El pasado 23 de septiembre el Abogado General del TJUE Yves Bot, publicó sus conclusiones sobre una cuestión prejudicial planteada por la High Court en Irlanda.
En dicha cuestión se solicitaba al Tribunal de Justicia que precise cuáles son las facultades que tienen atribuidas las autoridades de control nacionales en el marco de la resolución de una denuncia relativa a una transferencia de datos de carácter personal a una empresa establecida en un tercer país en la que se alega como fundamento que dicho tercer país no ofrece una protección adecuada a los datos transmitidos, aun cuando la Comisión haya adoptado, sobre la base del artículo 25, apartado 6, de la Directiva 95/46, una decisión en la que reconoce que dicho tercer país garantiza un nivel de protección adecuado. En particular la cuestión prejudicial afecta a la decisión sobre Safe Harbor.
En su análisis, el Abogado indica que la decisión adoptada por la Comisión sobre la base del artículo 25, apartado 6, de la Directiva 95/46 no puede anular, ni siquiera mermar, las facultades de que disponen las autoridades de control nacionales en virtud del artículo 28 de dicha Directiva, además, considera que nada obsta a que las autoridades de control nacionales que conozcan de denuncias individuales, en virtud de sus facultades en materia de investigación y de su independencia, lleguen a sus propias conclusiones sobre el nivel de protección general ofrecido por un tercer país y extraer las consecuencias que se derivan de dichas conclusiones en sus decisiones sobre casos individuales.
Del mismo modo, considera que si, tras finalizar sus investigaciones, la autoridad de control nacional considera que la transferencia de datos impugnada socava la protección que debe garantizarse a los ciudadanos de la Unión en relación con el tratamiento de sus datos personales, podrá suspender la transferencia de datos controvertida, con independencia de la evaluación general que haya realizado la Comisión en su decisión.
En relación sobre la Decisión de la Comisión sobre Safe Harbor (Decisión 2000/520), el abogado considera que debe ser objeto de una revisión periódica por parte de la Comisión. No obstante, para garantizar un control jurisdiccional efectivo de este tipo de decisiones, la apreciación de su validez debe realizarse teniendo en cuenta el contexto fáctico y jurídico vigente.
Asimismo, opina que debe declararse inválida la Decisión 2000/520 en la medida en que la existencia de una excepción que permite de manera general e imprecisa eludir los principios del régimen de puerto seguro impide por sí misma considerar que dicho régimen garantiza un nivel de protección adecuado de los datos personales que son transferidos desde la Unión a Estados Unidos.