Confilegal
Confilegal
Menú
Portada / Firmas
Firmas

Sobre el ‘Safe Harbor’ y otras cuestiones

Sobre el ‘Safe Harbor’ y otras cuestiones
Javier Puyol es abogado y socio de ECIXGroup.
18/10/2015 11:41
|
Actualizado: 13/8/2020 13:40
|

En esta noticia se habla de:

La reciente Sentencia del Tribunal de Justicia de las Comunidades Europeas de 6 de octubre de 2.015, ha puesto un nuevo hito en el camino de lo que es y debe ser la protección de datos de carácter personal.

Sus pronunciamientos parten del hecho motivado por la denuncia efectuada por el joven austriaco Maximilan Schrems, que era usuario de Facebook desde 2008.

Sus datos, como los de los europeos, se transmiten desde la filial de Facebook, en Irlanda., a los servidores que la empresa tiene en EEUU.

Schrems presentó una denuncia ante la autoridad irlandesa de protección de datos al considerar, a la luz de las revelaciones realizadas en 2013 por el Sr. Edward Snowden en relación con las actividades de los servicios de información de Estados Unidos, especialmente por la actividad desarrollada por la National Security Agency o «NSA», y que como consecuencia de ello, la normativa y la práctica de Estados Unidos no garantizaban una protección suficiente de los datos de carácter personal transferidos a ese país frente a las actividades de vigilancia por las autoridades públicas.

Esta Resolución del Tribunal de Justicia, aunque hayan causado una cierta sorpresa, sus pronunciamientos no son del todo novedosos, ya que enlazan, entre otros, con los efectuados por el Grupo de Trabajo del artículo 29 de la Directiva 95/46/CE, en el WP 196,  de 1 de julio de 2012, donde ya se manifestó que:

“En ausencia de un sistema más robusto que vele por el cumplimiento de los principios de protección de datos en el entorno de la nube, obtener sólo la autocertificación de “Puerto Seguro” puede resultar insuficiente… Las empresas –en el ámbito de la unión Europea- que exporten datos no deberían confiar exclusivamente en la declaración del importador de datos afirmando que posee la certificación de Puerto Seguro. Por el contrario, la empresa que exporte datos debería obtener pruebas de que las autocertificaciones de Puerto Seguro existen realmente y deberían solicitar pruebas que demostraran que se cumplen los principios relacionados con dichas autocertificaciones. Esto resulta especialmente importante en lo que respecta a la información proporcionada a los sujetos de datos a quienes afecta el procesamiento de datos”.

El concepto de “Safe Harbour” había dejado de constituir una presunción de eficacia general, para pasar a ser básicamente otra de naturaleza “iuris tantum”, de modo que el responsable del fichero, no debería dejarse llevar por dicha declaración de principios, sino que tiene que velar porque efectivamente en cada caso concreto los mismos tengan un efectivo cumplimiento.

El Grupo de Trabajo del artículo 29 se decantaba abiertamente por un sistema de cumplimiento material, donde los principios propios de la protección de datos de carácter personal tuvieran un real y efectivo cumplimiento en cada transferencia de datos, atribuyendo la responsabilidad de verificar dicho cumplimiento al responsable del fichero.

La Sentencia ahora dictada continúa, por tanto, el camino emprendido por dicho WP196, proyectando dicha obligación en este caso, sobre las autoridades nacionales de protección de datos de carácter personal. Y ello determina la necesidad de proceder a un examen exhaustivo de las garantías, afectando en este caso el asunto estudiado, tal como se ha puesto de manifiesto, especialmente al régimen derivado del “Safe Harbour”.

En este orden de cosas, dicha Sentencia recoge que en el punto 3.2 de la Comunicación COM (2013) 846 final la Comisión señaló la existencia de diversas deficiencias en la aplicación de la Decisión 2000/520.

Puso de manifiesto que algunas empresas estadounidenses certificadas no respetaban los principios enunciados en el artículo 1, apartado 1, de la Decisión 2000/520 (en lo sucesivo, «principios de puerto seguro»), y que, mediante mejoras de esa Decisión,«deben subsanarse las deficiencias estructurales relacionadas con la transparencia y la aplicación y deben reforzarse los principios sustantivos del régimen de puerto seguro y la aplicación de la excepción por motivos de seguridad nacional». Por otra parte, observó que «el régimen de puerto seguro sirve asimismo de interfaz para la transferencia de los datos personales de los ciudadanos [europeos] desde la [Unión Europea] a los Estados Unidos por parte de las empresas [a] las que se pide que suministren datos a los servicios de información de los Estados Unidos en el marco de los programas de recogida de información de los Estados Unidos».

A los efectos de solventar esta situación, el Tribunal señala que se debe recordar previamente que las disposiciones de la Directiva 95/46, en cuanto regulan el tratamiento de datos personales, que puede vulnerar las libertades fundamentales y, en particular, el derecho al respeto de la vida privada, deben ser necesariamente interpretadas a la luz de los derechos fundamentales protegidos por la Carta.

Con lo que, sobre esta base, el Tribunal trata de establecer la primacía real y efectiva de los derechos fundamentales de la persona, sobre la base de una protección eficaz de los mismos, estableciéndose como garantía de la efectiva de la protección del derecho a la privacidad la existencia de  autoridades nacionales de control, con las cuales se pretende asegurar un control eficaz y fiable del respeto de la normativa en materia de protección de las personas físicas frente al tratamiento de datos personales y debe interpretarse a la luz de dicho objetivo.

Esa garantía se ha establecido para reforzar la protección de las personas y de los organismos afectados por las decisiones de dichas autoridades. La creación en los Estados miembros de autoridades de control independientes constituye, pues, un elemento esencial de la protección de las personas frente al tratamiento de datos personales, como señala el considerando 62 de la Directiva 95/46.

Por ello se señala en la Sentencia que cuando una persona, cuyos datos personales hayan sido o pudieran ser transferidos a un tercer país que haya sido objeto de una decisión de la Comisión en virtud del artículo 25, apartado 6, de la Directiva 95/46, presenta a la autoridad nacional de control una solicitud para la protección de sus derechos y libertades frente al tratamiento de esos datos, e impugna con ocasión de esa solicitud, la compatibilidad de dicha decisión con la protección de la vida privada y de las libertades y derechos fundamentales de las personas, incumbe a esa autoridad examinar la referida solicitud con toda la diligencia exigible.

Es decir, se reconoce la facultad de cualquier persona física de acceder a su autoridad de control en materia de protección de datos, la cual con independencia de los pronunciamientos establecidos con carácter general por la Comisión Europea, debe investigar y garantizar de forma efectiva que las garantías materiales que deben presidir toda transferencia internacional de datos se cumplan de manera real y efectiva, velando por la transparencia y el cumplimiento de los requisitos legales establecidos al efecto.

En definitiva, esta Sentencia viene a reclamar de las autoridades nacionales de protección de datos más control sobre las transferencias internacionales de datos, y sobre todo, un mayor cumplimiento material de la normativa que garantiza el derecho a la protección de datos, evitando interpretaciones puramente formales de la regulación vigente, que a la postre pueden determinar violaciones del derecho a la privacidad.

No obstante ello, no puede pasarse por alto que  en el Expositivo 67 de la Resolución, lo que se cuestiona tanto por el demandante, como por el propio Tribunal de Justicia, es que el Derecho y las prácticas de Estados Unidos no garantizan un nivel de protección adecuado, en el sentido del artículo 25 de la Directiva 95/46.

Como ha señalado el Abogado General en los puntos 123 y 124 de sus conclusiones, el Sr. Schrems manifiesta dudas, que ese Tribunal parece compartir en sustancia, sobre la validez de la Decisión 2000/520. Siendo así, por las consideraciones expuestas en los apartados 60 a 63 de la presente sentencia, y para dar una respuesta completa al referido tribunal, es preciso apreciar si esa Decisión se ajusta a las exigencias derivadas de dicha Directiva entendida a la luz de la Carta.

