I.- Antecedentes
La razón última de que exista este procedimiento radica en la sentencia del Tribunal de Justicia de la Unión Europea de 6 de octubre de 2015 (asunto C-362/14 Maximillian Schrems/Data Protection Commissioner -SP/SENT/826052-) que se dictó como consecuencia de una cuestión prejudicial planteada por el Tribunal Supremo Irlandés en el contexto que a continuación se expone.
La red social de Facebook transfería los datos de sus usuarios residentes en la Unión Europea desde su filial irlandesa a servidores situados en territorio estadounidense, donde eran objeto de tratamiento. El Sr. Maximillian Schrems- ciudadano austriaco usuario de Facebook desde el año 2008- presentó una denuncia ante la autoridad irlandesa de control por considerar que, a la luz de las revelaciones realizadas en 2013 por el Sr. Edward Snowden en relación con las actividades de los servicios de información de Estados Unidos, la normativa y la práctica de ese país no garantizaban una protección suficiente de los datos transferidos.
La autoridad nacional de control desestimó la reclamación con base en la Decisión de 26 de julio de 2000 de la Comisión Europea que establecía que, en el marco del régimen denominado de «puerto seguro», Estados Unidos aseguraba un nivel adecuado de protección de los datos personales transferidos[1].
La cuestión prejudicial planteada consistía, en síntesis, en esclarecer si esa decisión de la Comisión Europea impedía a una autoridad nacional de control investigar una denuncia en la que se alegaba que un país tercero no garantizaba un nivel de protección adecuado y, en su caso, suspender la transferencia de datos denunciada.
El TJUE concluyó que:
- Ninguna disposición de la Directiva 95/46, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos[2], impedía que las autoridades nacionales controlaran las transferencias de datos personales a terceros países que hubieran sido objeto de una decisión de la Comisión.
- No obstante lo anterior, únicamente el TJUE era el competente para declarar la invalidez de un acto de la Unión (como una decisión de la Comisión). En consecuencia, cuando una autoridad nacional de control o la persona que hubiera presentado una solicitud a esta considerara que una decisión de la Comisión era inválida, esa autoridad o esa persona debía poder acudir ante los tribunales nacionales para que, en caso de que estos también dudaran de la validez de la decisión de la Comisión, pudieran plantear una cuestión prejudicial ante el TJUE.
II.- Regulación
Así las cosas, a nivel nacional, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales (SP/LEG/25146), mediante su Disposición adicional quinta y el punto cuatro de su Disposición final sexta- que incorporaba el artículo 122 ter a la LJCA (SP/LEG/2922)-, articuló con mayor detalle un cauce para encaminar estos supuestos.
De acuerdo con la Disposición adicional quinta de la LO 3/2018, cuando una autoridad de protección de datos considere que una decisión de la Comisión Europea en materia de transferencia internacional de datos[3], de cuya validez dependa la resolución de un procedimiento concreto, infringe lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (SP/LEG/19835), menoscabando el derecho fundamental a la protección de datos, acordará inmediatamente la suspensión del procedimiento, a fin de solicitar del órgano judicial autorización para declararlo así en el seno del procedimiento administrativo del que esté conociendo.
La competencia recaerá en:
74. a) El Tribunal Superior de Justicia que corresponda cuando la solicitud de autorización sea formulada por la autoridad de protección de datos de la Comunidad Autónoma respectiva (artículo 74.1.k de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial (SP/LEG/2015) y artículo 10.7 LJCA).
75. b) La Audiencia Nacional cuando dicha solicitud provenga de la Agencia Española de Protección de Datos (artículo 66.f LOPJ, artículo 11.5 y apartado 5 de la DA Cuarta de la LJCA).
76. c) El Tribunal Supremo cuando la petición de autorización se plantee por el Consejo General del Poder Judicial (artículo 58.3 LOPJ y artículo 12.4 LJCA).La solicitud irá acompañada de la copia del expediente que se encuentre pendiente de resolución ante la autoridad de protección de datos (artículo 122 ter.1 LJCA).
Serán parte en el procedimiento judicial (artículo 122 ter.2 LJCA):
- La autoridad de protección de datos.
- Quienes lo fueran en el procedimiento tramitado ante esta.
- Y, en todo caso, la Comisión Europea.
El acuerdo de admisión o inadmisión a trámite del procedimiento confirmará, modificará o levantará la suspensión del procedimiento administrativo por posible vulneración de la normativa de protección de datos tramitado ante la autoridad de protección de datos, del que trae causa el procedimiento de autorización judicial (artículo 122 ter.3 LJCA y apartado 1º de la DA 5ª LO 3/2018).
Admitida a trámite la solicitud, el Tribunal competente lo notificará a la autoridad de protección de datos a fin de que dé traslado a quienes interviniesen en el procedimiento tramitado ante la misma para que se personen en el plazo de tres días. Igualmente, se remitirá a la Comisión Europea a los mismos efectos (artículo 122 ter.4 LJCA).
Concluido dicho lapso temporal, la solicitud de autorización se hará llegar a las partes personadas para que en el plazo de diez días aleguen lo que estimen procedente, pudiendo solicitar en ese momento la práctica de las pruebas que consideren necesarias (artículo 122 ter.5 LJCA).
Transcurrido el período de prueba, si alguna de las partes lo hubiese solicitado y el órgano jurisdiccional lo entendiese pertinente, se celebrará una vista. El Tribunal podrá decidir el alcance de las cuestiones sobre las que las partes deberán centrar sus alegaciones (artículo 122 ter.6 LJCA).
Finalizados los trámites expuestos, el Tribunal competente adoptará en el plazo de diez días una de estas decisiones:
1. a) Si considerase que la decisión de la Comisión Europea es conforme al Derecho de la Unión Europea, dictará sentencia declarándolo así y denegando la autorización solicitada[4].
2. b) En caso de considerar que la decisión es contraria al Derecho de la Unión Europea, dictará auto de planteamiento de cuestión prejudicial de validez de la citada decisión ante el TJUE, en los términos del artículo 267 del Tratado de Funcionamiento de la Unión Europea.
La autorización solamente podrá ser concedida si la decisión de la Comisión Europea cuestionada fuera declarada inválida por el TJUE (artículo 122 ter.7 LJCA y apartado 2º de la DA quinta de la LO 3/2018).
[1] La Decisión de adecuación actual de la Comisión Europea con respecto a Estados Unidos data de 10 de julio de 2023.
[2] Actualmente derogada por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
[3] Las decisiones de la Comisión Europea a las que puede resultar de aplicación este cauce son:
1. a) aquellas que declaren el nivel adecuado de protección de un tercer país u organización internacional, en virtud del artículo 45 del Reglamento (UE) 2016/679;
2. b) aquellas por las que se aprueben cláusulas tipo de protección de datos para la realización de transferencias internacionales de datos, o
3. c) aquellas que declaren la validez de los códigos de conducta a tal efecto.[4] El régimen de recursos será el previsto en la LJCA (art.122 ter.8 LJCA).