El 'Puerto Seguro' que no era tan seguro
Resulta aventurado afirmar los efectos que puede tener la Sentencia del TJUE, pero podemos encontrarnos con que a partir de ahora aquellas transferencias de datos personales a los EEUU que se realizaban bajo la cobertura del Safe Harbor se consideren ilícitas.
Europa y Estados Unidos operan de formas muy distintas en multitud de ámbitos de la vida. La protección de los datos personales y la privacidad no es una excepción y donde en Europa nos regimos por normas proteccionistas y formalistas, en Estados Unidos son más partidarios de la autorregulación, obviamente bajo unos principios y un control “a posteriori”. Sucede, pues, que ambos sistemas chocan muy frecuentemente y con graves consecuencias para ciudadanos y empresas de ambos lados del “charco”.
La Directiva europea de Protección de Datos, en su art. 25, dispone que las transferencias de datos personales a un tercer país sólo pueden efectuarse cuando éstas garanticen un nivel de protección adecuado. Y la forma de garantizarlo es porque su legislación interna o sus compromisos internacionales reflejen un nivel de protección de las libertades y derechos fundamentales equivalente al de la Unión Europea.
Seguidamente el art. 26 de la Directiva ofrece una serie de excepciones, en virtud de las cuales se pueden transferir datos personales a países que no gozan de un nivel adecuado de protección, así como un sistema de autorizaciones que se conceden por cada autoridad nacional. Ahora bien, este sistema implica más esfuerzos y tiempo para el interesado, pudiendo ralentizar en demasía sus transacciones comerciales.
Estados Unidos carece de legislación general en materia de datos de carácter personal y, por lo tanto, por esa vía no puede ofrecer un nivel adecuado de protección a los fines aquí comentados. Hay que pensar en lo que esto puede suponer para multinacionales con distintas filiales a uno y otro lado del Atlántico, pero también en las compañías que utilizan las aplicaciones para negocio de Apple, Google, Microsoft y todos sus correspondientes socios. Y recordemos, en este punto, que por dato personal se entiende “cualquier información concerniente a personas físicas identificadas o identificables”. Existen, en definitiva, multitud de escenas que hacen más que aconsejable que el choque existente al respecto entre ambos sistemas sea solventado.
Por tal motivo nació el Acuerdo de Puerto Seguro (Safe Harbor Agreement) entre EEUU y la UE, en virtud del cual, muy resumidamente, las empresas norteamericanas que se adhirieran a los principios en dicho acuerdo establecidos pasaban a tener la categoría de destino con nivel de protección adecuado al objeto de poderles transferir datos de carácter personal desde Europa.
Estábamos ya todos muy felices hasta que surgió el escándalo del espionaje masivo de la NSA, revelado gracias a Snowden en junio de 2013. Inmediatamente un joven austriaco, Maximillian Schrems solicitó a la autoridad de protección de datos de su país que prohibiera a Facebook Ireland transferir sus datos personales a Estados Unidos, puesto que las prácticas allí vigentes no garantizaban una protección que pudiera considerarse suficiente de sus datos personales en tal territorio contra la vigilancia practicada por las autoridades públicas.
Posteriormente se dan una serie de “si ques” y de “no ques” y finalmente la “High Court” irlandesa decide preguntar (plantea cuestión prejudicial) sobre ciertos aspectos al Tribunal de Justicia de la Unión Europea (TJUE) antes de pronunciarse sobre el caso concreto. Y el pasado 6 de octubre de 2015, el TJUE dictaba su sentencia y declaraba que es inválida la Decisión 2000/520 de la Comisión Europea, por la que se considera que los principios de puerto seguro garantizan un nivel adecuado de protección de los datos personales transferidos desde la Comunidad a entidades establecidas en Estados Unidos de América.
El Tribunal considera que dicha Decisión es inválida por los siguientes motivos:
1 – Porque no existe una garantía efectiva de nivel de protección adecuado, ya que, por un lado, la Decisión hace aplicables o exigibles los principios de puerto seguro únicamente a las entidades estadounidenses adheridas (autocertificadas), pero no así respecto a las propias autoridades públicas estadounidenses. Por otro, acoge una excepción a la sujeción a tales principios “en virtud de la cual las entidades estadounidenses autocertificadas que reciban datos personales desde la Unión están obligadas sin limitación a dejar de aplicar esos principios” cuando éstos entren en conflicto “con exigencias de seguridad nacional, interés público y cumplimiento de la ley [de Estados Unidos]”. Además, la Decisión no garantiza la tutela judicial efectiva de los ciudadanos europeos, que no disponen de vías jurídicas administrativas o judiciales que les permitieran acceder a los datos que les concernían y obtener, en su caso, su rectificación o supresión por parte de las autoridades estadounidenses.