Es decir, no se efectúa como primera cuestión un juicio de valor acerca de la eficacia del régimen jurídico instaurado sobre la base del llamado “Safe Harbour”, sino que lo que se está cuestionando de manera efectiva es si, tanto el derecho como las prácticas de los Estados Unidos garantizan un nivel de protección adecuado que permita de manera efectiva garantizar que en el caso de transferencias internacionales de datos, se va a proteger de manera adecuada el derecho a la protección de los datos de carácter personal de los titulares de los mismos.

Esta reflexión debe constituir el centro del discurso llevado a cabo por la propia Sentencia, y que puede tener unas repercusiones mayores, a lo que es el propio régimen del citado “Safe Harbour”, puesto que afectaría en tal caso, no solamente al mismo, sino a cualquier otro instrumento de carácter jurídico utilizado para justificar la realización de cualquier clase de transferencia internacional.

La situación que, como antes se indicó, venía gestándose desde 2012, y no era consecuente el rígido sistema continental de protección de dichos datos, como el régimen aparentemente de autorregulación, con escaso control que propiciaba “Safe Harbour”, y que en algunos casos, era utilizado como una patente de corso, para disponer de los datos de carácter personal, con apenas control, y sin poderse evaluar si existía un mínimo respeto a los derechos fundamentales de los ciudadanos europeos, al estar sustraído a los mismos el necesario control y la transparencia que debía presidir la gestión de los mismos.

Esta Sentencia, en la práctica si trae repercusiones, especialmente para las empresas. En el momento presente no se puede olvidar que son muy numerosas las ocasiones en las cuales por las mismas se ha recurrido a utilizar el instrumento de “Safe Harbour” para justificar la realización de transferencias internacionales de datos. Cabe preguntarse, por tanto, que solución jurídica cabe aplicar a las mismas.

Y a nuestro juicio, la respuesta debe ser de sosiego y de tranquilidad, pues dichas empresas cuando realizaron dichas transferencias utilizaron un recurso que era plenamente legal y ajustado a derecho, y contaba con todos los parabienes del regulador y de la legislación vigente.

Probablemente, con relación a dichas transferencias, en este momento se hace necesario tener un criterio orientativo que determine el camino a seguir. No puede olvidarse, que transcurrido un cierto tiempo, ante la inactividad de la empresa que recurrió al indicado expediente “Safe Harbour”, ante el hipotético supuesto de una denuncia formulada por cualquier particular ante el Regulador de control, dicha empresa estaría situada en situación de incumplimiento.

Por ello, parece razonable que cuanto antes,  y para aquellas transferencias que utilizaron “Safe Harbour” con anterioridad a la publicación de dicha Sentencia, se den instrucciones concretas por parte de la Agencia Española de Protección de Datos, a los efectos de regularizar lo antes posible la situación actualmente existente.

Del mismo modo, debe evaluarse si como antes se indicó, se cuestiona exclusivamente el instrumento “Safe Harbour”, o si por el contrario, lo que efectivamente se está poniendo en cuestión tanto el derecho como las prácticas de los Estados Unidos garantizan un nivel de protección adecuado. Porque ello daría a dicha Sentencia un alcance jurídico notablemente mayor, toda vez que afectaría a cualquier otra transferencia internacional de datos de carácter personal, incluso si se utilizaran cláusulas contractuales tipo, u otros instrumentos análogos.

Sin embargo, el grupo del Artículo 29, el pasado 16 de octubre, en una reunión de urgencia ha declarado expresamente:

«Por lo tanto, el Grupo de Trabajo hace un llamamiento urgente a los Estados miembros y las instituciones europeas para abrir conversaciones con las autoridades de Estados Unidos a fin de encontrar soluciones políticas, jurídicas y técnicas que permitan la transferencia de datos en el territorio de los Estados Unidos y que respeten los derechos fundamentales. Estas soluciones se podían encontrar a través de las negociaciones de un acuerdo intergubernamental que proporcionara mayores garantías a los interesados de la UE. Las actuales negociaciones en torno a un nuevo «Puerto Seguro» podría ser una parte de la solución. En cualquier caso, estas soluciones siempre deben ser asistidos por mecanismos claros y vinculantes e incluyen al menos obligaciones sobre la supervisión necesaria de acceso por parte de las autoridades públicas, a la transparencia, a la proporcionalidad, a los mecanismos de reparación y a los derechos de protección de datos«.

«Mientras tanto, el Grupo de Trabajo continuará su análisis sobre el impacto de la sentencia del TJUE en otras herramientas de transferencia. Durante este período, las autoridades de protección de datos consideran que las Cláusulas Contractuales Tipo y las Normas Corporativas Vinculantes pueden seguir utilizándose. En cualquier caso, esto no impedirá que las autoridades de protección de dato investiguen casos particulares, por ejemplo, sobre la base de las denuncias, y para ejercer sus poderes con el fin de proteger a las personas«.

«Si para finales de enero de 2016, no se encuentra una solución adecuada en las negociaciones con las autoridades estadounidenses, y en función de la evaluación de las herramientas de transferencia por parte del Grupo de Trabajo, las autoridades de protección de datos de la UE se comprometen a tomar todas las medidas necesarias y apropiadas, que pueden incluir la aplicación coordinada de acciones«.

Y finalmente se determina como conclusión lo siguiente:

«En conclusión, el Grupo de Trabajo insiste en las responsabilidades compartidas entre las autoridades de protección de datos, las instituciones de la UE, los Estados miembros y las empresas para encontrar soluciones sostenibles para aplicar la sentencia del Tribunal. En particular, en el contexto de la sentencia, las empresas deberían reflexionar sobre los eventuales riesgos que asumen al transferir datos y deberían considerar poner en su lugar algunas soluciones legales y técnicas de una forma oportuna para mitigar esos riesgos y respetar el acervo comunitario de protección de datos de la Unión Europea».

Todo ello, dada la situación producida, los intereses económicos en juego, y la necesidad de contar con la seguridad jurídica adecuada, se hace completamente necesario que de forma global por la Unión Europea, y por sus reguladores se lleguen a soluciones eficaces, y definitivas, y entre ellas, cabe vez parece más necesario que se acerque el marco normativo existe entre los Estados Unidos y la Comunidad Europea, que se vislumbra como la mejor solución, a los efectos de relanzar activamente los flujos de datos internacionales, solventando el limbo jurídico ante el cual nos encontramos.

En todo caso, esta Sentencia debe constituir, a partir de este momento, un llamamiento a la prudencia a los responsables de ficheros, a la hora de concluir acuerdos contractuales que lleven consigo, precisamente transferencias internacionales de datos, en el sentido de extremar el control sobre sus bases de datos que hayan de ser exportadas, a los efectos de no incurrir en infracciones que puedan ser sancionadas sobre la base de la vigente normativa de protección de datos, teniendo en cuenta, además, la relativa próxima aprobación del nuevo Reglamento Comunitario sobre la materia, el cual tendrá que ser revisado para adecuarlo a los pronunciamientos judiciales ahora producidos.

Otras Columnas por Javier Puyol Montero:
Opinión | Los ciberataques también son posibles contra los teléfonos móviles
Opinión | Neurotecnología: ¿Estamos listos para el próximo gran desafío ético y legal?
Opinión | Ciberseguridad e Inteligencia Artificial: vinculaciones
Opinión | La Inteligencia Artificial y la función de juzgar
La estrategia española de transformación digital y el «Sandbox» sobre la Inteligencia Artificial
Tiempo de recuperación tras un ciberataque
Últimas Firmas
  • Opinión | CDL: A vueltas con la ‘Anti-Suit Injunction’: UniCredit contra RusChemAlliance ante la Jurisdicción de Inglaterra y Gales (y III)
    Opinión | CDL: A vueltas con la ‘Anti-Suit Injunction’: UniCredit contra RusChemAlliance ante la Jurisdicción de Inglaterra y Gales (y III)
  • Opinión | Cuotas y peritos, dignidad y mercado
    Opinión | Cuotas y peritos, dignidad y mercado
  • Opinión | El derecho a decir la verdad
    Opinión | El derecho a decir la verdad
  • Opinión | «Primary Colors»: una lucha entre la ética y el liderazgo para conseguir el poder
    Opinión | «Primary Colors»: una lucha entre la ética y el liderazgo para conseguir el poder
  • Opinión | La criminalística como especialización del abogado penalista
    Opinión | La criminalística como especialización del abogado penalista