Blog

SENTENCIA DEL TJUE EN EL CASO SCHREMS: ¿FIN DEL “SAFE HARBOR”?

Escribiendo estas líneas me siento como el periodista que siempre quise ser. Aunque creo que  a la hora en la que voy a publicar el post, no va a resultar en absoluto una primicia. Aun así, creo interesante escribir una entrada en relación con este asunto, por la relevancia de la resolución y porque puede tildarse de histórica.

Hoy día 6 de octubre de 2015, se ha publicado la Sentencia dictada por el Tribunal de Justicia de la Comunidad Europea en el llamado “caso Schrems” que básicamente declara inválida la Decisión 2000/520/CE adoptada por la Comisión Europea y por ende dándole el “tiro de gracia” al llamado Acuerdo Safe Harbor o de Puerto Seguro.

Quizá alguno, tras leer el párrafo anterior, esté planteándose de qué demonios estoy hablando y qué trascendencia puede tener eso. Intento explicarlo.

¿Qué es eso del Safe Harbor o Puerto Seguro?

La Directiva europea 95/46/CE de protección de datos

La Directiva europea 95/46/CE de protección de datos creó hace ya casi 20 años un marco de protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales en Europa. En definitiva, dicha Directiva es la norma europea en lo que respecta a la protección de datos personales y que fue transpuesta a nuestra legislación a través de la Ley Orgánica de Protección de Datos (LOPD).

El artículo 25.1 de dicha Directiva prohíbe las transferencias de datos personales a un país tercero, distinto de cualquiera de los Estados miembros de la Unión Europea, que no garantice un nivel de protección adecuado.

La Decisión 2000/520/CE de la Comisión Europea

Es evidente que la aprobación de la referida Directiva ponía difíciles las cosas a aquellas empresas norteamericanas que querían tratar datos obtenidos de ciudadanos europeos, debiendo someterse a interminables trámites burocráticos para obtener autorizaciones a la transferencia de datos.

Quizá las multinacionales de Estados Unidos pensaron: “Necesitamos proporcionar confianza a la Unión Europea para que no haya problema para transferir datos de su territorio al nuestro y debemos proporcionarle algún mecanismo que tranquilice a estos europeos”.

La presión de lobbies  e instituciones norteamericanas  a los organismos europeos por encontrar una solución a la cuestión encontró recompensa en la aprobación por la Comisión Europea de la Decisión 2000/520/CE que con fundamento en el artículo 25, apartados 1 y 6 de la Directiva 95/46 considera el nivel adecuado de protección de la transferencia de datos desde la Unión Europea a  entidades de EE.UU. (generalmente empresas), siempre y cuando se cumplieran los principios de puerto seguro o safe harbor, se siguieran las directrices de orientación para aplicar los principios (las llamadas “preguntas frecuentes” o “FAQ”), publicando sus políticas de privacidad y sometiéndose a la jurisdicción de la Federal Trade Comission Act, en la que se prohíben actos o prácticas desleales o fraudulentas en el comercio o a la jurisdicción de otros organismos públicos que garanticen el cumplimiento efectivo de los principios y de su aplicación de conformidad con las FAQ (La Federal Trade Commission y El Departamento de Transporte de Estados Unidos de América)

Así pues, la Decisión 2000/520/CE no reconoce el territorio estadounidense como con nivel adecuado de protección, sino que reconoce un nivel adecuado de protección a la transferencia internacional de datos a entidades o empresas adheridas a esos principios de puerto seguro, inspirados en la normativa europea en materia de protección de datos.

¿Quién parece ser el héroe de esta historia? El Sr. Schrems

Josef_Weidenholzer_-_Max_Schrems_-_19_February_2012

Maximilian Schrems, un abogado de origen austríaco y fundador de la web europe-v-facebook.org , decidió intentar poner patas arriba el panorama de la transferencia de datos a multinacionales de EE.UU. y a la vista del resultado, parece que lo ha conseguido.

El Procedimiento

El bueno de Max (Maximilian Schrems) decidió poner una denuncia ante la Autoridad Irlandesa de Control en materia de Protección de Datos contra Facebook,  a la vista de las revelaciones efectuadas por Edward Snowden en el año 2013 relativas a que la NSA norteamericana (Agencia de Seguridad Nacional, que tanto mencionan en las pelis de Hollywood), a través de su programa PRISM, monitorizaba de forma indiscriminada los datos personales almacenados por multinacionales tecnológicas (Facebook, Apple, Google…)  en servidores localizados en EE.UU.

Por esa razón, la normativa y la práctica de EE.UU. no garantizaban un adecuado nivel de protección de los datos transferidos a ese país desde Europa, pues las autoridades norteamericanas estaban realizando labores de vigilancia e investigación sin tener en cuenta los límites de la protección de datos de la Directiva europea.

