus arts. 12.b) y 14.1.b), atribuyen a estos últimos la posibilidad de obtener del motor de búsqueda la eliminación de los resultados de enlaces a páginas web donde figuran datos personales, aunque no se modifiquen las páginas web implicadas y sin que la publicación tenga que tener, per se, carácter ilícito. Aquí se plantea de modo directo el equilibrio entre la libertad de expresión de los gestores de páginas web y el derecho de los interesados a ver protegidos sus datos personales, siendo especialmente relevante para lo que nos interesa cómo se ha forzado la regulación contenida en el art. 12.b)[49], con el fin de adaptarla a las exigencias de máxima protección de la privacy digital de los interesados.
Conforme a su art. 12.b), el interesado tiene el derecho a obtener el borrado, la rectificación o el bloqueo de los datos cuyo tratamiento no se ajuste a las disposiciones de la Directiva, en particular a causa del carácter incompleto o inexacto de los mismos. El Tribunal interpreta este último inciso como una mención ejemplificativa y no exclusiva (como parecería si se realiza una lectura literal de la disposición), sentando así las bases para que cualquier diferencia en el tratamiento que sea contraria a la Directiva permita atribuir a los interesados el derecho a reclamar las medidas establecidas en la norma. De este modo, la sentencia acaba por extender el alcance de las previsiones normativas, desnaturalizando el sentido del derecho a la rectificación y al borrado de los datos personales mediante una referencia genérica a los supuestos de los arts. 6 y 7 de la Directiva.
A este respecto, entre otras cosas, es necesario recordar que una cosa es el tratamiento ilícito de los datos personales, respecto del que la Directiva plantea determinadas soluciones, y otra el tratamiento claramente lícito de los mismos respecto del que el interesado manifiesta su interés en que la información afectada no se difunda de modo incondicional, que es lo que corresponde específicamente al derecho al olvido.
Ambas cosas parecen confundirse en el análisis que realiza el Tribunal.
Y la razón de esta confusión parece ser, como ya se ha demostrado, la voluntad de los magistrados comunitarios, a través de una lectura interesada de las normas aplicables bajo la luz del art. 7 y, especialmente, del art. 8 de la Carta, de ampliar al máximo posible el ámbito de aplicación de la Directiva hasta incluir supuestos que quedarían claramente excluidos si se realizara una interpretación literal o sistemática de aquella, y respecto de los que la norma sólo es aplicable gracias a una operación hermenéutica cuyo resultado es muy similar a lo que sucedería si se atribuyera eficacia directa y horizontal, tal y como se explicará en las conclusiones, a los artículos citados de la Carta.
Finalmente, el último ámbito de aplicación de la Directiva respecto del que la interpretación del Tribunal parece estar fuertemente influida por la voluntad de atribuir la máxima protección posible a los artículos de la Carta que conforman el estatuto de la privacy digital es el relativo a la hipótesis del art. 9, que plantea una excepción a los principios generales fijados en aquella cuando el tratamiento de datos obedezca a fines exclusivamente periodísticos o de expresión artística o literaria. Sobre este particular, el Tribunal recuerda que, en el sentido del 37º considerando de la Directiva, el art. 9 busca conciliar dos derechos fundamentales, que son, por una parte, la tutela de la vida privada y, por otro, la libertad de expresión, por lo que las excepciones permitidas serán exclusivamente las que resulten necesarias para conciliar el derecho a la vida privada con las normas que regulan la libertad de expresión. No obstante, los magistrados comunitarios llegan a la conclusión, no muy convincente, de que el tratamiento por parte del editor de una página web, que consiste en la publicación de información relativa a una persona física, puede, en su caso, efectuarse “con fines exclusivamente periodísticos” y beneficiarse, de este modo, en virtud del artículo 9 de la Directiva 95/46, de las excepciones a los requisitos que esta establece, mientras que ese no es el caso en el supuesto del tratamiento que lleva a cabo el gestor de un motor de búsqueda»[50].
El Tribunal, en otras palabras, excluye que los motores de búsqueda puedan de algún modo valerse de la excepción prevista en el art. 9 de la Directiva, citando para ello la Sentencia Satamedia [51], en la que los propios magistrados comunitarios interpretan el alcance de esa excepción; no obstante, olvida mencionar la parte de esta en la que se dice que la referencia al tratamiento para fines periodísticos debe ser interpretado del modo más amplio posible, incluyendo cualquier «actividad dirigida a divulgar entre el público informaciones, opiniones o ideas, independientemente del medio de transmisión»[52].
Considerando esta definición, ¿es verdaderamente razonable la distinción que hace el Tribunal, relativa a la aplicación del art. 9 de la Directiva, entre editor de la página web y motor de búsqueda?
Si estas son las mutaciones más evidentes que parece haber producido la lectura constitucional y «unidireccionalmente» orientada del Tribunal a partir de los arts. 7 y 8 de la Carta, también se dan, si se mira bien, otras paradojas en referencia a los resultados a los que llegan los magistrados a través de un reasoning como el comentado, más que nunca fundamental rights based.
En efecto, al crear una obligación de eliminar los enlaces que afecta exclusivamente al motor de búsqueda, con independencia de lo que haga o deje de hacer el editor de la página web que ha sido indexada por el motor en cuestión, se corre el riesgo de convertir en irresponsable al primero y de responsabilizar quizá de manera excesiva al segundo. Pero su principal consecuencia es el llamativo conflicto que se plantea con un principio constitucional fundamental que caracteriza el núcleo duro de cualquier ordenamiento basado en la rule of law, especialmente paradójico si se piensa que se trata de una argumentación basada en la tutela de (algunos) derechos protegidos por el bill of rights europeo. Se trata de la necesidad de prever una reserva de jurisdicción sobre los casos de posibles restricciones (en este caso derivadas de una ponderación) de los derechos fundamentales en juego.
Esta necesidad no parece haber sido considerada por parte del Tribunal de Justicia, que, en esencia, delega en los operadores privados, que, de hecho, desarrollan en la web una función pública de naturaleza paraconstitucional, la tarea de resolver la ponderación de intereses que él mismo ha planteado entre el derecho a la privacy y el derecho a ser informado.
No se puede no pensar en las palabras del Tribunal Europeo de Derechos Humanos en el caso Węgrzynowski, hace poco recordadas por Giulio Enea Vigevani (Vigevani, G. E. (2014). Identità, oblio, informazione e memoria in viaggio da Strasburgo a Lussemburgo, passando per Milano. Danno e Responsabilitá, 7, 741 y ss.2014: par. 65), al afirmar que «no es competencia de la autoridad judicial reescribir la historia, ordenando hacer desaparecer del dominio público toda huella de una publicación que en el pasado hayan sido considerada, mediante sentencia definitiva, como constitutiva de una violación injustificada de la reputación de un individuo».
Y no se puede obviar, de manera concluyente a este respecto, el hecho de que una tarea así no puede ser delegada a un operador privado, además sin la previa intervención de un juez; sobre todo cuando se trata de noticias veraces sobre las que no ha existido pronunciamiento judicial alguno que establezca su carácter difamatorio.
V. Schrems y la transición del principio de adecuación al de protección equivalente
Para todo constitucionalista apasionado por la teoría de la argumentación[53], el análisis de la sentencia Schrems [54]resulta particularmente interesante a la vista (además) de su afortunada coincidencia cronológica[55]: la decisión de la Comisión que validó los principios del safe harbour, sobre la que trata el fallo del Tribunal de Justicia, se adoptó el 26 de julio de 2000[56], pocos meses antes de la promulgación (7 de diciembre de 2000) de la Carta de Niza.
La cuestión se puede plantear en estos términos: la proclamación, primero, y la entrada en vigor, después (a partir de diciembre de 2009), de la Carta y, en particular, el contenido de los arts. 7 y 8 (Vigevani, G. E. (2014). Identità, oblio, informazione e memoria in viaggio da Strasburgo a Lussemburgo, passando per Milano. Danno e Responsabilitá, 7, 741 y ss.y 47) de la misma, ¿han provocado, de hecho, la caducidad de un acto originariamente compatible con el derecho de la Unión Europea a causa de su relectura bajo los nuevos parámetros?
Tal pregunta, como se acaba de mencionar, resulta especialmente interesante considerando la tendencial coincidencia entre el periodo en el que la Carta vio la luz, aunque fuera como instrumento de soft law, y aquel en el que la decisión fue adoptada por la Comisión.
Por tanto, lo que se intentará comprender es si, simplificando, la llegada de la Carta produjo una onda «constitucionalizante», es decir, una reacción, por parte del Tribunal de Luxemburgo, consistente en revisar los actos ya vigentes para verificar su coherencia con los valores proclamados en la propia Carta.
Una investigación en este sentido puede partir del precedente que constituye la sentencia Digital Rights Ireland [57], que, al anular la Directiva 2006/24/CE[58] a causa de la incompatibilidad de sus disposiciones sobre conservación de los datos del tráfico con los arts. 7 y 8 de la Carta, ha realizado, de hecho, una revisión «constitucionalmente» orientada de esta cuestión.
La tendencia a realizar una interpretación expansiva, casi novadora, de las disposiciones de la Directiva se puede identificar también en un pasaje de esta sentencia, en concreto en su apartado 72, donde se aprecia una desviación, seguramente voluntaria, tendente a asegurar el mayor alcance posible de la protección de los datos personales: el Tribunal atribuye al art. 25.6 de la Directiva 95/46/CE[59], norma en la que se basa el poder de la Comisión para verificar la adecuación del nivel de protección de los datos personales ofrecido por un tercer país, el objetivo de asegurar la continuidad (casi una prolongación espacial de la tutela jurídica) del alto grado de protección que la Directiva aspira a establecer dentro de la Unión Europea.
El parágrafo en el que se plantea esta lectura expansiva es uno de los más importantes del fallo, que se une a esos otros pronunciamientos que han venido contribuyendo a definir el estatuto jurisprudencial de la privacy digital[60]. En los casos Digital Rights Ireland y Google Spain [61], el Tribunal de Justicia parecía moverse con la intención de ampliar lo máximo posible el margen de protección de los datos personales y de la privacy de los individuos[62]. Pues bien, en la sentencia que ahora se analiza parece que el Tribunal no solo no la ha corregido, sino que ha continuado con esa actitud, a costa de adoptar, a veces, un enfoque formalista que ha prevalecido para asegurar una «protección sustancial» del derecho a la protección de los datos personales. Y ello a pesar de la perspectiva mucho más pragmática asumida por los magistrados al examinar las peculiaridades del ordenamiento estadounidense.
De esta manera, la argumentación del Tribunal parece dar en ocasiones crédito a las opiniones de muchos de los autores que han identificado a la Sentencia Schrems como la reacción, en parte emocional, de Europa al escándalo de la NSA y de las operaciones de vigilancia global llevadas a cabo por el gobierno de los Estados Unidos con el beneplácito o, al menos, la complicidad (probablemente inconsciente) de algunos Estados miembros[63]: un contexto en el que, dentro del plano jurídico, los Estados Unidos no garantizaban los presupuestos esenciales para una tutela eficaz, exponiendo los datos transferidos desde la Unión Europea, especialmente en el ámbito del tratamiento realizado por parte de autoridades públicas.
Las consecuencias que derivan de los argumentos en los que se basa esta operación de alteración normativa parecen coincidir con una transformación del principio de adecuación, al que la Directiva 95/46/CE, en su art. 25, -vincula la valoración de la legitimidad de la transferencia de datos personales a terceros países donde, en principio, la protección de los derechos fundamentales en juego sea sustancialmente equivalente[64].
Esta transfiguración del contenido del test en el que se basa la legitimidad de las transferencias de datos personales a terceros países, bastante evidente en diversos puntos de la sentencia, de los que más adelante se hablará, se justifica en el intento de ofrecer una interpretación renovada y reforzada de los derechos fundamentales a la privacy y a la protección de los datos personales. La dicción de la Directiva, texto ya consolidado desde hace más veinte años, cuando el desarrollo de Internet estaba en sus albores y se desconocían en buena parte sus posibles implicaciones sobre la tutela de la privacy, ha sido objeto de un proceso de (no demasiado velada) mutación que, bajo una evidente presión para reforzar la tutela en relación con el ordenamiento estado-unidense, ha conducido a la anulación de la decisión con la que la Comisión declaró la adecuación. Y se ha hecho empleando una motivación que, sin embargo, refleja indirectamente la insuficiencia de este criterio, recurriendo mediante subrogación (interpretativa) a la equivalencia sustancial de la protección como parámetro.
