El Tribunal General de la Unión Europea ha fallado a favor de un ciudadano alemán, obligando a la Comisión Europea a indemnizar con 400 euros por la transferencia no autorizada de sus datos personales a Estados Unidos a través del sitio web de la Conferencia sobre el Futuro de Europa. Esta sentencia subraya la importancia del cumplimiento de las normativas de protección de datos en las instituciones de la UE.

Hechos del caso

Un ciudadano residente en Alemania presentó una reclamación contra la Comisión Europea por considerar que se vulneraron sus derechos de protección de datos personales al utilizar el sitio web de la Conferencia sobre el Futuro de Europa en 2021 y 2022. El interesado se registró en el evento "GoGreen" mediante el servicio de autenticación EU Login, optando por conectarse a través de su cuenta de Facebook. A través de esta acción, se transfirieron su dirección IP, información sobre su navegador y su dispositivo a Meta Platforms, empresa estadounidense propietaria de Facebook. Además, se alegó una transferencia de datos a Amazon Web Services mediante Amazon CloudFront.

Argumentos del demandante

El reclamante sostuvo que Estados Unidos no garantiza un nivel adecuado de protección de datos personales, lo que exponía su información a posibles accesos por parte de servicios de seguridad e inteligencia estadounidenses. Argumentó que la Comisión no implementó las garantías necesarias para justificar dichas transferencias, solicitando una indemnización de 400 euros por daños y perjuicios inmateriales, así como 800 euros adicionales por la presunta vulneración del derecho de acceso a la información.

Decisiones del Tribunal General

Transferencias a Amazon CloudFront

El Tribunal desestimó la solicitud de indemnización relacionada con las transferencias de datos a Amazon CloudFront, concluyendo que, en uno de los casos, los datos se almacenaron en un servidor en Múnich, Alemania, conforme al contrato que obliga a Amazon a mantener los datos dentro de Europa. En otro caso, el interesado mismo provocó la transferencia de datos a EE.UU. mediante un ajuste técnico que simulaba su ubicación en dicho país.

Transferencia a Meta Platforms

El Tribunal confirmó que la Comisión Europea facilitó la transferencia de la dirección IP del interesado a Meta Platforms sin contar con las garantías adecuadas exigidas por la normativa de la Unión Europea. No existía una decisión que declarara a Estados Unidos como un país con un nivel de protección de datos adecuado, ni se demostraron cláusulas contractuales que protegieran los datos transferidos.

Petición de Indemnización por Acceso a la Información

El Tribunal desestimó la petición de 800 euros por presunta vulneración del derecho de acceso a la información, al considerar que no se demostraron los daños y perjuicios alegados en este aspecto.

Implicaciones de la Sentencia

La sentencia refuerza la obligación de las instituciones de la Unión Europea de cumplir estrictamente con las normativas de protección de datos personales, especialmente en lo que concierne a transferencias internacionales. La Comisión Europea deberá garantizar que cualquier transferencia de datos a terceros países, como Estados Unidos, cumpla con las garantías necesarias para proteger los derechos de los ciudadanos de la UE.