11 de noviembre de 2015

El Puerto Seguro se llenó de escollos

Autora: María Isabel Carmona, abogada 
Especialista en Derecho Mercantil, Internacional y de las Nuevas Tecnologías
Miembro de la Sección de Nuevas Tecnologías del Colegio de Abogados de Málaga 

The Harbor of Dieppe - by J. M. W. Turner 

El sistema de transferencia internacional de datos entre Europa y EEUU ha sufrido un gran impacto con motivo de la sentencia dictada el pasado 6 de octubre por el Tribunal de Justicia de la Unión Europea en el caso Schrems, ya que dicha sentencia ha declarado inválido el marco de los principios de Puerto Seguro (Safe Harbor) reconocido al amparo de la Decisión 2000/250/CE. Pese a lo que en principio pudiera parecer, este pronunciamiento nos toca de cerca ya que va a afectar seriamente a una serie de prácticas propias de la actividad diaria tanto de empresas como de particulares como por ejemplo:
  • Las transferencias de datos necesarias para la realización de procesos internos, tales como la gestión centralizada de procedimientos de RRHH, nóminas o de gestión comercial entre empresas de un mismo grupo.
  • El almacenamiento de datos en servidores situados en EEUU. 
  • El alojamiento de datos en sistemas de computación en la nube en empresas que dispongan de servidores situados en EEUU (p.ej. Dropbox, Google, Linkedin etc).
La concepción del derecho a la privacidad del ordenamiento jurídico norteamericano es bastante diferente al europeo y se asienta sobre el marcado carácter autorregulador del comercio en dicho país y en una normativa de protección de datos fragmentada y heterogénea que no presenta un nivel de protección adecuado desde el punto de vista de los estándares europeos. Por este motivo se creó el marco del Puerto Seguro para facilitar la recepción por parte de empresas situadas en EEUU de datos enviados por responsables de tratamiento europeos.

De esta forma se garantizaba a los operadores que se adhirieran a los principios que conforman este sistema y que adoptaran las medidas necesarias para llevarlas a la práctica, una "presunción de adecuación" al nivel de protección exigido por la Directiva Europea de Protección de Datos 95/46/CE. Se permitía así la libre transferencia de datos a dichos operadores. Así lo dispuso la Comisión Europea por medio de la Decisión 2000/520/CE de 26 de julio de 2000. Sin embargo este sistema, que venía siendo cuestionado por diversos sectores doctrinales, finalmente se ha visto anulado por la sentencia que comentamos.

Dicha sentencia tiene su origen en la reclamación que el ciudadano austríaco Maximilian Schrems presentó ante la Autoridad de Protección de Datos Irlandesa por considerar que la trasferencia de datos personales que Facebook Ireland efectuaba a Facebook Inc en EEUU no garantizaba una protección suficiente de aquellos conservados en su territorio frente a las actividades de vigilancia practicadas por las autoridades públicas estadounidenses (que habían sido puestas de manifiesto con el caso Snowden). En este entorno, el Tribunal entró a analizar si el sistema del Puerto Seguro garantiza un nivel de protección de los Derechos y Libertades Fundamentales sustancialmente equivalente al establecido por la Unión Europea en la Directiva 95/46/CE.

El problema radica en que los principios del Puerto Seguro son aplicables únicamente a las entidades que voluntariamente se adhieren al sistema pero no a las autoridades públicas, ya que se trata de un código de normas de autorregulación de carácter privado. Por este motivo las entidades adheridas no estarán obligadas a aplicar estos principios si el ordenamiento estadounidense así se lo exige en aplicación de una normativa que persiga fines legítimos como puede ser la seguridad nacional (p.ej. en aplicación de la Patriot Act). De esta forma puede producirse un acceso generalizado a los datos personales transferidos a estas entidades que suponga una vulneración al derecho fundamental al respeto de la vida privada y a la tutela judicial efectiva. Y ello porque no existe una protección jurídica eficaz contra dichas injerencias ya que no existen reglas claras y precisas que regulen el alcance y aplicación de las mismas ni garantías jurídicas ni procesales que protejan los datos personales de un acceso ilícito o abusivo.

A la vista de este análisis, la sentencia concluyó que el cumplimiento con los principios del puerto seguro no garantiza que se esté ofreciendo el adecuado nivel de protección que requiere la normativa europea y al invalidar la Decisión 2000/520/CE las transferencias de datos realizadas a su amparo en principio no cumplen la normativa europea en la materia.

En consecuencia, esta resolución provoca una serie de problemas a los operadores que participan en el importante flujo de datos que existe entre Europa y EEUU y que afecta tanto a las empresas como a los particulares o incluso a las autoridades públicas ya que:
  • Al invalidarse el marco común del Puerto Seguro, cada una de las autoridades nacionales de protección de datos puede entrar a considerar si bajo su punto de vista en cada caso se está ofreciendo un adecuado nivel de protección o no, lo que obligaría a solicitar autorización para cada transferencia en cada país origen de los datos (con la posibilidad de que se obtengan resultados distintos en cada uno de ellos).
  • Existe la posibilidad de que se impongan sanciones a los operadores europeos que estén realizando transferencias al amparo de este marco si se considera que no se ofrece el adecuado nivel de protección.
Hasta que no se cree un nuevo sistema que ampare las transferencias entre la UE y EEUU combinando las exigencias de protección del derecho fundamental a la privacidad con la aplicación de los mecanismos de seguridad de los estados habrá que acudir al resto de los mecanismos previstos en la Directiva esto es, el uso de las cláusulas modelos o las reglas corporativas vinculantes (BCR), si bien no constituyen una solución adecuada a las necesidades actuales del tránsito de datos trasatlántico.

Así las cosas es preciso que se negocie y ponga en marcha a la mayor brevedad un nuevo marco regulador de las transferencias de datos que impida el naufragio de nuestro derecho fundamental a la privacidad según el lugar donde se sitúen nuestros datos al tiempo que se les garantiza una navegación feliz y segura.

Si te gustó esta entrada, tal vez te interesará leer:
Imagen inicial: "Joseph Mallord William Turner - The Harbor of Dieppe - Google Art Project" by J. M. W. Turner -  Licensed under Public Domain via Wikimedia Commons

No hay comentarios:

Publicar un comentario

Déjanos aquí tu comentario. ¡Gracias por participar en la conversación!