De lo contrario, no se comprendería el motivo por el que, en el momento de adoptar la decisión[65], la Comisión pudo adoptar un acto en el que se proclamaba la adecuación sustancial de las garantías previstas en el ordenamiento estadounidense a las europeas en materia de tratamiento de datos personales, sobre todo considerando que, si bien la Carta de los Derechos Fundamentales que ahora tanto se valora aún no había nacido, su espíritu bien podría haber influido la decisión del legislador europeo, aunque fuera a título de moral suasion. Más aún, esta consideración debe ser especialmente considerada teniendo en cuenta que las disposiciones del ordenamiento norteamericano en la materia no han sido modificadas.
Así, la valoración que hace el Tribunal sobre la decisión adoptada por la Comisión se refiere en buena medida a las garantías (no) previstas por el ordenamiento estadounidense, resolviendo sobre su equivalencia (sustancial) respecto del marco planteado por la Directiva 95/46/CE en Europa. El sistema del safe harbour y los principios que contiene constituyen por tanto el parámetro interpuesto al que los magistrados de Luxemburgo recurren para juzgar la legitimidad de la decisión de la Comisión.
No se puede negar que la influencia de los arts. 7 y 8 de la Carta, que formalmente no están implicados en esta «triangulación» entre decisión, Directiva y safe harbour, es, en realidad, decisiva. Es precisamente la puesta en valor de las disposiciones de la Carta la que, de hecho, permite al Tribunal de Justicia recurrir, por un lado, a la valoración general del nivel de protección ofrecido por la Directiva y, por otro, al estándar de «tolerancia» para comprobar la legitimidad de la transferencia de datos personales fuera de la Unión Europea, convirtiendo —como se ha dicho— en equivalencia el parámetro de adecuación que, formalmente, se contiene en el art. 25 de la Directiva.
Alteradas así las reglas mediante las que el Tribunal de Justicia realiza su valoración, era fácil adivinar que la decisión sería anulada.
También se podría debatir qué tenía más carácter político, si la decisión que fue anulada o la sentencia mediante la que se hizo esto; es decir, si los motivos que condujeron a la Comisión, en el 2000, a afirmar, quizá por razones no meramente jurídicas, que el sistema de safe harbour era adecuado deberían prevalecer sobre las que orientaron al Tribunal de Justicia hacia una valoración opuesta, aunque «mutada» (en los términos que se describirán).
¿Dónde se observa en mayor medida esta tendencia a la mutación normativa favorecida por los arts. 7[66], 8[67] y 47[68] de la Carta?
El Tribunal realiza casi una declaración de intenciones cuando, con una argumentación recurrente pero lejos de la retórica, comienza su razonamiento afirmando que como «las disposiciones de la Directiva 95/46, en cuanto regulan el tratamiento de datos personales, que puede vulnerar las libertades fundamentales y, en particular, el derecho al respeto de la vida privada, deben ser necesariamente interpretadas a la luz de los derechos fundamentales protegidos por la Carta»[69].
Se trata de una premisa metodológica y argumental que se presta sin duda a interpretaciones diversas pero que, considerando el resultado al que llega el Tribunal, parece preparar el terreno para una operación que no se limita a realizar una interpretación estricta del contenido de la norma.
Es como si los magistrados de Luxemburgo intentaran revestir un determinado marco normativo, el que se define en la Directiva 95/46/CE, de una pátina «constitucionalizante» y «fundamental rights oriented» que le es ajena, ya que aquel pertenece a una época en la que la tutela de los derechos fundamentales aún no era percibida como algo relevante por parte de la Unión Europea, sus instituciones y, sobre todo, su derecho[70]. Al formular este argumento, el Tribunal parece imaginar una relación al contrario (tal y como efectivamente es desde un punto de vista histórico) entre normas de derecho primario y normas de derecho derivado: según los magistrados, ya que la Directiva tiene relación con un ámbito que puede «afectar negativamente» a las libertades fundamentales, procede recurrir a una interpretación inspirada en las garantías establecidas por la Carta[71]. Aquí se esperaría, quizá, una inversión lógica: la Directiva se ocupa de un terreno donde se cruzan distintos derechos fundamentales reconocidos en la Carta[72], instituyendo un framework que asegura su protección en términos de máximos.
Justo después[73], sin embargo, el Tribunal reconoce que la Directiva ya trae consigo las semillas para tutelar los derechos fundamentales en cuestión, desmintiendo así la idea de una norma «indiferente» al contenido sustancial que se respaldará también en la Carta, señalando esas disposiciones y aquellas otras que, conforme a su criterio, muestran cómo la Directiva no sólo intenta proteger de modo completo y eficaz esos derechos, sino además asegurar específicamente un alto nivel de protección de los mismos.
El segundo pasaje en el que parece evidenciarse la actitud expansiva que caracteriza el pronunciamiento del Tribunal de Justicia se centra en la valoración que los magistrados realizan de la ampliación de los poderes de las autoridades de protección de datos personales.
Las cuestiones prejudiciales planteaban, en particular, si era posible el control, por parte de una autoridad nacional, de la idoneidad de los sistemas de tutela de los terceros países a los que se transferían los datos personales. En especial, se preguntó al Tribunal si frente a una decisión como la adoptada por la Comisión, anulada después, las autoridades nacionales podrían conservar algún tipo de capacidad autónoma de control o si estarían vinculadas por las apreciaciones realizadas por la Comisión.
Para poder llegar a una conclusión favorable a la posibilidad de controlar el contenido de la decisión, el Tribunal de Justicia analiza dentro de su argumentación, aunque de modo difuso, los poderes de los que disponen las autoridades, enfatizando el papel que cumplen en relación al art. 8.3 de la Carta. Y al hacerlo realiza una lectura muy generosa, y a ratos enfática, de la misión que cumplen estas autoridades, vinculando la efectividad del ejercicio de sus competencias institucionales con la facultad de oponerse a las valoraciones hechas por la Comisión.
Al caracterizar estas competencias, el argumento empleado por el Tribunal de Justicia resulta llamativo por su atención a la dimensión individual de la tutela de los derechos. Antes, la sentencia recuerda que una decisión de la Comisión, mientras que no haya sido declarada nula por el Tribunal de Justicia, órgano competente para ello, es vinculante tanto para los Estados miembros como para sus respectivos órganos[74]. Sin embargo, en opinión del Tribunal, la existencia de una decisión de este tipo no puede impedir a los individuos cuyos datos han sido transferidos a terceros países el acceso a los correspondientes mecanismos de recurso ante las autoridades regulatorias competentes, tal y como se prevé en el art. 28.4 de la Directiva. Y aquí cobra relevancia sobre todo el art. 47 de la Carta (que reconoce el derecho «instrumental» a un proceso justo) por encima incluso de las normas sobre el contenido de la tutela (privacy y datos personales). Por otra parte, apunta el Tribunal[75], ni siquiera una decisión de este tipo puede reducir las competencias atribuidas a las autoridades regulatorias nacionales para tutelar los derechos de los interesados.
Aquí la mutación pasa a través de un parámetro, podría decirse impropiamente, «interpuesto»: o sea, a través de un escudo representado por los poderes que se atribuyen a las autoridades nacionales para conocer las eventuales demandas que planteen los interesados. Según el Tribunal de Justicia, la adopción por parte de la Comisión de una decisión que declare la idoneidad de la protección prevista por el ordenamiento estadounidense no detrae del ámbito de competencia de las autoridades nacionales[76] el control sobre la transferencia de datos hacia terceros países ni establece excepción alguna al respecto[77].
Y aquí se llega a la tercera interpretación forzada: cuando el Tribunal plantea que «sería contrario al sistema establecido por la Directiva 95/46 […] que una decisión de la Comisión adoptada en virtud del artículo 25, apartado 6, de dicha Directiva tuviera el efecto de impedir que una autoridad nacional de control examine la solicitud de una persona para la protección de sus derechos y libertades frente al tratamiento de sus datos personales que hayan sido o pudieran ser transferidos desde un Estado miembro a un tercer país al que se refiere esa decisión de la Comisión»[78].
Este razonamiento, que el Tribunal sigue con el fin de explicitar la ampliación de la tutela de la privacy y de los datos personales, acaba conduciendo a un resultado paradójico si se continúa leyendo el fallo. Si, por un lado, el Tribunal de Justicia admite que la adopción de una decisión sobre la idoneidad del safe harbour no puede impedir que se empleen los mecanismos de tutela previstos ante las autoridades nacionales de regulación, por otro los magistrados de Luxemburgo, al recordar la naturaleza vinculante de tal decisión para los Estados miembros y sus órganos, parecen incurrir en una contradicción lógica que acaba con la negación, de hecho, del monopolio interpretativo que se había autoatribuido para establecer los límites de la eficacia de una decisión.
Así se abre una brecha importante que, a pesar de pasar directamente por el canal del art. 47 de la Carta, relativo al derecho al recurso efectivo y al juez imparcial, conduce indirectamente a un reforzamiento sustancial de las garantías previstas en los arts. 7 y 8 y, en particular, como se subraya en el parágrafo 58, de las contenidas en el art. 8.3. Al reafirmar la potestad de las autoridades nacionales para conocer eventuales recursos de los interesados, se abre una segunda vía para poner en duda la valoración que hace la Comisión en la decisión que se anula.
Para escapar de la contradicción lógica (al menos aparente) que se acaba de plantear, los magistrados se apresuran a precisar que el Tribunal es el único competente para pronunciarse sobre la validez de los actos adoptados por las instituciones de la Unión Europea. Así, en el caso de que el recurso ante la autoridad nacional sea rechazado, el interesado podrá acudir a la vía jurisdiccional, donde el juez, en caso de tener dudas sobre la idoneidad de las garantías ofrecidas por un tercer país, tendrá la posibilidad de plantear ante el Tribunal de Justicia una cuestión prejudicial sobre la validez de la decisión[79]; por otro lado, en caso de estimación de la demanda, será la propia autoridad reguladora quien podrá acudir ante los órganos jurisdiccionales alegando los problemas que la decisión plantea en relación al ordenamiento «constitucional» europeo[80]. Esta doble posibilidad parece revelar que existe un amplio margen de tutela gracias a la importancia que se otorga a la labor de las autoridades independientes y al derecho a un recurso efectivo amparado por el art. 47 de la Carta.
Por tanto, la alteración que se produce en relación a la anulación de la decisión se basa no solo en los arts. 7 y 8 de la Carta, sino también en las previsiones del art. 47, que ampara el derecho a un recurso efectivo ante un juez imparcial.
El momento en el que la intención del Tribunal, junto con la interpretación forzada en la que se basa, se hace más evidente es el relativo a la valoración de la legitimidad de la decisión de la Comisión en función de las condiciones que plantea la Directiva 95/46/CE. En este ámbito, la tarea del Tribunal se centra en valorar el nivel de adecuación de la tutela que dispensa el ordenamiento estadounidense.
La alteración interpretativa más evidente que realiza el Tribunal de Justicia se da cuando los magistrados apuntan que, en verdad, la Directiva no recoge de manera exhaustiva ni analítica los criterios para valorar la adecuación del nivel de protección ofrecido por el ordenamiento de un tercer país, como tampoco, y esto es lo más importante, define el concepto de adecuación. A este respecto, el art. 25.2 se limita a establecer que la adecuación «se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos»; y, en segundo lugar, que «se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate, así como las normas profesionales y las medidas de seguridad en vigor en dichos países», indicaciones ambas en absoluto exhaustivas. En resumen: no se plantea expresamente un concepto de adecuación que se pueda considerar vinculante, ni tampoco una lista de criterios que sirvan para determinar su concurrencia.
A este respecto, el Tribunal admite que el apartado 6 del art. 25 se remite para el juicio de adecuación a la legislación nacional o a los eventuales compromisos internacionales que existan; y que, de este modo, la protección debe ser considerada «a efectos de protección de la vida privada o de las libertades o de los derechos fundamentales de las personas». Se trata de una afirmación confusa que parece concebir el propio parámetro de adecuación en términos flexibles y elásticos, que deben ser interpretados a la luz de la exigencia de tutelar los derechos fundamentales en juego. Y cuando el Tribunal intenta dotar de contenido sustancial a la noción de adecuación acaba, de hecho, por privarla un significado preciso.
En el apartado siguiente[81], los magistrados parecen confirmar indirectamente esta tendencia del Tribunal a articular la tutela de los datos personales mediante la regla de la equivalencia en lugar de la simple adecuación: esta transición se observa en el énfasis dado al objetivo del art. 25 de la Directiva, al decir que este «da cumplimiento a la obligación expresa de […] asegurar la continuidad del elevado nivel de protección en caso de transferencia de datos personales a un tercer país» (en la versión en inglés, «ensure that the high level of that protection continues where personal data is transferred to a third country»). Si bien es cierto que el recurso terminológico a la noción de continuidad no puede considerarse determinante en relación a la pretendida diferencia entre el significado de «adecuación» y el de «equivalencia», sí que parece más esclarecedora la afirmación que plantea una teórica extensión territorial más allá de la UE de la aplicación de las garantías previstas en el ordenamiento comunitario.