Asimismo, entiende el TJUE que “una normativa que permite a las autoridades públicas acceder de forma generalizada al contenido de las comunicaciones electrónicas lesiona el contenido esencial del derecho fundamental al respeto de la vida privada garantizado por el artículo 7 de la Carta [de Derechos Fundamentales de la Unión Europea]”. Y finalmente la Comisión “no manifestó en la Decisión 2000/520 que Estados Unidos «garantiza» efectivamente un nivel de protección adecuado en razón de su legislación interna o sus compromisos internacionales”, lo cual es contrario al ya comentado art. 25 de la Directiva, que, como hemos dicho, exige que tal nivel de protección adecuado se logre gracias a que la legislación interna o los compromisos internacionales de un país (y no de empresas que se adhieran a ningún sistema), garantizan un nivel de protección de las libertades y derechos fundamentales equivalente al de la Unión Europea.
2 – Porque priva a las autoridades nacionales de control de las facultades a ellos atribuidas por el artículo 28 de la Directiva de Protección de Datos, cuando la Comisión no tiene competencias para ello.
"Parece aconsejable una actuación conjunta por parte de las partes implicadas en una transferencia de datos personales a Estados Unidos"
¿Y ahora qué?
Resulta aventurado afirmar los efectos que puede tener la Sentencia del TJUE, pero podemos encontrarnos con que a partir de ahora aquellas transferencias de datos personales a los EEUU que se realizaban bajo la cobertura del Safe Harbor se consideren ilícitas.
En cualquier caso parece aconsejable una actuación conjunta por parte de las partes implicadas en una transferencia de datos personales a Estados Unidos. Tanto el emisor como el receptor de los datos deberían revisar su situación y analizar mecanismos alternativos, previstos y aplicables en la actualidad, para poder seguir manteniendo tales flujos de datos.
Con el sistema de Puerto Seguro invalidado, no es que ya no puedan transferirse datos de carácter personal a empresas o servidores radicados en Estados Unidos, sino que, básicamente, como ha apuntado Věra Jourová, Comisaria Europea de Justicia, en rueda de prensa, habrá que acudir al resto de opciones que posibilitan tales transferencias, bien porque se pueda aplicar una de las excepciones contempladas en el art. 26.1 de la Directiva (art. 34 de nuestra LOPD), bien porque se reúnan los requisitos necesarios para poder obtener la autorización de la autoridad nacional competente en la materia (art. 26.2 de la Directiva, 33 de nuestra LOPD y 66 de nuestro Reglamento).
Al objeto de obtener la pertinente autorización, en nuestro caso del Director de la Agencia Española de Protección de Datos, resultan muy útiles una serie de cláusulas contractuales tipo que ha aprobado la Comisión Europea para distintos supuestos, así como, en el caso de transferencias realizadas entre empresas del mismo grupo, disponer al efecto de unas Reglas Corporativas Vinculantes o “Binding Corporate Rules” (BCR).
En todo caso, desde la Comisión Europea se ha recordado que ya hace dos años que se encuentran en negociación con Estados Unidos para poder disponer de un acuerdo que sustituya al Puerto Seguro y con plenas garantías de respecto y protección de los derechos fundamentales, así como se ha anunciado que procurarán coordinar un mismo enfoque con las distintas Agencias europeas de protección de datos para arbitrar los mecanismos existentes a fin de posibilitar las transferencias de datos personales con destino a EEUU.
La autora de este artículo es Ruth Benito Martín, abogada especializada en Derecho Digital. Titular de Bussola Abogados, despacho dedicado al Derecho TIC, cofundadora de Law&Trends, docente en Computerworld University y en Máster en Abogacía Digital y Nuevas Tecnologías de la Universidad de Salamanca y la Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC), secretaria y vicepresidenta de la Asociación de Jóvenes Empresarios de Segovia (AJE Segovia) y colaboradora del Observatorio Iberoamericano de Protección de Datos.