La Autoridad Irlandesa desestima la reclamación de Schrems amparándose en la Decisión 2000/520/CE, considerando que en el marco del régimen de “Puerto Seguro”, EE.UU. garantiza un nivel adecuado de protección de los datos personales transferidos, y claro, Facebook se encuentra adherida a esos principios de Puerto Seguro.

Schrems decide entonces acudir a la jurisdicción ordinaria en Irlanda, y el tribunal competente es la High Court (El Tribunal Supremo Irlandés) que plantea, antes de pronunciarse, una cuestión prejudicial al Tribunal de Justicia de la Unión Europea.

Una cuestión prejuidicial es, a grandes rasgos, una consulta sobre la interpretación de la normativa comunitaria aplicable, en este caso la Directiva 95/46 sobre protección de datos y que se dirige al órgano encargado de tal labor: El Tribunal de Justicia de la Unión Europea.

Como decíamos, el High Court (recordemos, el Tribunal Supremo Irlandés) plantea una cuestión prejudicial en relación con si la Decisión 200/520/CE impide a una autoridad nacional de control (como la Autoridad Irlandesa de Protección de datos o la Agencia Española de Protección de Datos, por ejemplo en el caso de España) investigar una denuncia en la que se alega que un país tercero (en este caso EE.UU) no garantiza un nivel de protección adecuado y, en su caso, suspender la transferencia de datos denunciada, así como, la validez de la Decisión 2000/520/CE, con arreglo a la Directiva 95/46/CE, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de datos personales.

En definitiva, el High Court está planteándole al TJUE que se pronuncie sobre si el sistema que se había establecido con la Decisión 2000/95/CE es válido o no para transferir datos a entidades estadounidenses adheridas a los Principios de Puerto Seguro.

Conflict *** U.S.A.-Europa

La Sentencia del TJUE

La Sentencia se despacha bien con la Comisión Europea y con la Decisión 2000/520/CE.

Refiere la Sentencia que la existencia de una Decisión de la Comisión (en este caso la 2000/520/CE) que declara que un país tercero tiene un nivel adecuado de protección de los datos personales transferidos no puede dejar sin efecto ni limitar las facultades de las que disponen las autoridades nacionales de control en virtud de la Carta de los Derechos Fundamentales de la Unión Europea y de la Directiva 95/46/CE

El Tribunal de Justicia recuerda que la Comisión estaba obligada a comprobar si Estados Unidos garantiza efectivamente, con base en su legislación interna o de sus compromisos internacionales, un nivel de protección de los derechos fundamentales sustancialmente equivalente al garantizado en la Unión en virtud de la Directiva, interpretada a la luz de la la Carta de los Derechos Fundamentales de la Unión Europea. El Tribunal de Justicia observa que la Comisión no llevó a cabo ese examen, sino que se limitó a analizar el régimen de puerto seguro.

La Sentencia señala que los principios de puerto seguro son sólo aplicables a las entidades estadounidenses que se han adherido a él, de modo que las autoridades norteamericanas no están sometidas a dicho régimen, prevaleciendo las exigencias de seguridad nacional, interés público y cumplimiento de la ley de EE.UU. sobre el régimen de puerto seguro. Por ello el régimen de puerto seguro posibilita injerencias por parte de las autoridades públicas norteamericanas en los derechos fundamentales de las personas.

Por todas esas razones, el Tribunal de Justicia declara inválida la Decisión de la Comisión 2000/520/CE de 26 de julio de 2000. Como consecuencia de esta sentencia, la autoridad irlandesa de control está obligada a examinar la reclamación del Sr. Schrems con toda la diligencia exigible y, al término de su investigación, deberá decidir si, en virtud de la Directiva, debe suspenderse la transferencia de los datos de los usuarios europeos de Facebook a Estados Unidos porque ese país no ofrece un nivel de protección adecuado de los datos personales.

SONY DSC

¿Y ahora qué?¿Hay vida después de la STJUE en el caso Schrems?

Parece obvio que a la vista del fallo de la Sentencia se antoja necesario negociar un nuevo Acuerdo sobre los Principios de Puerto Seguro.

Estas negociaciones, no obstante, al parecer se iniciaron en 2013 pero sobre la base del puerto seguro de la Decisión 2000/520/CE ahora declarada inválida por el TJUE.

Aunque como se suele decir, todo tiene solución menos la muerte, se me antoja complicada la cuestión, siempre y cuando las Leyes Norteamericanas prevalezcan sobre cualquier acuerdo o principio de puerto seguro.

Quizá las grandes empresas norteamericanas dejen de transferir datos personales de ciudadanos europeos sus servidores de EE.UU. y los mantengan en los servidores de sus filiales europeas, hasta que se encuentre otra solución que parece que necesariamente pasa por que Estados Unidos disponga de un nivel adecuado de protección de datos.

