Sabrina Ragone
Profesora titular de Derecho Público Comparado
Universidad de Bolonia
I.
El momento histórico en el que se otorgó a la Carta de los Derechos Fundamentales de la UE el mismo valor jurídico que los Tratados ha determinado una serie de consecuencias sobre su interpretación, implementación e inserción en el contexto normativo europeo. Por un lado, las fuerzas desintegradoras, las crisis de la integración, el Brexit y las amenazas al Estado de derecho por parte de algunos países han planteado cuestiones políticas serias, además de las jurídicas. Por otro lado, en estos primeros años de aplicación de la Carta se ha tenido que afrontar la necesidad de responder a los desafíos de las fronteras del derecho en el siglo XXI, relacionadas en particular con las nuevas tecnologías (por todas, véase la sentencia del Tribunal de Justicia de la UE, TJUE, Gran Sala, Google Spain, de 13 de mayo de 2014).
Este proceso de adaptación está todavía desarrollándose, pero permite ver in nuce una suerte de jurisprudencia especialmente dedicada al tema de la protección de datos personales, que cuenta constantemente con nuevas decisiones. En particular, se puede recordar la saga Schrems, que ya tiene dos capítulos: “Schrems I”, de 2015 (v. infra) y “Schrems II”, de 2019-2020, ya que el Abogado General rindió sus conclusiones en diciembre del año pasado en el asunto C-311/18 (Data Protection Commissioner/Facebook Ireland Limited, Maximilian Schrems), sobre la validez de las cláusulas contractuales tipo para la cesión de datos personales a Estados terceros. A la espera de la decisión del TJUE, hay que ser conscientes de que un caso “Schrems III” va a ser posible, con referencia al “Privacy Shield” aprobado en 2016 por parte de la Comisión Europea (véase F. Terpan, “EU-US Data Transfer from Safe Harbour to Privacy Shield: Back to Square One?”, en European papers: a journal on law and integration, vol. 3, n. 3, 2018, pp. 1045-1059: ).
primero con un enfoque más amplio, durante el cual se han trazado las líneas evolutivas de cómo la Carta ha modificado el nivel de protección de los derechos dentro de la UE y las relaciones entre y con los Estados Miembros ; el segundo, organizado en el marco de los seminarios de investigación García Pelayo, se ha enfocado en un tema más concreto, es decir, la posibilidad de que exista un principio de “continuidad” en la protección de los datos personales de los ciudadanos europeos (y residentes en la UE), llevando así a una valoración del nivel de tutela proporcionado por Estados terceros – en los términos que se verán a continuación . Estas ideas han sido propuestas y debatidas a raíz del trabajo de Pedro Cruz Villalón, “The EU Charter of Fundamental Rights and the Legal Order of Third Countries. A Commentary on the Schrems/PNR Data Jurisprudence”, en A.J. Martín Jiménez (dir.), The External Tax Strategy of the EU in a Post-BEPS Environment, 2019, pp. 361-375.
II.
El caso “Schrems I” (asunto C‑362/14, TJUE, Gran Sala, de 6 de octubre de 2015), tenía por objeto la validez de la Decisión 2000/520/CE de la Comisión, que daba aplicación a la Directiva 95/46, y en particular a sus artículos 25.6 y 28 sobre la adecuación de la protección conferida a la protección de la vida privada y datos personales en los Estados Unidos de América. EL TJUE consideró la Decisión inválida y los parámetros de su pronunciamiento fueron básicamente los artículos 7, 8 y 47 de la Carta.
Es interesante que la mencionada Decisión precediera de pocos meses la proclamación de la Carta en el año 2000, creándose un caso parecido a lo que se suele denominar “inconstitucionalidad sobrevenida” en los estudios de justicia constitucional. Se trataba, pues, de una medida originariamente válida que se transforma en incompatible por el giro “constitucional” del sistema europeo (O. Pollicino, “La tutela de la "privacy" digital: el diálogo entre el Tribunal de Justicia de la Unión Europea y las jurisdicciones nacionales”, en Revista de Estudios Políticos, n. 173, 2016, p. 232, habla de una mutación normativa, pues la adecuación tiene que medirse con respecto a la Directiva interpretada conforme a la Carta). Con anterioridad, en sus conclusiones como Abogado General en el caso que podría considerarse el “prequel” de la saga Schrems, es decir, Digital Rights Ireland (asuntos acumulados C‑293/12 y C‑594/12), el mismo Pedro Cruz Villalón se preguntaba qué limitaciones a los derechos serían “constitucionalmente posibles”.