La verdadera reorientación del parámetro de adecuación según un ángulo que lo equipara al de equivalencia se aprecia en el siguiente parágrafo, en el que el Tribunal[82], a pesar de precisar que el estándar de adecuación no implica que el nivel de protección deba ser igual que el europeo, recuerda los argumentos del abogado general[83] para especificar que el término adecuación implica la exigencia de un nivel de protección sustancialmente equivalente al que se disfruta dentro de la Unión que viene —frase crucial— «garantizado por la Directiva 95/46 entendida a la luz de la Carta». Aquí aparece la premisa axiológica (o, si se quisiera leer maliciosamente, el prejuicio axiológico) que conduce a la conversión del parámetro de adecuación en el de equivalencia a través de la fuerza transformadora de la Carta de los Derechos Fundamentales: el Tribunal es claro al plantear que esta operación de mutación normativa de la Directiva se basa en una lectura teleológicamente inspirada de la Carta.
Se ve así cómo el Tribunal dirige su atención sobre la naturaleza dinámica del nivel de protección, que puede variar según factores diversos. Teniendo esto en cuenta, el Tribunal precisa que la Comisión debe efectuar una verificación periódica de la adecuación conforme a lo establecido por la Directiva, que será «obligada cuando hay indicios que generan una duda en ese sentido»[84]. Y naturalmente, para esta verificación deberán tenerse en cuenta las circunstancias que deben orientar la decisión de la Comisión: la exigencia de que se compruebe el respeto a los estándares europeos que la Directiva impone para asegurar que la protección se despliega no solo en términos espaciales, sino también temporales[85].
En el parágrafo 74 la sentencia plantea otro perfil de esta dinámica, al precisar que, para valorar si se cumplen los requisitos de la Directiva «entendida a la luz de la Carta», se debe tener en cuenta que los instrumentos de tutela escogidos por terceros países pueden ser, sin duda, diferentes de los adoptados por los Estados miembros. Se entrevé en este pasaje una huella más del camino de la mutación normativa que recorre toda la estructura de la sentencia: la valoración de la legitimidad y de la conformidad con el acquis europeo de la decisión de la Comisión ya no solo debe hacerse a partir de la Directiva, sino que también se debe tener en cuenta la Carta de los Derechos Fundamentales, que entra en escena con su contenido «constitucionalizante» y evidencia el tránsito de una protección eminentemente mercantilista de la circulación de datos personales a otra fundamental rights oriented.
Este punto es clave para reafirmar que los instrumentos adoptados por terceros países deben revelarse eficaces para asegurar una protección sustancialmente equivalente a la garantizada dentro de la Unión.
A este respecto, la aproximación que realizan los magistrados de Luxemburgo es peculiar.
Por un lado, el Tribunal, de hecho, admite explícitamente que los instrumentos que sirven para asegurar en terceros países la tutela de los datos personales según los parámetros adecuados, referidos al nivel de protección de la Unión Europea, pueden ser muy diferentes. Esto se podría entender como un paso hacia atrás, una especie de self-restraint del Tribunal que reconoce que se puede llegar al (casi) mismo resultado con una fórmula distinta, lo que pondría las bases conceptuales para hablar de una imposibilidad sustancial de controlar las soluciones normativas adoptadas por ordenamientos distintos al de la Unión Europea.
Sin embargo, por otro lado, el Tribunal entra de lleno a valorar los instrumentos normativos que aseguran la protección de los datos personales en el ordenamiento al que se refiere la constatación de adecuación contenida en la Decisión 2000/520, es decir, el estadounidense. Y lo hace mediante una aproximación inédita, al menos en lo que respecta a las decisiones que se ocupan directamente de derechos fundamentales: en lugar de tratar la cuestión como un asunto relativo a la libertad económica, lo hace desde un punto de vista pragmático, prestando una atención especial a la satisfacción del objetivo de tutela que persiguen las medidas en cuestión. En el mismo parágrafo 74 se plantea que, en relación a las posibles diferencias con los implementados por parte de los Estados miembros, esos instrumentos deben mostrarse eficaces «en la práctica» para asegurar una protección «sustancialmente equivalente» (importante mutación de la dicción normativa) a la dispensada dentro de la Unión Europea. Bajo esta idea, el Tribunal comienza su examen, con un sentido eminentemente práctico, de las medidas previstas en el ordenamiento estadounidense mediante el sistema de safe harbour, con el fin de verificar si estas cumplen con el requisito de la protección equivalente. De este modo el estudio, llevado en términos pragmáticos, que los magistrados hacen de las garantías previstas en los Estados Unidos permite apreciar, empleando un parámetro indirecto, la divergencia sustancial de este ordenamiento en relación con las reglas que se contienen en la Directiva, lo que sirve para anular la decisión de la Comisión que había declarado su adecuación. Aunque formalmente se basa en una comparación entre el contenido de la decisión y los requisitos de la Directiva, la comprobación que lleva a cabo el Tribunal está valorando, en la práctica, la conformidad de las disposiciones vigentes aplicables en los Estados Unidos con las normas de la Carta que tutelan los derechos fundamentales afectados (protección de la vida privada y familiar, protección de los datos personales, derecho a un juicio justo).
Por último, habría que plantearse cómo la Sentencia del caso Schrems podría reconciliarse y unirse a la jurisprudencia, ya amplia, del Tribunal de Justicia en materia de derechos fundamentales.
No se puede obviar, en primer lugar, la importantísima referencia que, entre los hilos del fallo, el Tribunal realiza a la sentencia, o mejor dicho, a la saga Kadi [86].
En particular, en el parágrafo 60 de la sentencia, el Tribunal de Justicia plantea el principio por el que la Unión Europea es, textualmente, una Unión de derecho en el sentido clásico, por lo que «todos los actos de sus instituciones están sujetos al control de su conformidad, en particular, con los Tratados, con los principios generales del derecho y con los derechos fundamentales». Esta observación sirve a los magistrados para precisar, justo después, que las decisiones de la Comisión adoptadas conforme al art. 25.6 de la Directiva 95/46/CE no pueden sustraerse a tal regla.
Leyendo la Sentencia Schrems a contraluz del asunto Kadi [87] surge la imagen de un sistema europeo que responde a un modelo autónomo, un paradigma que, dentro de una construcción dualista, no admite interpretaciones arbitrarias o restricciones en materia de derechos fundamentales. Parece poder afirmarse que en relación a los ordenamientos diferentes con los que el sistema jurídico europeo entra en comunicación (y que impropiamente podríamos definir, desde una perspectiva funcional, como el parámetro mediato que da contenido a las disposiciones del ordenamiento comunitario), la tutela de los derechos fundamentales constituye un bastión infranqueable, un contralímite frente al que cede cualquier norma o práctica que tenga un sentido contrario.
Es una forma de reapropiarse de una soberanía, que en el fondo nunca ha sido debatida ni cedida, sobre el terreno último de los derechos fundamentales, el mismo que la Unión Europea había conocido solo de manera refleja en su primera etapa, descontando la vocación netamente mercantilista de la construcción comunitaria. Los derechos fundamentales, antes relegados —como ya se ha recordado— a simples excepciones en manos de los Estados miembros para justificar restricciones a las libertades económicas proclamadas por los Tratados, se convierten así en un pivote del sistema y en «válvula» que regula su apertura hacia el exterior.
No puede por tanto pasar desapercibido ni dejar de definirse como esencial el papel de la Carta de los Derechos Fundamentales de la Unión Europea, que ya se demostró crucial en Kadi.
No obstante, trayendo a colación esta saga se debe tener en cuenta una diferencia sustancial que parece remarcar aún más la autonomía del ordenamiento comunitario.
En la decisión Kadi, la fuente «externa» de la que se derivaba la vulneración de los derechos fundamentales tutelados por la Carta estaba representada por las obligaciones que imponía un acuerdo internacional y, más en concreto, una resolución del Consejo de Seguridad de Naciones Unidas. El contenido del ordenamiento de la ONU era el término respecto del que el sistema comunitario debía tomar distancias, interponiendo la tutela de los derechos fundamentales como obstáculo a una plena y servil plasmación de cuanto se preveía en la fuente heterónoma sobre la que el reglamento del Consejo, después anulado parcialmente, se apoyaba.
En el caso Schrems, por su parte, no es una norma de derecho internacional ni un acto procedente de una organización internacional, sino el sistema de safe harbour y, en definitiva, el ordenamiento de los Estados Unidos el que expone a la Unión Europea a una amenaza a los derechos fundamentales. Por tanto, el límite que impone la tutela de los arts. 7, 8 y 47 de la Carta se acciona contra el ordenamiento de un tercer Estado. Esto permite apreciar mejor el valor de la Carta, dado que su enforcement conduce a una revisión, claramente fundamental rights oriented, de un acto que contenía una valoración distinta del grado de protección ofrecido por el ordenamiento estadounidense: así, lo que se altera no es la reproducción sustancial del contenido de una norma internacional, sino una valoración, consolidada en la Decisión 2000/250, de adecuación de la tutela (y, por tanto, de «no peligro» para los derechos fundamentales).
Siempre con la idea de integrar el fallo Schrems en el discurso europeo en materia de derechos fundamentales, no se puede obviar una conexión importante que existe entre una parte de la sentencia y algunos precedentes relevantes del Tribunal Constitucional alemán.
En el parágrafo 73 se lee que no se puede exigir «que un tercer país garantice un nivel de protección idéntico al garantizado en el ordenamiento jurídico de la Unión». Esta afirmación del Tribunal de Luxemburgo evoca el contenido de dos importantísimas sentencias del Tribunal Constitucional federal alemán (Bundesverfassungsgericht), conocidas con el nombre de Solange I [88]y Solange II [89].
La Sentencia Solange I [90] , de 1974, trata sobre la interpretación de la cláusula de atribución de soberanía a una organización internacional que se contiene en el art. 24. Según el Bundesverfassungsgericht, considerando que la integración europea se encontraba en un estadio de integración todavía parcial —evidenciado en la ausencia de un documento que tutelase los derechos fundamentales y, de forma más general, en el problema de déficit democrático visible en la construcción comunitaria—, dicha cláusula debía ser objeto de una interpretación restrictiva. En consecuencia, en ausencia de un catálogo de derechos fundamentales, el Tribunal Constitucional se reservaba el derecho de no aplicar aquellas disposiciones del ordenamiento comunitario que fueran contrarias a los derechos protegidos por la Constitución alemana.
Esta decisión se revisó en el posterior fallo Solange II, de 1986, en la que el Tribunal de Karlsruhe apuntaba la capacidad del Tribunal de
Justicia para ofrecer —y aquí la redundancia con el parágrafo 73 de la Sentencia Schrems (Mayer, F. C. (2015).The Force awakens — The Schrems case from a German perspective.
Verfassungsblog on Matters Constitutional [blog], 16/10/2015. Disponible en:
Por último, en lo que respecta a la cuestión de la equivalencia en el grado de protección, no se puede dejar de mencionar un tercer caso que muestra cuál es la dinámica establecida entre los tribunales constitucionales y europeos en pos de un sistema equilibrado. En la Sentencia Bosphorus c. Irlanda de 30 de junio de 2005[91] , el Tribunal Europeo de Derechos Humanos se pronunció, de forma histórica, sobre la posibilidad de valorar a partir del CEDH las normas de derecho derivado de la Unión, en concreto los reglamentos[92].
En esta Sentencia destaca el enunciado de la presumption of conventionality. En realidad, el Tribunal de Estrasburgo ya había afirmado, en su jurisprudencia anterior, la inexistencia de responsabilidad para los Estados miembros de la Unión Europea por vulnerar el CEDH mediante una actuación que fuese consecuencia de la observancia de normas de derecho derivado sobre las que (como en el caso de los reglamentos, directamente aplicables) los Estados carecieran de posibilidad discrecional alguna, siempre y cuando en el sistema comunitario los derechos fundamentales reciban una protección equivalente a la prevista en el CEDH.
En la Sentencia Bosphorus el Tribunal perfecciona este principio, precisando cómo el principio de equivalencia debe entenderse desde la óptica de la comparabilidad entre sistemas. Así, en el apartado 155:
By «equivalent» the Court means «comparable»; any requirement that the organisation’s protection be «identical» could run counter to the interest of international cooperation pursued […]. However, any such finding of equivalence could not be final and would be susceptible to review in the light of any relevant change in fundamental rights protection.
