Especialista en Derecho Mercantil, Internacional y de las Nuevas Tecnologías
Miembro de la Sección de Nuevas Tecnologías del Colegio de Abogados de Málaga
![]() |
The Harbor of Dieppe - by J. M. W. Turner |
El sistema de transferencia internacional de datos entre Europa y EEUU ha sufrido un gran impacto con motivo de la sentencia dictada el pasado 6 de octubre por el Tribunal de Justicia de la Unión Europea en el caso Schrems, ya que dicha sentencia ha declarado inválido el marco de los principios de Puerto Seguro (Safe Harbor) reconocido al amparo de la Decisión 2000/250/CE. Pese a lo que en principio pudiera parecer, este pronunciamiento nos toca de cerca ya que va a afectar seriamente a una serie de prácticas propias de la actividad diaria tanto de empresas como de particulares como por ejemplo:
De esta forma se garantizaba a los operadores que se adhirieran a los principios que conforman este sistema y que adoptaran las medidas necesarias para llevarlas a la práctica, una "presunción de adecuación" al nivel de protección exigido por la Directiva Europea de Protección de Datos 95/46/CE. Se permitía así la libre transferencia de datos a dichos operadores. Así lo dispuso la Comisión Europea por medio de la Decisión 2000/520/CE de 26 de julio de 2000. Sin embargo este sistema, que venía siendo cuestionado por diversos sectores doctrinales, finalmente se ha visto anulado por la sentencia que comentamos.
Dicha sentencia tiene su origen en la reclamación que el ciudadano austríaco Maximilian Schrems presentó ante la Autoridad de Protección de Datos Irlandesa por considerar que la trasferencia de datos personales que Facebook Ireland efectuaba a Facebook Inc en EEUU no garantizaba una protección suficiente de aquellos conservados en su territorio frente a las actividades de vigilancia practicadas por las autoridades públicas estadounidenses (que habían sido puestas de manifiesto con el caso Snowden). En este entorno, el Tribunal entró a analizar si el sistema del Puerto Seguro garantiza un nivel de protección de los Derechos y Libertades Fundamentales sustancialmente equivalente al establecido por la Unión Europea en la Directiva 95/46/CE.
El problema radica en que los principios del Puerto Seguro son aplicables únicamente a las entidades que voluntariamente se adhieren al sistema pero no a las autoridades públicas, ya que se trata de un código de normas de autorregulación de carácter privado. Por este motivo las entidades adheridas no estarán obligadas a aplicar estos principios si el ordenamiento estadounidense así se lo exige en aplicación de una normativa que persiga fines legítimos como puede ser la seguridad nacional (p.ej. en aplicación de la Patriot Act). De esta forma puede producirse un acceso generalizado a los datos personales transferidos a estas entidades que suponga una vulneración al derecho fundamental al respeto de la vida privada y a la tutela judicial efectiva. Y ello porque no existe una protección jurídica eficaz contra dichas injerencias ya que no existen reglas claras y precisas que regulen el alcance y aplicación de las mismas ni garantías jurídicas ni procesales que protejan los datos personales de un acceso ilícito o abusivo.
A la vista de este análisis, la sentencia concluyó que el cumplimiento con los principios del puerto seguro no garantiza que se esté ofreciendo el adecuado nivel de protección que requiere la normativa europea y al invalidar la Decisión 2000/520/CE las transferencias de datos realizadas a su amparo en principio no cumplen la normativa europea en la materia.
En consecuencia, esta resolución provoca una serie de problemas a los operadores que participan en el importante flujo de datos que existe entre Europa y EEUU y que afecta tanto a las empresas como a los particulares o incluso a las autoridades públicas ya que:
Así las cosas es preciso que se negocie y ponga en marcha a la mayor brevedad un nuevo marco regulador de las transferencias de datos que impida el naufragio de nuestro derecho fundamental a la privacidad según el lugar donde se sitúen nuestros datos al tiempo que se les garantiza una navegación feliz y segura.
- Las transferencias de datos necesarias para la realización de procesos internos, tales como la gestión centralizada de procedimientos de RRHH, nóminas o de gestión comercial entre empresas de un mismo grupo.
- El almacenamiento de datos en servidores situados en EEUU.
- El alojamiento de datos en sistemas de computación en la nube en empresas que dispongan de servidores situados en EEUU (p.ej. Dropbox, Google, Linkedin etc).
De esta forma se garantizaba a los operadores que se adhirieran a los principios que conforman este sistema y que adoptaran las medidas necesarias para llevarlas a la práctica, una "presunción de adecuación" al nivel de protección exigido por la Directiva Europea de Protección de Datos 95/46/CE. Se permitía así la libre transferencia de datos a dichos operadores. Así lo dispuso la Comisión Europea por medio de la Decisión 2000/520/CE de 26 de julio de 2000. Sin embargo este sistema, que venía siendo cuestionado por diversos sectores doctrinales, finalmente se ha visto anulado por la sentencia que comentamos.
Dicha sentencia tiene su origen en la reclamación que el ciudadano austríaco Maximilian Schrems presentó ante la Autoridad de Protección de Datos Irlandesa por considerar que la trasferencia de datos personales que Facebook Ireland efectuaba a Facebook Inc en EEUU no garantizaba una protección suficiente de aquellos conservados en su territorio frente a las actividades de vigilancia practicadas por las autoridades públicas estadounidenses (que habían sido puestas de manifiesto con el caso Snowden). En este entorno, el Tribunal entró a analizar si el sistema del Puerto Seguro garantiza un nivel de protección de los Derechos y Libertades Fundamentales sustancialmente equivalente al establecido por la Unión Europea en la Directiva 95/46/CE.
El problema radica en que los principios del Puerto Seguro son aplicables únicamente a las entidades que voluntariamente se adhieren al sistema pero no a las autoridades públicas, ya que se trata de un código de normas de autorregulación de carácter privado. Por este motivo las entidades adheridas no estarán obligadas a aplicar estos principios si el ordenamiento estadounidense así se lo exige en aplicación de una normativa que persiga fines legítimos como puede ser la seguridad nacional (p.ej. en aplicación de la Patriot Act). De esta forma puede producirse un acceso generalizado a los datos personales transferidos a estas entidades que suponga una vulneración al derecho fundamental al respeto de la vida privada y a la tutela judicial efectiva. Y ello porque no existe una protección jurídica eficaz contra dichas injerencias ya que no existen reglas claras y precisas que regulen el alcance y aplicación de las mismas ni garantías jurídicas ni procesales que protejan los datos personales de un acceso ilícito o abusivo.
A la vista de este análisis, la sentencia concluyó que el cumplimiento con los principios del puerto seguro no garantiza que se esté ofreciendo el adecuado nivel de protección que requiere la normativa europea y al invalidar la Decisión 2000/520/CE las transferencias de datos realizadas a su amparo en principio no cumplen la normativa europea en la materia.
En consecuencia, esta resolución provoca una serie de problemas a los operadores que participan en el importante flujo de datos que existe entre Europa y EEUU y que afecta tanto a las empresas como a los particulares o incluso a las autoridades públicas ya que:
- Al invalidarse el marco común del Puerto Seguro, cada una de las autoridades nacionales de protección de datos puede entrar a considerar si bajo su punto de vista en cada caso se está ofreciendo un adecuado nivel de protección o no, lo que obligaría a solicitar autorización para cada transferencia en cada país origen de los datos (con la posibilidad de que se obtengan resultados distintos en cada uno de ellos).
- Existe la posibilidad de que se impongan sanciones a los operadores europeos que estén realizando transferencias al amparo de este marco si se considera que no se ofrece el adecuado nivel de protección.
Así las cosas es preciso que se negocie y ponga en marcha a la mayor brevedad un nuevo marco regulador de las transferencias de datos que impida el naufragio de nuestro derecho fundamental a la privacidad según el lugar donde se sitúen nuestros datos al tiempo que se les garantiza una navegación feliz y segura.
Si te gustó esta entrada, tal vez te interesará leer:
Imagen inicial: "Joseph Mallord William Turner - The Harbor of Dieppe - Google Art Project" by J. M. W. Turner - Licensed under Public Domain via Wikimedia Commons
No hay comentarios:
Publicar un comentario
Déjanos aquí tu comentario. ¡Gracias por participar en la conversación!