Pero me preocupan más las empresas que disponen de menos recursos económicos y/o tecnológicos, que al final han contratado servicios de Hosting, de servicios de Mail Marketing o de Cloud Computing en un escenario en el que no era necesaria la autorización del Director de la Agencia Española de Protección de Datos para que los datos recabados por ellos fueran transferidos a los servidores de esos prestadores de servicios ubicados en Norteamérica y que ahora van a tener que adaptar sus políticas de privacidad, solicitar autorizaciones o cambiar de proveedores con lo que todo ello implica.

Apasionante este asunto. Creo que esta noche el Sr. Schrems ha montado una fiesta en su casa.

22 Comments

  1. JuanPedroPena

    Un ejemplo más no sólo de que David puede vencer a Goliath sino del hecho de que cuando uno se propone algo, al final lo consigue. Como bien sabes, la privacidad es algo que preocupa a la gente pero muy pocos se preocupan de protegerla y en las redes sociales siempre se ha interpuesto la “necesidad” de estar en ellas, que las consecuencias por estarlo.
    Muy bien explicado, Nando, enhorabuena.
    Un abrazo.

    1. NANDO OLCINA

      Muchas gracias Juan Pedro por la visita al blog. Encantado de que te haya gustado. Es un honor, viniendo de ti. Un abrazo!

  2. JESUS RUIZ

    Muy interesante el artículo, y la verdad es que es algo que deben dejar zanjado con todas las implicaciones que tiene. La pregunta es ahora… ¿ Que ocurre con los servicios que utilizamos de Estados Unidos como Mailchimp para nuestras páginas web? veremos…

    1. NANDO OLCINA

      Muchas gracias, Jesús. Pues sí, veremos…Estaremos expectantes para poder informaros. Un saludo

      1. JESUS RUIZ

        Hola Fernando!!, pues al final recibí la notificación, pero estaba fuera y solo me dieron 7 días… total que la han devuelto. Me dicen que tengo que reclamarla postalmente, menos mal que sé de que es.
        La verdad es que viendo el panorama, al final creo que me voy a cambiar de proveedor para este servicio de newsletters, porque la idea de ir pidiendo permiso ahora a todos mis suscriptores sobre este tema no va a ser plato de gusto para ninguno y más de uno anulará la suscripción.
        ¿Pero si cambio de proveedor? Igualmente los tendré que informar supongo, y hacer modificación del fichero.
        Espero que borrando la cuenta de Mailchimp, y pidiendo la eliminación de todos los datos de los usuarios no haya ningún problema…(aunque de eso ya me encargaré yo por si acaso antes de borrar la cuenta) ya sabemos que EEUU no es España.
        Un saludo Fernando!

        1. NANDO OLCINA

          Hola Jesús:
          Si vas a cambiar de proveedor y vas a contratar uno europero, lo que debes hacer es modificar tu fichero a través de la sede electrónica de la AEPD, comunicando que ya no realizas transferencias internacionales. Como quiera que el nuevo proveedor se encuentra en el espacio económico europeo (si es el caso), obviamente ya no es necesario que comuniques transferencias internacionales.
          Un saludo

    2. Enrique Ros

      Hola Jesús. Has recibido tú también el requerimiento de la AGPD? (lee mi comentario en esta misma entrada)

      1. JESUS RUIZ

        Hola Enrique! De momento no. ¿Lo recibiste de manera postal? Para estar atento a ver… Pues si habrá que ponerse a buscar otro sitio… A no ser que Mailchimp le dé por poner algunos de sus servicios en la UE. Un saludo

        1. Enrique Ros

          Pues sí, postal y certificado. De momento, Mailchimp se ha adecuado a los nuevos requerimientos y te ofrece un contrato firmado comprometiéndose a cumplir las directivas de la UE, y eso es lo que he enviado a la AGPD, aunque aún no he tenido respuesta. A ver si esto te ayuda: http://kb.mailchimp.com/es/accounts/management/about-mailchimp-and-eu-safe-harbor
          Un saludo

          1. Teresa Sc

            Pero yo leí en alguna parte que el acuerdo tenía que estar en español para presentarlo a la AGPD. MailChimp lo ofrece en inglés, por lo que había que contratar a un traductor (o traducirlo) y posteriormente alguien (llámese notario) tenía que dar fé de que el texto original decía lo mismo que la traducción para poder enviarlo a la AGPD y que fuese aceptado.