Por tanto, las autoridades de los Estados miembros no pueden responder por vulnerar el Convenio mientras actúen en cumplimiento de normas directamente aplicables de la Unión Europea. Esta presunción, basada en que los Estados miembros aseguran una protección equivalente, solo puede ser desvirtuada en caso de que la tutela de los derechos contenidos en el CEDH se compruebe manifiestamente insuficiente.
A este respecto, basta recordar que lo que se presenta como el posible cierre del sistema, es decir, la adhesión de la Unión Europea al CEDH —actualmente solo anunciada, y considerada incompatible con el estado actual de las cosas por el Tribunal de Justicia en un pronunciamiento reciente— parece una fórmula que aún está lejos de poder concretarse[93]. Por tanto permanece abierta, y la casuística así lo confirma, la cuestión de la equivalencia efectiva (rectius: comparabilidad) entre las garantías establecidas a nivel de la Unión Europea y las del CEDH para proteger los derechos fundamentales[94].
Finalmente, se deben exponer dos importantes reflexiones conclusivas.
En primer término, es interesante cómo, comparando la Sentencia Schrems con los precedentes europeos en materia de equivalencia de la protección de los derechos fundamentales, llama inmediatamente la atención lo peculiar de este caso. Mientras que en los tres casos citados el tema de la equivalencia se suscitó a partir de la relación entre el Tribunal de Justicia y un ordenamiento nacional (casos Solange I y II), entre aquel y un ordenamiento global (Sentencias Kadi), o bien entre el Tribunal Europeo de Derechos Humanos y un ordenamiento regional (caso Bosphorus), no es así en el asunto que se está examinando. En él, el Tribunal de Justicia se pronuncia sobre la relación de equivalencia que vincula al ordenamiento comunitario con el estadounidense: por primera vez, el protagonista es un Estado, no un ordenamiento internacional, regional o global. Este aspecto resulta particularmente susceptible de ser criticado, y no solo por el riesgo de aislamiento, que podría generarse como consecuencia de un efecto dominó vinculado al recíproco cruce de valoraciones a partir de la constatación realizada originalmente por la Comisión, y ahora revocada por el Tribunal de Justicia; también por razones «diplomáticas» y de «comity» que afectarán a las relaciones entre los Estados Unidos y la Unión Europea en los próximos meses, algo que ya se está viendo a la luz de la reciente aprobación del nuevo reglamento sobre protección de datos personales, que a falta de los últimos detalles entrará en vigor en breve[95].
La segunda cuestión está vinculada con el papel de los actores implicados en el caso. En los otros supuestos, el Tribunal de Justicia disponía de los instrumentos necesarios no solo para afirmar un principio, sino también para asegurar la actuación: el sujeto competente para valorar la existencia de equivalencia era, en otros términos, el mismo que había construido o enunciado la cláusula aplicable. En el caso Schrems no sucede así, ya que el Tribunal de Justicia empieza destruyendo el sistema creado en la decisión de la Comisión que servía para declarar la adecuación del sistema de safe harbour estadounidense. Pero tras alterar y reconstruir en otros términos el parámetro aplicable, que cambia de la adecuación a la equivalencia sustancial, el Tribunal confía, de hecho, a las autoridades nacionales la tarea de llevar a cabo esta apreciación, dando lugar a una importante descentralización: aquello que en principio se definía a nivel comunitario, ahora se sistematiza en el plano de cada uno de los Estados miembros.
Esta aproximación parece operar en sentido opuesto a la planteada, por ejemplo, en el «Article 29 Working Party», que en un statement [96]realizado con motivo de la sentencia reiteró la necesidad de un «robust, collective and common position on the implementation of the judgment». Por el contrario, en la opinión del Tribunal parece prevalecer la intención de descentralizar y diversificar lo que inicialmente se definía a nivel europeo: una puerta abierta hacia una balcanización de la protección[97], confiada a la sensibilidad de las autoridades nacionales y, por tanto, cada vez más desigual. Un riesgo que sería mejor evitar.
| [1] |
Según el art. 7: «Toda persona tiene derecho al respeto de su vida privada y familiar,
de su domicilio y de sus comunicaciones». |
| [2] |
Según el art. 8: «1. Toda persona tiene derecho a la protección de los datos de carácter
personal que la conciernan. 2. Estos datos se tratarán de modo leal, para fines concretos
y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento
legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos
que la conciernan y a obtener su rectificación. 3. El respeto de estas normas estará
sujeto al control de una autoridad independiente». |
| [3] |
TJUE de abril de 2014, demandas C-293/12 y C-594/12, Digital Right Ireland y Seitlinger
y al.; 13 de mayo de 2014, C-131/12, Google Spain SL y Google Inc. c. Agencia Española
de Protección de Datos (AEPD) y Mario Costeja Conzález. |
| [4] |
Directiva 2006/24/CE del Parlamento y del Consejo de 15 de marzo de 2006 sobre la
conservación de datos generados o tratados en relación con la prestación de servicios
de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones
y por la que se modifica la Directiva 2002/58/CE. |
| [5] |
Para conocer la controversia, véanse F. Boehm y M. D. Cole (Boehm, F. y Cole, M. D. (2014). Data retention after the Judgement of the Court of Justice of the European Union. Estudio financiado por el Grupo Greens/EFA en el Parlamento Europeo, junio de 2014.
Disponible en:
|
| [6] |
Para algunas observaciones críticas sobre las resoluciones que se examinan, véase
T. E. Frosini (Frosini, T. E. (2014). Diritto all’oblio e Internet. Federalismi.it, 12. Disponible en:
|
| [7] |
Lo que por otro lado se confirma en las Explicaciones al art. 7, donde se lee que
«los derechos garantizados en el artículo 7 corresponden a los que garantiza el artículo
8 del CEDH. A fin de tener en cuenta la evolución técnica, se ha sustituido la palabra
“correspondencia” por “comunicaciones”. De conformidad con lo dispuesto en el apartado
3 del artículo 52, este derecho tiene el mismo sentido y alcance que en el artículo
correspondiente del CEDH. Como consecuencia de ello, las limitaciones de que puede
ser objeto legítimamente son las mismas que las toleradas en el marco del referido
artículo 8». |
| [8] |
Ver las Explicaciones sobre la Carta de los Derechos Fundamentales, 2007/C 303/02,
en DOUE, C 303/17 del 14/12/2007. |
| [9] |
Según las Explicaciones: «Este artículo se ha basado en el artículo 286 del Tratado
constitutivo de la Comunidad Europea y en la Directiva 95/46/CE del Parlamento Europeo
y del Consejo relativa a la protección de las personas físicas en lo que respecta
al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281
de 23.11.1995, p. 31), así como en el artículo 8 del CEDH y en el Convenio del Consejo
de Europa para la protección de las personas con respecto al tratamiento automatizado
de datos de carácter personal, de 28 de enero de 1981, ratificado por todos los Estados
miembros. El derecho a la protección de los datos personales se ejercita en las condiciones
previstas en la mencionada directiva y puede ser limitado bajo las condiciones previstas
en el artículo 53 de la Carta». Sin embargo, como se ha apuntado recientemente, los
redactores de la Carta no lograron plantear una justificación satisfactoria para la
codificación, mediante el art. 8 de la misma, de un auténtico y propio derecho fundamental
a la protección de datos, lo que ha abierto la puerta a una serie de especulaciones
al respecto por parte de la doctrina, no siempre del todo convincentes. Véase O. Lynskey
(Lynskey, O. (2014). Deconstructing Data Protection: The «Added-value» of a Right to
Data Protection in The EU Legal Order. International and Comparative Law Quarterly, 63 (3) 569-597. Disponible en:
|
| [10] |
Como se ha confirmado, inter alia, en primer lugar, por la circunstancia, determinante, de que la base jurídica de
la Directiva es el art. 100 A, introducido con el Acta Única Europea y más tarde convertido
en el art. 95 TCE, que es el fundamento de todos los actos de la UE que tienen por
objeto la armonización de las medidas nacionales relativas a la instauración y funcionamiento
del mercado interior. En segundo lugar, por lo que se lee en el tercer considerando
de la Directiva: «el establecimiento y funcionamiento del mercado interior, dentro
del cual está garantizada, con arreglo al artículo 7 A del Tratado, la libre circulación
de mercancías, personas, servicios y capitales, hacen necesaria no solo la libre circulación
de datos personales de un Estado miembro a otro, sino también la protección de los
derechos fundamentales de las personas» |
| [11] |
Que dice que «toda persona tiene derecho a la protección de los datos de carácter
personal que le conciernan». |
| [12] |
Innovación que no se limita, por otro lado, al sector de la legislación comunitaria
aplicable al caso, a la vista de que el primer reconocimiento jurisprudencial de un
derecho a la protección de datos es posterior al periodo de redacción de la Carta,
y se encuentra en la decisión del Tribunal de Justicia en el caso Promusicae c. Telefónica de España SAU, C-275/06, del 29 de enero de 2008. |
| [13] |
Que dice que: «Cualquier limitación del ejercicio de los derechos y libertades reconocidos
por la presente Carta deberá ser establecida por la ley y respetar el contenido esencial
de dichos derechos y libertades. Dentro del respeto del principio de proporcionalidad,
solo podrán introducirse limitaciones cuando sean necesarias y respondan efectivamente
a objetivos de interés general reconocidos por la Unión o a la necesidad de protección
de los derechos y libertades de los demás». |
| [14] |
TJUE, 9 de noviembre de 2010, casos acumulados C-92/09 y C-93/09, Volker and Markus Schelke, par. 52. Otro punto que evidencia la tendencia del Tribunal a realizar una lectura
indiferenciada de los arts. 7 y 8 es aquel en el que, en la sentencia citada, se lee
que los artículos 7 y 8 de la Carta están estrechamente ligados hasta el punto de
poder ser considerados como integrantes de un «derecho a la vida privada en relación
al tratamiento de los datos personales» (par. 52). |
| [15] |
Como se formuló por primera vez en 1984 por el BVerfG en el caso Volkszählung (Microcensus). |
| [16] |
Tal y como se desprende de la referencia que las Explicaciones hacen (también) a la
Convención n. 108 de 1981 del Consejo de Europa, que no considera como algo esencial
el consentimiento del titular del derecho. |
| [17] |
Aunque todavía se tiende a una protección indiferenciada, la sentencia Google Spain, en el par. 53, señala textualmente que se debe recordar que la tutela de los datos
personales, resultante de la obligación explícita prevista en el artículo 8, apartado
1, de la Carta, reviste una importancia especial para el derecho al respeto de la
vida privada consagrado en el artículo 7 de la misma. |
| [18] |
Clarísimos en este sentido son los parágrafos 39 y 40 del fallo, en los que se lee
que «En lo que atañe al contenido esencial del derecho fundamental al respeto de la
vida privada y de los otros derechos reconocidos en el artículo 7 de la Carta, debe
señalarse que, aunque la conservación de datos que la Directiva 2006/24 impone constituye
una injerencia especialmente grave en dichos derechos, no puede vulnerar dicho contenido
puesto que, como se desprende de su artículo 1, apartado 2, la Directiva no permite
conocer el contenido de las comunicaciones electrónicas como tal. Esta conservación
de datos tampoco puede vulnerar el contenido esencial del derecho fundamental a la
protección de datos de carácter personal, reconocido en el artículo 8 de la Carta,
ya que la Directiva 2006/24 establece, en su artículo 7, una regla relativa a la protección
y a la seguridad de los datos según la cual, sin perjuicio de las disposiciones adoptadas
con arreglo a las Directivas 95/46 y 2002/58, los proveedores de servicios de comunicaciones
electrónicas de acceso público o de redes públicas de telecomunicaciones deben respetar
determinados principios de protección y de seguridad de los datos. Con arreglo a dichos
principios, los Estados miembros velarán por que se adopten medidas técnicas y organizativas
adecuadas contra la destrucción accidental o ilícita de los datos y su pérdida o alteración
accidental». |
| [19] |
La primera cuestión prejudicial fue planteada por la High Court irlandesa, que se preguntaba si la regulación prevista en la Directiva era compatible
con el principio de proporcionalidad del art. 52.1 de la Carta, y si podía existir
un conflicto con los derechos al respeto a la vida privada, a la protección de datos
personales, a la libertad de expresión y a una buena administración, previstos respectivamente
en los arts. 7, 8 y 11 de la Carta. La segunda vino del Tribunal Constitucional austriaco,
planteada a partir de 11.130 recursos directos de constitucionalidad de particulares
(a los que se unió uno del gobierno de Carintia) en los que se reclamaba la anulación
de la ley de trasposición de la Directiva para determinar si las fórmulas para la
recogida de datos previstas en esta eran compatibles con los derechos al respeto a
la vida privada, a la protección de datos personales y a la libertad de expresión
tutelados por la Carta. Además, el propio Tribunal Constitucional austriaco ha requerido
algunas aclaraciones sobre la aplicación del art. 52.1 de la Carta; en particular
ha solicitado al Tribunal de Luxemburgo que verifique si el marco normativo europeo
respeta el contenido esencial del derecho a la protección de datos de carácter personal
y si la conservación de datos es compatible con las tradiciones constitucionales comunes
y con el art. 8 de la Convención Europea. |
| [20] |
Conclusiones del abogado general Cruz Villalón, 12 de diciembre de 2013, C-293/12,
cit. |
| [21] |
Véase TJUE, C‑301/06, Irlanda c. Parlamento y Consejo, 10 de febrero de 2009. En esta decisión el Tribunal debía resolver un recurso directo
de anulación de la Directiva 2006/24 en el que solo se alegaba la existencia de un
error en el fundamento normativo. En consecuencia, el Tribunal dijo expresamente,
en el par. 57, que «el recurso interpuesto por Irlanda se refiere únicamente a la
elección de la base jurídica y no a una posible violación de los derechos fundamentales
resultante de las injerencias que implica la Directiva 2006/24 en el derecho al respeto
de la vida privada». |
| [22] |
El propio Tribunal de Justicia se reafirma sobre este aspecto en el par. 37 del reasoning subrayando cómo «la circunstancia de que la conservación de los datos y su posterior
utilización se efectúen sin que el abonado o el usuario registrado hayan sido informados
de ello puede generar en las personas afectadas el sentimiento de que su vida privada
es objeto de una vigilancia constante, como afirmó el abogado general en los puntos
52 y 72 de sus conclusiones». |
| [23] |
Véase los parágrafos 39 y 40 de las Conclusiones del abogado general, C-293/12, cit.
|
| [24] |
La naturaleza ambivalente de la Directiva, que por una parte armoniza y por la otra
regula, no pasó desapercibida para el abogado general, que en el punto 46 señaló cómo
«la Directiva 2006/24 se caracteriza por su dualidad funcional. Por una parte, es
una directiva completamente clásica que trata de armonizar legislaciones nacionales
dispares o que puedan llegar a serlo, adoptada en aras del funcionamiento del mercado
interior y concebida especialmente para ese fin, como el Tribunal de Justicia declaró
en su Sentencia Irlanda/Parlamento y Consejo, antes citada. Sin embargo, también es, por otra parte, una directiva que, incluso
en su función armonizadora, pretende establecer, en su caso, obligaciones, principalmente
de conservación de datos, que, como demostraré a continuación, constituyen injerencias
caracterizadas en el disfrute de los derechos fundamentales que la Carta garantiza
a los ciudadanos europeos, especialmente el derecho al respeto de la intimidad y el
derecho a la protección de los datos personales». |
| [25] |
Art. 1, Dir. 2006/24/CE. |
| [26] |
Tribunal Supremo Administrativo búlgaro, 11 de diciembre de 2008, n. 13627, accesible
en www.capital.bg; Tribunal Supremo chipriota, 1 de febrero de 2010, rec. n. 65/2009, 78/2009, 82/2009
y 15/2010-22/2010, disponible en www.supremecourt.gov.cy; Tribunal Constitucional rumano, n. 1258, 8 de octubre de 2009, disponible en www.legi-internet.ro; Tribunal Constitucional alemán, 2 de marzo de 2010, 1 BvR 256/08, disponible en
www.bverfg.de, comentada por A. di Martino (2010); Tribunal Constitucional checo, 22 de marzo de
2011, PI US 24/2010, disponible en www.usoud.cz. |
| [27] |
Véase la sentencia de 3 de julio de 2014, I-65/13-19. Para una breve síntesis véase
S. Bardutzky (Bardutzky, S. (2014). The Timing of Dialogue: Slovenian Constitutional Court and the
Data Retention Directive. Verfassungsblog on Matters Constitutional [blog]. Disponible en:
|
| [28] |
Conclusiones del abogado general, C-293/12, par. 55. |
| [29] |
Ibid., par. 65. |
| [30] |
Ibid., par. 64. |
| [31] |
Ibid., par. 65. |
| [32] |
Ibid.
|
| [33] |
Según esta previsión, por una parte: «Cualquier limitación del ejercicio de los derechos
y libertades reconocidos por la presente Carta deberá ser establecida por la ley y
respetar el contenido esencial de dichos derechos y libertades», y por otra: «Dentro
del respeto del principio de proporcionalidad, solo podrán introducirse limitaciones
cuando sean necesarias y respondan efectivamente a objetivos de interés general reconocidos
por la Unión o a la necesidad de protección de los derechos y libertades de los demás». |
| [34] |
TJUE, C-293/12, par. 35. |
| [35] |
La doctrina ya había planteado sus críticas a la Directiva. Véase F. Bignami (Bignami, F. (2006). Protecting Privacy Against the Police in the European Union: The Data Retention Directive. GWU Legal Studies Research Paper, 2013-43. Disponible en:
|
| [36] |
TJUE, C-293/12, par. 65. |
| [37] |
Conclusiones del abogado general Jääskinen, 25 de junio de 2013, C-131/12. |
| [38] |
Para algunas observaciones críticas, véanse T. E. Frosini (Frosini, T. E. (2014). Diritto all’oblio e Internet. Federalismi.it, 12. Disponible en:
|
| [39] |
TJUE, C-131/12, pars. 81 y 97. |
| [40] |
Conclusiones del abogado general Kokott, 8 de mayo de 2008, C-73/07, par. 43, donde
se lee que: «Una aplicación estricta de la protección de datos podría limitar considerablemente
la libertad de expresión. De este modo, el periodismo de investigación sería prácticamente
imposible si los medios de comunicación únicamente pudieran tratar y publicar informaciones
personales con el consentimiento de los interesados o tras haberles informado. Por
otra parte, es evidente que los medios de comunicación pueden violar la intimidad
de particulares. Por consiguiente, debe encontrarse un equilibrio». |
| [41] |
TJUE, 16 de diciembre de 2008, C-73/07, Tietosuojavaltuutettu c. Satakunnan Markkinapörssi Oy y Satamedia Oy.
|
| [42] |
TEDH, 16 de julio de 2013, rec. n. 33846/07, Węgrzynowski y Smolczewski c. Polonia. |
| [43] |
No obstante, en las reflexiones conclusivas se expondrá la línea jurisprudencial
que recientemente parece unir las interpretaciones de los dos Tribunales europeos
para llegar, a través de argumentaciones diferentes, a un resultado análogo que se
materializa en la remodulación del ámbito de protección reconocido a la libertad de
expresión al ejercitarse en la web en relación a la tutela que esta proyecta sobre
el mundo de los átomos. |
| [44] |
El art. 4 de la Directiva 95/46, titulado «derecho nacional aplicable», prevé en su
letra a) que los Estados miembros aplicarán las disposiciones nacionales que haya
aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales
cuando «el tratamiento sea efectuado en el marco de las actividades de un establecimiento
del responsable del tratamiento en el territorio del Estado miembro». |
| [45] |
TJUE, C-131/12, par. 53. |
| [46] |
TJUE, 12 de julio de 2011, C-324/09, L’Oréal et al., citada en el par. 53 de la Sentencia Google Spain.
|
| [47] |
Ibid., par. 63, donde se lee que «tal como observaron el abogado general en el punto 127
de sus conclusiones y la Comisión en sus observaciones escritas, la efectividad de
tales normas quedaría mermada si el uso, en una oferta de venta o en una publicidad
en Internet destinada a consumidores situados en la Unión, de un signo idéntico o
similar a una marca registrada en la Unión se sustrajera a la aplicación de dichas
normas por el mero hecho de que el tercero que realizara esa oferta o esa publicidad
esté establecido en un tercer Estado, el servidor del sitio de Internet que utiliza
se encuentre en ese Estado o el producto objeto de tal oferta o publicidad se halle
en un tercer Estado». |
| [48] |
TJUE, C-131/12, par. 38. |
| [49] |
Como hemos tenido ocasión de indicar en otra parte, también es forzada la lectura
que el Tribunal de Justicia propone del derecho de oposición ex art. 14.1.b) de la Directiva: el interesado puede oponerse en cualquier momento y
por razones legítimas propias de su situación particular a que los datos que le conciernan
sean objeto de tratamiento. También aquí el Tribunal impropiamente amplía la excepción
en detrimento del significado auténtico de la disposición: según los magistrados de
Luxemburgo, esta previsión permite a los interesados hacer valer todas las «circunstancias
propias de su situación concreta». Véase M. Bassini y O. Pollicino (Bassini, M. y Pollicino, O. (2014). Bowling for Columbine. La Corte di giustizia sul
caso Google Spain: l’oblio (quasi) prima di tutto? Diritto24, 13/05/2014. Disponible en:
|
| [50] |
TJUE, C-131/12, par. 85. |
| [51] |
TJUE, 16 de diciembre de 2008, C-73/07, Tietosuojavaltuutettu c. Satakunnan Markkinapörssi Oy y Satamedia Oy. |
| [52] |
Ibid.
|
| [53] |
Más en general, sobre la argumentación jurídica de los tribunales en el ámbito «digital»,
véase P. Costanzo (Costanzo, P. (2012). Il fattore tecnologico e le sue conseguenze, Convención anual de la AIC, «Costituzionalismo e Globalizzazione», Salerno, 23-24 de noviembre de 2012. Disponible en:
|
| [54] |
TJUE, 6 de octubre de 2015, C-362/14, Maximillian Schrems c. Data Protection Commissioner.
|
| [55] |
Los primeros comentarios «en caliente» son los de S. Rodotà (Rodotà, S. (2015). Internet e privacy, c’è un giudice in Europa che frena gli Usa.
R.it [blog], 12/10/2015. Disponible en:
|
| [56] |
Decisión 2000/250/CE de la Comisión, del 26 de julio de 2000, a partir de la Directiva
95/46 sobre la adecuación de la protección ofrecida por los principios de puerto seguro
y por sus «Preguntas Frecuentes» (FAQ) en materia de secreto publicadas por el Departamento
de Comercio de los Estados Unidos. |
| [57] |
TJUE, 8 de abril de 2014, causas acumuladas C-293/12 y C-594/12, Digital Rights Ireland, Seitlinger et a.
|
| [58] |
Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006,
sobre la conservación de datos generados o tratados en relación con la prestación
de servicios de comunicaciones electrónicas de acceso público o de redes públicas
de comunicaciones y por la que se modifica la Directiva 2002/58/CE. |
| [59] |
Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995,
relativa a la protección de las personas físicas en lo que respecta al tratamiento
de datos personales y a la libre circulación de estos datos. |
| [60] |
Sobre esto, me permito remitirme a O. Pollicino (Pollicino, O. (2015b). Un digital right to privacy preso (troppo) sul serio dai giudici
di Lussemburgo? Il ruolo degli artt. 7 e 8 della Carta di Nizza nel reasoning di Google
Spain. En G. Resta y V. Zeno-Zencovich (eds.). Il diritto all’oblio su Internet dopo la sentenza Google Spain. Roma: RomaTre Press.2015b, Pollicino, O. (2014a). Interpretazione o manipolazione? La Corte di giustizia definisce
un nuovo diritto alla privacy digitale. Federalismi-it, 3. Disponible en:
|
| [61] |
TJUE, 13 de mayo de 2014, C-131/12, Google Spain SL, Google Inc. c. Agencia Española de Protección de Datos y Mario Costeja
González.
|
| [62] |
Para algunos comentarios sobre el fallo Digital Rights Ireland, véanse: L. Trucco (Trucco, L. (2014). Data retention: la Corte di giustizia si appella alla Carta UE
dei diritti fondamentali. Giurisprudenza italiana, 8-9, 1850-1856.2014), R. Flor (Flor, R. (2014). La Corte di Giustizia considera la direttiva europea 2006/24 sulla
c.d. «data retention» contraria ai diritti fondamentali. Una lunga storia a lieto
fine? Diritto Penale Contemporaneo, 2, 178-190.2014 y Flor, R. (2015). Dalla «Data retention» al diritto all’oblio. Dalle paure orwelliane
alla recente giurisprudenza della corte di giustizia. En G. Resta y V. Zeno-Zencovich
(eds.). Il diritto all’oblio su Internet dopo la sentenza Google Spain (pp. 223-254). Roma Tre Press: Roma.2015), A. Vedaschi y V. Lubello (Vedaschi, A. y Lubello, V. (2015). Data Retention and its Implications for the Fundamental
Right to Privacy: A European Perspective. Tilburg Law Review, 20 (1), 14-34. Disponible en:
|
| [63] |
Por su parte, algunas reacciones institucionales se pueden consultar en European Commission,
Communication from the Commission to the European Parliament and the Council on the
Transfer of Personal Data from the EU to the United States of America under Directive
95/46/EC following the Judgment by the Court of Justice in Case C-362/14 (Schrems),
COM(2015) 566 final, Bruselas, 6 de noviembre de 2015; Id., Statement, First Vice-President Timmermans and Commissioner Jourová’s press conference
on Safe Harbour following the Court ruling in case C-362/14 (Schrems), 6 de octubre de 2015; Article 29 Working Party, Statement on the implementation of the judgement of the Court of Justice of the European
Union of 6 October 2015 in the Maximilian Schrems v Data Protection Commissioner case
(C-362-14), WP 230, Bruselas, 16 de octubre de 2015; Federal Trade Commission, Transatlantic Privacy After Schrems: Time for An Honest Conversation, infome del Comisionado Julie Brill, Amsterdam Privacy Conference, 23 de octubre de
2015. |
| [64] |
En resumen, el art. 25 de la Directiva 95/46/CE establece que la transferencia de
datos personales hacia terceros países puede tener lugar solo si el país de destino
garantiza un nivel de protección adecuado, sin perjuicio de las medidas nacionales
de aplicación del resto de disposiciones de la Directiva. La tarea de valorar la adecuación
del nivel de protección ofrecido por un tercer país corresponde a la Comisión en virtud
del art. 25.6, según el procedimiento regulado en el art. 31 de la Directiva. En el
caso de que la Comisión constatase la inadecuación del nivel de protección asegurado
por el tercer país, los Estados miembros estarían obligados a adoptar las medidas
necesarias para evitar cualquier transferencia de datos personales hacia ese Estado. |
| [65] |
En verdad, como recuerda S. Rodotà (Rodotà, S. (2015). Internet e privacy, c’è un giudice in Europa che frena gli Usa.
R.it [blog], 12/10/2015. Disponible en:
|
| [66] |
Para un análisis, véase T. Groppi (Groppi, T. (2001). Rispetto della vita privata e della vita familiare. En R. Bifulco,
M. Cartabia y A. Celotto, A. (eds.). L`Europa dei diritti. Commento alla carta dei diritti fondamentali dell’ Unione europea. Bologna: Il Mulino.2001). |
| [67] | |
| [68] |
Al respecto, M. D’Amico (D’Amico, M. (2001). Diritto a un ricorso effettivo e a un giudice imparziale. En R.
Bifulco, M. Cartabia y A. Celotto (eds.). L’Europa dei diritti. Commento alla Carta dei diritti fondamentali dell’Unione Europea. Bologna: Il Mulino.2001). |
| [69] |
Así figura en el par. 38. |
| [70] |
Para valorar el camino de la Unión Europea y el proceso de integración, se puede consultar
P. Bilancia (Bilancia, P. (2012). The Dynamics of the EU Integration and the Impact on the National Constitutional Law.
The European Union After the Lisbon Treaties. Milano: Giuffrè Editori.2012). |
| [71] |
Sobre la contribución de la Carta de los Derechos Fundamentales de la Unión Europea,
ver, ex multis, a R. Bifulco, M. Cartabia y A. Celotto (Bifulco, R., Cartabia, M. y Celotto, A. (eds.) (2001). L`Europa dei diritti. Commento alla carta dei diritti fondamentali dell’ Unione europea.
Bologna: Il Mulino.2001); también A. Manzella, P. Melograni, E. O. Paciotti y S. Rodotà (Manzella, A., Melograni, P., Paciotti, E. O. y Rodotà, S. (eds.) (2001). Riscrivere i diritti in Europa. Introduzione alla Carta dei diritti fondamentali dell’Unione
Europea. Bologna: Il Mulino.2001), G. F. Ferrari (Ferrari, G. F. (ed.) (2001). I diritti fondamentali dopo la Carta di Nizza. Il costituzionalismo dei diritti. Milano: Giuffré.2001), A. Barbera (Barbera, A. (2001). La Carta europea dei diritti: una fonte di ri-cognizione? Il Diritti dell’Unione europea, 2-3, 241-259.2001), R. Toniatti (Toniatti, R. (2002). Diritto, diritti, giurisdizione. La carta dei diritti fondamentali dell’Unione europea. Padova: CEDAM.2002), A. Pace (Pace, A. (2001). A che serve la Carta dei diritti fondamentali dell’Unione europea?
Appunti preliminary. Giurisprudenza Costituzionale, 1, 193-207.2001), G. Zagrebelsky (Zagrebelsky, G. (ed.) (2003). Diritti e Costituzione nell’Unione Europea. Roma-Bari: Laterza.2003), A. Ruggeri (Ruggeri (2001). La «forza» della Carta europea dei diritti. Diretto Pubblico Comparato ed Europeo, 1, 182 y ss.2001), A. von Bogdandy (Von Bogdandy, A. (2001). Comunità di diritti fondamentali come meta dell’integrazione?
I diritti fondamentali e la natura dell’Unione europea. Diritto pubblico, 1, 849-899.2001), L. S. Rossi (Rossi, L. S. (ed.) (2002). Carta dei diritti fondamentali e costituzione dell’Unione europea. Milano: Giuffré Editore.2002). Más recientes, E. Gianfrancesco (Gianfrancesco, E. (2008). Some considerations on the juridical value of the Charter
of Fundamental Rights before and after the Lisbon Treaty. Disponible en:
|
| [72] |
Para profundizar, véanse los comentarios de J. Vedsted-Hansen (Vedsted-Hansen, J. (2014). Respect for Private and Family Life. En S. Peers, T. Harvey,
J. Kenner y A. Ward (eds.). The EU Charter of Fundamental Rights. A Commentary (cap. 7). Oxford: Hart Publishing.2014), Commentary on Article 7 y de H. Kranenborg (Kranenborg, H. (2014). Protection of Personal Data. En S. Peers, T. Harvey, J. Kenner
y A. Ward (eds.). The EU Charter of Fundamental Rights: A Commentary (cap. 8). Oxford: Hart Publishing.2014), Commentary on Article 8, en S. Peers, T. Harvey, J. Kenner y A. Ward (Peers, S., Harvey, T., Kenner, J. y Ward, A. (eds.) (2014). The EU Charter of Fundamental Rights: A Commentary. Oxford: Hart Publishing. Disponible en:
|
| [73] |
Véase el par. 39. |
| [74] |
Par. 51. |
| [75] |
Apunta el Tribunal en el par. 52: «mientras la decisión de la Comisión no haya sido
declarada inválida por el Tribunal de Justicia, los Estados miembros y sus órganos,
entre ellos las autoridades de control independientes, no pueden ciertamente adoptar
medidas contrarias a esa decisión, como serían actos por los que se apreciara con
efecto obligatorio que el tercer país al que se refiere dicha decisión no garantiza
un nivel de protección adecuado. En efecto, los actos de las instituciones de la Unión
disfrutan en principio de una presunción de legalidad, y producen por tanto efectos
jurídicos mientras no hayan sido revocados, anulados en virtud de un recurso de anulación
o declarados inválidos a raíz de una cuestión prejudicial o de una excepción de ilegalidad». |
| [76] |
Par. 54. |
| [77] |
Par. 55. |
| [78] |
Par. 56. |
| [79] |
Par. 64. |
| [80] |
Así aparece en el par. 65. |
| [81] |
Par. 72. |
| [82] |
Par. 73. |
| [83] |
Conclusiones del abogado general Bot, 23 de septiembre de 2015, C-362/14, Maximillian Schrems v. Data Protection Commissioner. En concreto, en el par. 141, invocado por el Tribunal, el abogado general se expresa
así: «un país tercero garantiza un nivel de protección adecuado si, una vez realizada
una evaluación de conjunto del Derecho y de las prácticas vigentes en el país tercero
en cuestión, puede afirmar que dicho país tercero garantiza un nivel de protección
sustancialmente equivalente al ofrecido por dicha Directiva, aun cuando las modalidades
de dicha protección puedan diferir de las que generalmente se aplican en la Unión».
Por tanto, el autor o, al menos, el artífice de la mutación es, en primera instancia,
más bien el abogado general. Tras defender un argumento así, como es lógico, se hacía
necesario precisar, como se hace en el siguiente apartado, que: «Si bien puede entenderse
que el término inglés “adequate”, desde un punto de vista lingüístico, designa un
nivel de protección simplemente satisfactorio o suficiente, y que, en este sentido,
pertenece a un campo semántico distinto del término español “adecuado”, conviene observar
que el único criterio que debe guiar la interpretación de dicho término es el objetivo
de alcanzar un alto nivel de protección de los derechos fundamentales, como exige
la Directiva 95/46». |
| [84] |
Véase el par. 76. |
| [85] |
Se aprecia aquí la influencia, una vez más, de la opinión del abogado general, que
en los apartados 146 y siguientes precisa que: «para garantizar el efecto útil del
artículo 25, apartados 1 a 3, de la Directiva 95/46, conviene tener en cuenta que
el carácter adecuado del nivel de protección ofrecido por un país tercero es una situación
cambiante que puede variar a lo largo del tiempo en función de diversos factores.
Los Estados miembros y la Comisión deben, por consiguiente, estar alerta ante cualquier
cambio en las circunstancias que pueda exigir una reconsideración del carácter adecuado
del nivel de protección ofrecido por un país tercero. La apreciación del carácter
adecuado del nivel de dicha protección no puede circunscribirse en ningún caso a una
fecha concreta y mantenerse posteriormente de forma indefinida, al margen de todo
cambio de circunstancias que demuestre que, en realidad, el nivel de protección ofrecido
ya no es adecuado. La obligación que tiene el país tercero de garantizar un nivel
de protección adecuado constituye, por tanto, una obligación permanente. Si la evaluación
se lleva a cabo en una fecha concreta, el mantenimiento de la decisión de adecuación
presupone que, desde entonces, no se ha producido ninguna circunstancia que ponga
en duda la evaluación inicial efectuada por la Comisión. En efecto, no hay que olvidar
que el objetivo del artículo 25 de la Directiva 95/46 es en todo caso el de evitar
que los datos de carácter personal sean transferidos a un país tercero que no garantiza
un nivel de protección adecuado, en vulneración del derecho fundamental a la protección
de datos personales garantizado por el artículo 8 de la Carta». |
| [86] |
Son cuatro los fallos que componen la saga Kadi: Tribunal de la CE, 21 de septiembre de 2005, T-315/01, Kadi c. Consejo y Comisión; TJUE, 3 de septiembre de 2008, asuntos acumulados C-402/05 P y C-415/05 P, Yassin Abdullah Kadi y Al Barakaat International Foundation c. Consejo de la Unión
Europea y Comisión de las Comunidades Europeas; Tribunal de la CE, 30 de septiembre de 2010, T-85/09, Yassin Abdullah Kadi c. Comisión Europea; TJUE, 18 de julio de 2013, asuntos acumulados C-584/10 P, C-593/10 P y C-595/10
P, Comisión Europea y otros c. Yassin Abdullah Kadi.
|
| [87] |
Para algunos comentarios, véanse V. Sciarabba (Sciarabba, V. (2014). La Corte di giustizia, le misure antiterrorismo, i diritti fondamentali e la «Carta
di Nizza»: l’epilogo della vicenda Kadi. Disponible en:
|
| [88] |
BVerfGE 37, 271. |
| [89] |
BVerfGE 73, 339. |
| [90] |
Algunos comentarios se pueden encontrar en S. Mangiameli (Mangiameli, S. (2008). L’esperienza costituzionale europea. Roma: Aracne Editrice.2008), P. Costanzo, L. Mezzetti y A. Ruggeri (Costanzo, P., Mezzetti, L. y Ruggeri, A. (2014). Lineamenti di diritto costituzionale dell’Unione europea. Torino: Giapichelli Editori.2014), P. L. Geti (Geti, P. L. (2015). Il contributo della Giurisprudenza costituzionale tedesca nella
determinazione dei rapporti con l’Unione Europea. Congreso sobre Parlamenti nazionali e Unione europea nella governance multilivello. Roma, 12-13 de mayo de 2015. Disponible en:
|
| [91] |
TEDH, 30 de junio de 2005, Bosphorus Hava Jollari Turizm c. Ticaret, n. 45036/98. |
| [92] |
Entre otros comentarios, véanse G. Repetto (Repetto, G. (2005). La Corte di Strasburgo e il sindacato sugli atti comunitari: al
solange non c’è mai fine? Rivista AIC. Disponible en:
|
| [93] |
Sobre los problemas que plantea la coordinación entre sistemas, véase E. Gianfrancesco
(Gianfrancesco, E. (2011). Incroci pericolosi: CEDU, Carta dei diritti fondamentali
e Costituzione italiana tra Corte costituzionale, Corte di Giustizia e Corte di Strasburgo.
Rivista AIC, 1.2011). |
| [94] |
Al respecto, V. Zagrebelsky (Zagrebelsky, G. (ed.) (2015). L’UE e il controllo esterno della protezione dei diritti
e delle libertà fondamentali in Europa. La barriera elevata dalla Corte di Giustizia.
DUDI, 9 (1).2015), S. Douglas-Scott (Douglas-Scott, S. (2015). The Relationship between the EU and the ECHR Five Years
on from the Treaty of Lisbon. En S. De Vries, U. Bernitz, y S. Weatherill (eds.).
The EU Charter of Fundamental Rights as a Binding Instrument: Five Years Old and Growing
(cap. 2). Oxford: Bloomsbury Publishing.2015), O. De Schutter (De Schutter, O. (2014). Bosphorus Post-Accession: Redefining the Relationships between
the European Court of Human Rights and the Parties. En V. Kosta, N. Skoutaris y V.
Tzevelekos (eds.). The EU Accession to the ECHR (pp. 177-198). Oxford: Hart Publishing.2014). |
| [95] |
Comisión Europea, Protección de datos en la UE: el acuerdo sobre la reforma propuesta por la Comisión
estimulará el mercado único digital, Bruselas, 15 de diciembre de 2015. |
| [96] |
Art. 29 Working Party,
op. cit.
|
| [97] |
E. Morozov (Morozov, E. (2014). The World Is Not Enough — How To Reinvent the Internet. Süddeutsche Zeitung, 20/1/ 2014.2014). También S. Alves (Alves Jr., S. (2014). Internet Governance 2.0.1.4: The Internet Balkanization Fragmentation (June, 2014). SSRN. Disponible en:
|
|
Alves Jr., S. (2014). Internet Governance 2.0.1.4: The Internet Balkanization Fragmentation (June, 2014). SSRN. Disponible en: http://ssrn.com/abstract=2466222. |
|
|
Apa, E. y Pollicino, O. (2013). Modeling the Liability of Internet Service Providers: Google vs. Vivi Down. Milano: Egea. |
|
|
Barbera, A. (2001). La Carta europea dei diritti: una fonte di ri-cognizione? Il Diritti dell’Unione europea, 2-3, 241-259. |
|
|
Bardutzky, S. (2014). The Timing of Dialogue: Slovenian Constitutional Court and the Data Retention Directive. Verfassungsblog on Matters Constitutional [blog]. Disponible en: http://verfassungsblog.de/timing-dialogue-slovenian-constitutional-court-data-retention-directive/. |
|
|
Bassini, M. (2012). Google e diritto all’oblio: cosa accade ora? Disponible en: www.voxdiritti.it. |
|
|
Bassini, M. (2014). Il diritto all’oblio ai tempi di Internet: la Corte di giustizia sui motori di ricerca. Quaderni costituzionali, 3, 730 y ss. |
|
|
Bassini, M. y Pollicino, O. (2014). Bowling for Columbine. La Corte di giustizia sul caso Google Spain: l’oblio (quasi) prima di tutto? Diritto24, 13/05/2014. Disponible en: http://www.diritto24.ilsole24ore.com/art/avvocatoAffari/mercatiImpresa/2014-05-13/bowling-columbine-corte-giustizia-180242.php. |
|
|
Bassini, M. y Pollicino, O. (2015). La Corte di giustizia demolisce il safe harbor e ridisegna i confini del diritto alla privacy in ambito transnazionale. Diritto24, 7/10/2015. Disponible en: http://www.diritto24.ilsole24ore.com/art/avvocatoAffari/mercatiImpresa/2015-10-07/la-corte-giustizia-demolisce-safe-harbor-e-ridisegna-confini-diritto-privacy-ambito-transnazionale-153618.php. |
|
|
Bifulco, R., Cartabia, M. y Celotto, A. (eds.) (2001). L`Europa dei diritti. Commento alla carta dei diritti fondamentali dell’ Unione europea. Bologna: Il Mulino. |
|
|
Bignami, F. (2006). Protecting Privacy Against the Police in the European Union: The Data Retention Directive. GWU Legal Studies Research Paper, 2013-43. Disponible en: http://ssrn.com/abstract=2230611. |
|
|
Bilancia, P. (2012). The Dynamics of the EU Integration and the Impact on the National Constitutional Law. The European Union After the Lisbon Treaties. Milano: Giuffrè Editori. |
|
|
Blengino, C. (2014). La Corte di giustizia e i motori di ricerca: una sentenza sbagliata. Media Laws: Law and Policy of the Media in a Comparative Perspective [blog], 19/5/2014. Disponible en http://www.medialaws.eu/la-corte-di-giustizia-e-i-motori-di-ricerca-una-sentenza-sbagliata/. |
|
|
Boehm, F. y Cole, M. D. (2014). Data retention after the Judgement of the Court of Justice of the European Union. Estudio financiado por el Grupo Greens/EFA en el Parlamento Europeo, junio de 2014. Disponible en: www.janalbrecht.eu/. |
|
|
Cannizzaro, E. (2005). Sulla responsabilità internazionale per condotte di Stati membri dell’Unione europea: in margine al caso Bosphorus. Rivista di diritto internazionale, 3, 762-767. |
|
|
Castellaneta, M. (2014). Diritto all’oblio: la Commissione Ue prova a chiarire il contenuto della sentenza Google. Marina Castellaneta. Notizie e commenti sul diritto internazionale e dell’Unione europea [blog]. Disponible en: http://www.marinacastellaneta.it/blog/diritto-alloblio-la-commissione-ue-prova-a-chiarire-il-contenuto-della-sentenza-google.html. |
|
|
Cocq, C. y Galli, F. (2013). Comparative law paper on data retention regulation in a sample of EU Member States. Surveille Project D4.3, 2013. Disponible en: https://surveille.eui.eu/wp-content/uploads/sites/19/2015/04/D4.3-Comparative-law-paper-on-data-retention-regulation-in-a-sample-of-EU-member-states.pdf. |
|
|
Colombo, E. (2014). Data retention e Corte di Giustizia: riflessioni a prima lettura sulla declaratoria di invalidità della Direttiva 2006/24/CE. Cassazione Penale, 54 (7-8), 2705-2713. |
|
|
Conforti, B. (2006). Decisioni del Consiglio di sicurezza e diritti fondamentali in una bizzarra sentenza del Tribunale comunitario di primo grado. Il Diritto dell’Unione europea, 2, 333-345, |
|
|
Corrias Lucente, G. (2014). Ancora su Google e il diritto all’oblio. Media Laws: Law and Policy of the Media in a Comparative Perspective [blog], 24/6/2014. Disponible en: http://www.medialaws.eu/ancora-su-google-e-il-diritto-alloblio/. |
|
|
Costanzo, P. (2012). Il fattore tecnologico e le sue conseguenze, Convención anual de la AIC, «Costituzionalismo e Globalizzazione», Salerno, 23-24 de noviembre de 2012. Disponible en: www.associazionedeicostituzionalisti.it. |
|
|
Costanzo, P., Mezzetti, L. y Ruggeri, A. (2014). Lineamenti di diritto costituzionale dell’Unione europea. Torino: Giapichelli Editori. |
|
|
Coudert, F. (2015). Schrems vs. Data Protection Commissioner: A Slap on the Wrist for the Commission and New Powers for Data Protection Authorities. European Law Blog: News and Comments on EU Law [blog], 15/10/2015. Disponible en: http://europeanlawblog.eu/?p=2931. |
|
|
D’Amico, M. (2001). Diritto a un ricorso effettivo e a un giudice imparziale. En R. Bifulco, M. Cartabia y A. Celotto (eds.). L’Europa dei diritti. Commento alla Carta dei diritti fondamentali dell’Unione Europea. Bologna: Il Mulino. |
|
|
De Schutter, O. (2014). Bosphorus Post-Accession: Redefining the Relationships between the European Court of Human Rights and the Parties. En V. Kosta, N. Skoutaris y V. Tzevelekos (eds.). The EU Accession to the ECHR (pp. 177-198). Oxford: Hart Publishing. |
|
|
Di Martino, A. (2010). Il Bundesverfassungsgericht dichiara l’incostituzionalità della data retention sul rapporto tra libertà e sicurezza. Giurisprudenza costituzionale, 55, 4071-4086. |
|
|
Dickmann, R. (2008). Il «principio di legalità comunitaria» nel sindacato della Corte di giustizia delle Comunità europee degli atti comunitari esecutivi di risoluzioni del Consiglio di sicurezza delle Nazioni Unite (nota a CGCE 3 settembre 2008, cause riunite C-402/05 e C-415/05). Federalismi.it, 18/2008. Disponible en www.federalismi.it, 31 de septiembre de 2008. |
|
|
Donati, F. (2001). Protezione dei dati di carattere personale. En R. Bifulco, M. Cartabia y A. Celotto (eds.). L’Europa dei diritti. Commento alla Carta dei diritti fondamentali dell’Unione Europea. Bologna: Il Mulino. |
|
|
Douglas-Scott, S. (2015). The Relationship between the EU and the ECHR Five Years on from the Treaty of Lisbon. En S. De Vries, U. Bernitz, y S. Weatherill (eds.). The EU Charter of Fundamental Rights as a Binding Instrument: Five Years Old and Growing (cap. 2). Oxford: Bloomsbury Publishing. |
|
|
Fabbrini, F. (2015). The European Court of Justice Ruling in the Data Rentention Case and its Lessons for Privacy and Surveillance in the U.S. Harvard Human Rights Journal, 28. Disponible en: http://ssrn.com/abstract=2482212. |
|
|
Falletta, P. (2015). La Corte di Giustizia, ancora una volta, contro le multinazionali del web (riflessioni su Corte di Giustizia UE (Grande sezione), 6 ottobre 2015, Schrems c. Data Protection Commissioner, C-362/14). Federalismi.it, 24. Disponible en: http://www.federalismi.it/nv14/articolo-documento.cfm?artid=31041. |
|
|
Ferrari, G. F. (ed.) (2001). I diritti fondamentali dopo la Carta di Nizza. Il costituzionalismo dei diritti. Milano: Giuffré. |
|
|
Ferrari, G. F. (ed.) (2009). Kadi: verso una Corte di giustizia costituzionale? Diritto Pubblico Comparato ed Europeo, 4, 187-192. |
|
|
Flor, R. (2014). La Corte di Giustizia considera la direttiva europea 2006/24 sulla c.d. «data retention» contraria ai diritti fondamentali. Una lunga storia a lieto fine? Diritto Penale Contemporaneo, 2, 178-190. |
|
|
Flor, R. (2015). Dalla «Data retention» al diritto all’oblio. Dalle paure orwelliane alla recente giurisprudenza della corte di giustizia. En G. Resta y V. Zeno-Zencovich (eds.). Il diritto all’oblio su Internet dopo la sentenza Google Spain (pp. 223-254). Roma Tre Press: Roma. |
|
|
Frosini, T. E. (2014). Diritto all’oblio e Internet. Federalismi.it, 12. Disponible en: http://www.federalismi.it/nv14/articolo-documento.cfm?artid=26242. |
|
|
Gambino, S. I. (2010). Diritti fondamentali dell’Unione europea fra trattati (di Lisbona) e Costituzione. Federalismi.it, 1. Disponible en: http://www.federalismi.it/nv14/articolo-documento.cfm?artid=15106. |
|
|
Geti, P. L. (2015). Il contributo della Giurisprudenza costituzionale tedesca nella determinazione dei rapporti con l’Unione Europea. Congreso sobre Parlamenti nazionali e Unione europea nella governance multilivello. Roma, 12-13 de mayo de 2015. Disponible en: htpp://www.nomos-leattualitneldiritto.it/wp-content/uploads/Geti_convegnoprin12-13_5_2014.pdf. |
|
|
Gianfrancesco, E. (2008). Some considerations on the juridical value of the Charter of Fundamental Rights before and after the Lisbon Treaty. Disponible en: www.forumcostituzionale.it. |
|
|
Gianfrancesco, E. (2011). Incroci pericolosi: CEDU, Carta dei diritti fondamentali e Costituzione italiana tra Corte costituzionale, Corte di Giustizia e Corte di Strasburgo. Rivista AIC, 1. |
|
|
Groppi, T. (2001). Rispetto della vita privata e della vita familiare. En R. Bifulco, M. Cartabia y A. Celotto, A. (eds.). L`Europa dei diritti. Commento alla carta dei diritti fondamentali dell’ Unione europea. Bologna: Il Mulino. |
|
|
Kosta, E. (2013). The Way to Luxembourg: National Court Decisions on the Compatibility of the Data Retention Directive with the Right to Privacy and Data Protection. SCRIPTed, 10 (3), 339. Disponible en: htpp;//script-ed.org/?p=1163. |
|
|
Kranenborg, H. (2014). Protection of Personal Data. En S. Peers, T. Harvey, J. Kenner y A. Ward (eds.). The EU Charter of Fundamental Rights: A Commentary (cap. 8). Oxford: Hart Publishing. |
|
|
Kuner, C. (2015). The Sinking of Safe Harbor. Verfassungsblog on Matters Constitutional [blog], 8/10/2015. Disponible en: http://verfassungsblog.de/the-sinking-of-the-safe-harbor-2/. |
|
|
Lynskey, O. (2014). Deconstructing Data Protection: The «Added-value» of a Right to Data Protection in The EU Legal Order. International and Comparative Law Quarterly, 63 (3) 569-597. Disponible en: http://dx.doi.org/10.1017/S0020589314000244. |
|
|
Lynskey, O. (2015). Negotiating the Data Protection Thicket: Life in the Aftermath of Schrems. Media Policy Project Blog [blog], 9/10/2015. Disponible en: http://blogs.lse.ac.uk/mediapolicyproject/2015/10/12/negotiating-the-data-protection-thicket-life-in-the-aftermath-of-schrems/. |
|
|
Mangiameli, S. (2001). La Carta dei diritti fondamentali dell’Unione europea. Diretto pubblico comparato ed europeo, 1, 173 y ss. |
|
|
Mangiameli, S. (2008). L’esperienza costituzionale europea. Roma: Aracne Editrice. |
|
|
Manna, A. (2010). La prima affermazione, a livello giurisprudenziale, della responsabilità penale dell’internet provider: spunti di riflessione tra diritto e técnica. Giurisprudenza constituzionale, 5, 1856-1864. |
|
|
Manzella, A., Melograni, P., Paciotti, E. O. y Rodotà, S. (eds.) (2001). Riscrivere i diritti in Europa. Introduzione alla Carta dei diritti fondamentali dell’Unione Europea. Bologna: Il Mulino. |
|
|
Mayer, F. C. (2015).The Force awakens — The Schrems case from a German perspective. Verfassungsblog on Matters Constitutional [blog], 16/10/2015. Disponible en: http://verfassungsblog.de/the-force-awakens-the-schrems-case-from-a-german-perspective-2/. |
|
|
Miller, R. (2015). Schrems v. Commissioner: A Biblical Parable of Judicial Power. Verfassungsblog on Matters Constitutional [blog], 7/10/2015. Disponible en: http://verfassungsblog.de/schrems-v-commissioner-a-biblical-parable-of-judicial-power-2/. |
|
|
Morozov, E. (2014). The World Is Not Enough — How To Reinvent the Internet. Süddeutsche Zeitung, 20/1/ 2014. |
|
|
Nino, M. (2014). L’annullamento del regime della conservazione dei dati di traffico nell’Unione europea da parte della Corte di giustizia UE: prospettive ed evoluzioni future del sistema europeo di data retention. Il diritto dell’Unione Europea, 19 (4), 803-830. |
|
|
Nino, M. (2015). La Corte di giustizia UE dichiara l’invalidità del sistema di Safe Harbour: la sentenza Schrems. SIDIBlog [blog], 24/10/2015. Disponible en: http://www.sidiblog.org/2015/10/24/la-corte-di-giustizia-ue-dichiara-linvalidita-del-sistema-di-safe-harbour-la-sentenza-schrems/. |
|
|
Pace, A. (2001). A che serve la Carta dei diritti fondamentali dell’Unione europea? Appunti preliminary. Giurisprudenza Costituzionale, 1, 193-207. |
|
|
Pascuzzi, G. (2002). Il diritto dell’era digitale. Bologna: Il Mulino. |
|
|
Peers, S. (2015). The party’s over: EU data protection law after the Schrems Safe Harbour judgment. EU Law Analysis [blog], 7/10/2015. Disponible en http://eulawanalysis.blogspot.com.es/2015/10/the-partys-over-eu-data-protection-law.html. |
|
|
Peers, S., Harvey, T., Kenner, J. y Ward, A. (eds.) (2014). The EU Charter of Fundamental Rights: A Commentary. Oxford: Hart Publishing. Disponible en: http://dx.doi.org/10.5771/9783845259055. |
|
|
Pelin-Raducum, I. (2014). Deferential Dialogues between the Court of Justice and domestic courts regarding the compatibility of the EU Data Retention Directive with (Higer?) National Fundamental Rights Standards. Law Working Paper Series, University of Luxemburg, 2014-03. |
|
|
Pizzetti, F. (2014). La decisione della Corte di giustizia sul caso Google Spain: più problemi che soluzioni. Federalismi.it, 12. Disponible en: http://www.federalismi.it/nv14/articolo-documento.cfm?artid=26322. |
|
|
Pizzorusso, A. (2002). Il patrimonio costituzionale europeo. Bologna: Il Mulino. |
|
|
Pollicino, O. (2004). Legal reasoning of the Court of Justice in the Context of Principle of Equality between Judicial Activism and Self-restraint. German Law Journal, 5 (3), 283-317. |
|
|
Pollicino, O. (2014a). Interpretazione o manipolazione? La Corte di giustizia definisce un nuovo diritto alla privacy digitale. Federalismi-it, 3. Disponible en: http://www.federalismi.it/nv14/articolo-documento.cfm?artid=28017. |
|
|
Pollicino, O. (2014b). Diritto all’oblio e conservazione di dati. La Corte di giustizia a piedi uniti: verso un digital right to privacy. Giurisprudenzia Costituzionale, 3, 2949 y ss. |
|
|
Pollicino, O. (2015a). La «transizione» dagli atomi ai bit nel reasoning delle Corti europee. Ragion pratica, 1, 53-82. |
|
|
Pollicino, O. (2015b). Un digital right to privacy preso (troppo) sul serio dai giudici di Lussemburgo? Il ruolo degli artt. 7 e 8 della Carta di Nizza nel reasoning di Google Spain. En G. Resta y V. Zeno-Zencovich (eds.). Il diritto all’oblio su Internet dopo la sentenza Google Spain. Roma: RomaTre Press. |
|
|
Pollicino, O. y Bassini, M. (2014). Reconciling Right to Be Forgotten and Freedom of Information: Past and Future of Personal Data Protection in Europe. Diritto Pubblico Comparato ed Europeo, 641 (2014), 641-662. |
|
|
Pollicino, O. y Camera, G. (2010). La legge è uguale anche sul web. Milano: Egea. |
|
|
Posner, R. (1996). Law and Legal Theory in England and America. Oxford: Clarendon Press. |
|
|
Puligheddu, A. (2015). Il caso Schrems-Facebook: analisi e profili di collegamento con la sentenza Google Spain. Diritto, Mercato, Tecnologia. Disponible en: http://www.dimt.it/2015/12/02/il-caso-schrems-facebook-analisi-e-profili-di-collegamento-con-la-sentenza-google-spain/. |
|
|
Rauhofer, J. y Sithigh, D. M. (2014).The Data Retention Directive Never Existed. Scripted, 11 (1). Disponible en: https://script-ed.org/article/data-retention-directive-existed/. |
|
|
Repetto, G. (2005). La Corte di Strasburgo e il sindacato sugli atti comunitari: al solange non c’è mai fine? Rivista AIC. Disponible en: http://archivio.rivistaaic.it/cronache/giurisprudenza_comunitaria/solange/index.html. |
|
|
Resta, G. y Zeno-Zencovich, V. (eds.) (2015). Il diritto all’oblio su Internet dopo la sentenza Google Spain. Roma: Tre Press Roma. |
|
|
Rodotà, S. (2015). Internet e privacy, c’è un giudice in Europa che frena gli Usa. R.it [blog], 12/10/2015. Disponible en: http://www.repubblica.it/tecnologia/2015/10/12/news/internet_e_privacy_c_e_un_giudice_in_europa_che_frena_gli_usa-124875972/?refresh_ce. |
|
|
Rossi, L. S. (ed.) (2002). Carta dei diritti fondamentali e costituzione dell’Unione europea. Milano: Giuffré Editore. |
|
|
Ruggeri (2001). La «forza» della Carta europea dei diritti. Diretto Pubblico Comparato ed Europeo, 1, 182 y ss. |
|
|
Scheinin, M. (2015). The Essence of Privacy, and Varying Degrees of Intrusion. Verfassungsblog on Matters Constitutional [blog], 7/10/2015. Disponible en: http://verfassungsblog.de/the-essence-of-privacy-and-varying-degrees-of-intrusion-2/. |
|
|
Sciarabba, V. (2005). I diritti e i principi fondamentali nazionali ed europei e la problematica comunitarizzazione delle risoluzioni antiterrorismo dell’ONU. Rivista AIC. Disponible en: http://archivio.rivistaaic.it/materiali/anticipazioni/misure_onu/index.html. |
|
|
Sciarabba, V. (2014). La Corte di giustizia, le misure antiterrorismo, i diritti fondamentali e la «Carta di Nizza»: l’epilogo della vicenda Kadi. Disponible en: http://www.europeanrights.eu/public/commenti/VS_-_La_Corte_di_giustizia_le_misure_antiterrorismo_i_diritti_fondamentali_e_la_.pdf. |
|
|
Sciarabba, V. y Pollicino, O. (2009). Lotta al terrorismo, diritti e principi fondamentali, rapporti tra ordinamenti: un importante capitolo della giurisprudenza «costituzionale» europea. Diretto Pubblico Comparato ed Europeo, 1, 159-174. |
|
|
Tomuschat, Ch. (2006). Primacy of the United Nations Law. Innovation Features in the Community Legal Order. Common Market Law Review, 43 (2), 537-551. |
|
|
Toniatti, R. (2002). Diritto, diritti, giurisdizione. La carta dei diritti fondamentali dell’Unione europea. Padova: CEDAM. |
|
|
Trucco, L. (2007). Tecniche di normazione e tutela dei diritti fondamentali nella Carta dei diritti fondamentali dell’Unione europea. En A. Ruggeri, L. D’Andrea, A. Saitta y G. Sorrenti (eds.). Tecniche di normazione e tutela dei diritti fondamentali. Torino: Giapichelli. |
|
|
Trucco, L. (2014). Data retention: la Corte di giustizia si appella alla Carta UE dei diritti fondamentali. Giurisprudenza italiana, 8-9, 1850-1856. |
|
|
Trucco, L. (2015). Dalla ‘Data retention’ al diritto all’oblio. Dalle paure orwelliane alla recente giurisprudenza della corte di giustizia. En G. Resta y V. Zeno-Zencovich (eds.). Il diritto all’oblio su Internet dopo la sentenza Google Spain. Roma: Roma Tre Press. |
|
|
Vedaschi, A. y Lubello, V. (2015). Data Retention and its Implications for the Fundamental Right to Privacy: A European Perspective. Tilburg Law Review, 20 (1), 14-34. Disponible en: http://dx.doi.org/10.1163/22112596-02001005. |
|
|
Vedsted-Hansen, J. (2014). Respect for Private and Family Life. En S. Peers, T. Harvey, J. Kenner y A. Ward (eds.). The EU Charter of Fundamental Rights. A Commentary (cap. 7). Oxford: Hart Publishing. |
|
|
Vettori, G. (2007). La lunga marcia della Carta dei diritti fondamentali dell’Unione europea. Rivista de diritto privato, 12 (4), 701-720. |
|
|
Vigevani, G. E. (2014). Identità, oblio, informazione e memoria in viaggio da Strasburgo a Lussemburgo, passando per Milano. Danno e Responsabilitá, 7, 741 y ss. |
|
|
Von Bogdandy, A. (2001). Comunità di diritti fondamentali come meta dell’integrazione? I diritti fondamentali e la natura dell’Unione europea. Diritto pubblico, 1, 849-899. |
|
|
Zagrebelsky, G. (ed.) (2003). Diritti e Costituzione nell’Unione Europea. Roma-Bari: Laterza. |
|
|
Zagrebelsky, G. (ed.) (2015). L’UE e il controllo esterno della protezione dei diritti e delle libertà fondamentali in Europa. La barriera elevata dalla Corte di Giustizia. DUDI, 9 (1). |