Por otra parte, el contenido de la sentencia también se puede leer como una reacción ante las medidas de vigilancia masiva que mientras tanto habían venido a la luz con las revelaciones de Edward Snowden - informaciones de las que no disponía la Comisión cuando adoptó la Decisión mencionada -.
El criterio a aplicar a la hora de valorar si la protección de los datos personales en un Estado tercero es compatible con los estándares europeos, según la Directiva, es el de “adecuación”, al que el TJUE ha interpretado en el caso analizado como “equivalencia sustancial”, de hecho reduciendo su alcance a una mínima parte de lo que potencialmente se podría considerar “adecuado”. Desde esta perspectiva, es dudosa la coherencia con la jurisprudencia anterior, que se enfocaba más en la proporcionalidad de las medidas, tal y como pasó en el citado caso Digital Rights Ireland del año anterior (véase el art. 52 de la Carta acerca de proporcionalidad y defensa del contenido esencial).
III.
La sentencia “Schrems I” se presta a una serie de reflexiones sobre el caso particular y otras de sistema, acerca de las obligaciones de la UE en términos de protección de los derechos dentro (y en cierta medida fuera) de sus fronteras (al respecto, véanse O. Pollicino, M. Bassini, “La Corte di giustizia demolisce il safe harbor e ridisegna i confini del diritto alla privacy in ambito transnazionale”, y las contribuciones en el número monográfico de Diritto dell’informazione e dell’informatica, vol. 31, n. 4-5, 2015).
En primer lugar, cabe destacar el reconocimiento y mantenimiento de los poderes de las autoridades nacionales. En efecto, según esta jurisprudencia, el hecho de que la Comisión hubiese aprobado una decisión que consideraba idónea la protección en EE.UU. no impedía que las autoridades nacionales decidieran solicitudes de ciudadanos que lamentaban que la protección de sus derechos había sido vulnerada por el tratamiento de datos transferidos al otro Estado. El alcance de estos poderes no parece matizado ni siquiera por una suerte de presunción (contestable, pero razonable a falta de reformas legales en el ordenamiento tercero), creando así una forma de descentralización a las autoridades nacionales en este tema.
En segundo lugar, la operación en concreto, que consiste en la individualización del nivel de protección otorgado en otro sistema jurídico, es parecida a la operación lógica que se le exige al juez o autoridad que aplica el art. 53 buscando la norma que otorga la protección más elevada (sobre este tipo de contraste como un ejemplo de aplicación de la metodología comparada, S. Ragone, “ Buscando la protección más amplia: el derecho comparado como herramienta esencial en el sistema multinivel europeo”, en Jurisdicción constitucional en la tutela de los derechos fundamentales de la UE. Especial referencia al Espacio de Libertad, Seguridad y Justicia, 2017, pp. 79-90).
El razonamiento en términos de equivalencia recuerda, por un lado, la lógica del Tribunal Constitucional Federal alemán (BVerfGE 73, 339 – Solange II), conforme a la cual este tribunal renunciaba a comprobar la compatibilidad de las normas comunitarias con los derechos constitucionales alemanes si se aseguraba una tutela esencialmente equivalente; y, por otro lado, la sentencia Bosphorus del Tribunal Europeo de Derechos Humanos de 2005, acerca de las obligaciones internacionales de los Estados.
En términos más generales, hay que reflexionar sobre el alcance que han adquirido los artículos 7 y 8 de la Carta, conjunta y separadamente del art. 47. Asimismo, cabe preguntarse si estamos ante un fenómeno aislado (una “situación”, como la define Pedro Cruz Villalón) o ante una tendencia que podría llevar a un mayor compromiso de la UE por proteger los derechos de sus ciudadanos incluso frente a conductas de Estados terceros. Desde esta perspectiva, cobra especial relevancia el futuro acuerdo con el Reino Unido post-Brexit sobre la protección de los derechos de los ciudadanos europeos y, desde una perspectiva inversa (desde fuera), cabe preguntarse si razonamientos parecidos podrán ser aplicados a acuerdos – o declaraciones – con Estados terceros para la gestión de los migrantes. Aplicar la “continuidad” como nivel “sustancialmente equivalente” a estos casos podría llevar a soluciones difícilmente sostenibles políticamente, sobre todo en la situación actual.