          2. NANDO OLCINA

            Hola Teresa:
            Efectivamente, como refieres, he llamado a la Agencia de Protección de Datos y me confirman que sería necesario aportar un contrato firmado por MailChimp, una traducción jurada del mismo y además unos poderes de los representantes de Mailchimp.
            Si no se aporta todo eso, inadmitirán a trámite la solicitud de autorización.
            La AEPD comprobará si ese contrato se ajusta a las llamadas cláusulas contractuales tipo entre responsable y encargado de tratamiento y resolverá sobre la solicitud de autorización.
            El traductor jurado con la traducción que realiza ya “da fe” de que el contenido del contrato en inglés coincide con la traducción.
            Un saludo

          3. Teresa Sc

            ¡Genial! Gracias por confirmar, Nando 😉

          4. NANDO OLCINA

            Gracias a ti por la visita al blog 😉

  3. Enrique Ros

    Gracias por el artículo Nando, cuando lo leí en su día (te sigo por RSS) no me pareció que fuera afectar en nada a corto plazo.

    Error. Hoy he recibido requerimiento de la AGPD para que “adapte mi fichero a la legislación”, ya que tengo mi lista de suscriptores en Mailchimp, antes del 26 de enero. Pues nada, mudanza toca. A buscar una plataforma de email marketing cuyos servidores de BBDD estén dentro de la UE…

    Saludos

  4. […] al trabajar por ejemplo con multitud de sistemas de información y proveedores con domicilios en países recientemente declarados como no seguros. Por otro lado es un empresa que accede y maneja datos de sus clientes y por tanto legalmente es […]

  5. Anna

    Muchas gracias por el articulo.
    Mi duda es, ¿Cómo nos afecta si tenemos datos en dropbox?

    1. NANDO OLCINA

      Muchas gracias a ti, Anna, por la visita y tu comentario.
      Precisamente el caso de Dropbox es uno de los supuestos a los que afecta de forma directa la invalidación de los principios de Safe Harbor, pues si se suben daros personales a Dropbox, se está realizando una transferencia internacional de datos a Estados Unidos. Las soluciones pasan por: a) dejar de usar Dropbox a esos fines, b) obtener el consentimiento inequívoco de los usuarios a que se transfieran sus datos a EE.UU. o c) obtener una autorización de la Agencia Española de Protección de Datos a tal fin.
      En cualquier caso, la Agencia Española de Protección de Datos ha establecido una moratoria hasta el 29 de enero para la adecuación a la nueva situación e incluso cabe la posibilidad de que antes de esa fecha se acuerde un nuevo acuerdo de Puerto Seguro, aunque se me antoja difícil si el gobierno norteamericano no deja de tener acceso indiscriminado a los datos de las empresas norteamericanas. Habrá que estar atentos.
      Un saludo

      1. Anna

        Gracias por tu rápida respuesta!! Es complicado obtenir esta autorización?

        1. NANDO OLCINA

          Hola Anna:
          Pues lo cierto es que nunca he tramitado una autorización de este tipo. No obstante, tengo entendido que es más burocrático que otra cosa y hay que acompañar un contrato firmado con el proveedor de servicios norteamericano. Por otra parte tardan unos meses en resolver sobre la autorización. Nos podemos encontrar con la situación de que finalmente la AEPD no autorice la transferencia internacional de datos.
          Un saludo

  6. yae k

    Hola:

    ¿Y en los casos de subcontratación?

    Si yo tengo contratado un servicio con una empresa española, pero ésta a su vez tiene contratado parte de sus servicios con una empresa en USA (mailchimp, amazon, etc.) ¿quién debe adecuarse él o yo? Es decir, esta empresa española ofrece servicios de mensajería. Yo tengo contratado sus servicios para poder revender esos servicios de mensajería a mis clientes y uso su plataforma para gestionar estos servicios. Es decir, en términos de la LOPD, mi empresa sería el ‘responsable del fichero’ y la empresa proveedora española es el ‘encargado de tratamiento’.

    LA empresa proveedora española es la que tiene contratados los servicios en USA. Por lo que entiendo que debe ser ella la que pida la autorización a la AEPD, etc. ¿correcto? ¿y si no lo hace?

    Un saludo

    1. NANDO OLCINA

      Hola Yaek:
      Pues en tanto que la empresa proveedora española contratada por ti sería tu encargada de tratamiento, tienes la obligación de exigirle que no realice transferencias de datos internacionales a menos que cumpla con la norma. Ten en cuenta que el encargado de tratamiento trata los datos conforme a lo que le diga el responsable de tratamiento. Es decir, ese encargado de tratamiento no podrá realizar transferencias internacionales de datos, a menos que tú se lo indiques. Eres responsable de los datos que proporcionas a dicho encargado de tratamiento, por lo tanto deberás exigirle que se adecue a la nueva situación en tanto realice transferencias internacionales de los datos que le proporcionas , siguiendo tus instrucciones.
      Un saludo

      Un saludo

  7. […] del acuerdo “Safe Harbor”, Nando Olcina (El Abogado Digital), lo explica muy bien en su post ¿Fin del “Safe Harbor”?. Este es uno de los momentos más importantes para las empresas que están compitiendo […]

Deja un Comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *