This document is an excerpt from the EUR-Lex website
Document 62018CN0311
Case C-311/18: Reference for a preliminary ruling from the High Court (Ireland) made on 9 May 2018 — Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems
Asunto C-311/18: Petición de decisión prejudicial planteada por la High Court (Irlanda) el 9 de mayo de 2018 — Data Protection Commissioner / Facebook Ireland Limited, Maximillian Schrems
Asunto C-311/18: Petición de decisión prejudicial planteada por la High Court (Irlanda) el 9 de mayo de 2018 — Data Protection Commissioner / Facebook Ireland Limited, Maximillian Schrems
DO C 249 de 16.7.2018, p. 15–17
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
Asunto C-311/18: Petición de decisión prejudicial planteada por la High Court (Irlanda) el 9 de mayo de 2018 — Data Protection Commissioner / Facebook Ireland Limited, Maximillian Schrems
Petición de decisión prejudicial planteada por la High Court (Irlanda) el 9 de mayo de 2018 — Data Protection Commissioner / Facebook Ireland Limited, Maximillian Schrems
(Asunto C-311/18)
2018/C 249/21Lengua de procedimiento: inglésÓrgano jurisdiccional remitente
High Court (Irlanda)
Partes en el procedimiento principal
Demandante: Data Protection Commissioner
Demandadas: Facebook Ireland Limited, Maximillian Schrems
Cuestiones prejudiciales
1) |
¿Es la normativa de la Unión [,incluida la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»)], sin perjuicio de lo dispuesto en los artículos 4 TUE, apartado 2, respecto a la seguridad nacional, y 3, apartado 2, primer guion, de la Directiva 95/46/CE ( 1 ) (en lo sucesivo, «Directiva»), en relación con la seguridad pública, la defensa y la seguridad del Estado, aplicable a la transferencia de datos personales en un contexto en el que una empresa privada de un Estado miembro de la Unión Europea transfiere, con arreglo a la Decisión 2010/87/UE, ( 2 ) en su versión modificada por la Decisión 2016/2297 ( 3 ) de la Comisión (en lo sucesivo, «Decisión CCT»), a una empresa privada de un tercer país datos personales con fines comerciales que pueden ser tratados posteriormente por las autoridades de ese tercer país no solo por razones de seguridad nacional, sino también a efectos de la aplicación de la ley y de la administración de los asuntos exteriores del país? |
2) |
|
3) |
Al valorar si un tercer país garantiza el nivel de protección que exige la normativa de la Unión para transferir datos personales a dicho país a efectos del artículo 26 de la Directiva, ¿deberá evaluarse el nivel de protección ofrecido en ese tercer país atendiendo a:
|
4) |
¿Constituye una violación de los derechos de toda persona contemplados en los artículos 7 y/u 8 de la Carta la transferencia de datos personales desde la Unión Europea a EE.UU. [con arreglo a la Decisión CCT], habida cuenta de los hechos probados por la High Court (Tribunal Superior) en relación con la normativa de EE.UU.? |
5) |
Habida cuenta de los hechos probados por la High Court respecto a la normativa de EE.UU., en el supuesto de que se transfieran datos personales desde la Unión Europea a EE.UU. con arreglo a la Decisión CCT:
|
6) |
|
7) |
El hecho de que las cláusulas contractuales tipo sean aplicables al exportador de datos y al importador de datos, pero no resulten vinculantes para las autoridades nacionales de un tercer país, que pueden exigir al importador de datos que facilite a sus servicios de seguridad, para su posterior tratamiento, los datos personales transferidos con arreglo a las cláusulas establecidas en la Decisión CCT, ¿impide que se incluyan en las cláusulas contractuales tipo las garantías de protección adecuadas previstas en el artículo 26, apartado 2, de la Directiva? |
8) |
Si un importador de datos de un tercer país está sujeto a normas de vigilancia que, en opinión de una autoridad de protección de datos, entran en conflicto con las cláusulas mencionadas en el anexo de la Decisión CCT, en los artículos 25 y 26 de la Directiva o en la Carta, ¿está obligada una autoridad de protección de datos a ejercer las facultades en materia de aplicación de la legislación que le confiere el artículo 28, apartado 3, de la Directiva, para suspender los flujos de datos, o bien el ejercicio de dichas facultades se limita únicamente a situaciones excepcionales, a la luz del considerando 11 de la Directiva, o acaso puede la autoridad de protección de datos hacer uso de su potestad discrecional para no suspender tales flujos de datos? |
9) |
|
10) |
Habida cuenta de las consideraciones de la High Court respecto a la legislación de EE.UU., ¿constituye la figura del Defensor del Pueblo en el ámbito del Escudo de la privacidad a que se refiere el anexo A del anexo III de la Decisión sobre el Escudo de la privacidad, en combinación con el régimen vigente en EE.UU., una garantía de que este país ofrece una vía de recurso compatible con el artículo 47 de la Carta a los interesados cuyos datos personales son transferidos a EE.UU. con arreglo a la Decisión CCT? |
11. |
¿Viola la Decisión CCT los artículos 7, 8 y/o 47 de la Carta? |
( 1 ) Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31).
( 2 ) Decisión de la Comisión de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo (DO 2010, L 39, p. 5).
( 3 ) Decisión de Ejecución (UE) 2016/2297 de la Comisión, de 16 de diciembre de 2016, por la que se modifican las Decisiones 2001/497/CE y 2010/87/UE, relativas a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo (DO 2016, L 344, p. 100).
( 4 ) Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU. (DO 2016, L 207, p. 1).