Escribiendo estas líneas me siento como el periodista que siempre quise ser. Aunque creo que a la hora en la que voy a publicar el post, no va a resultar en absoluto una primicia. Aun así, creo interesante escribir una entrada en relación con este asunto, por la relevancia de la resolución y porque puede tildarse de histórica.
Hoy día 6 de octubre de 2015, se ha publicado la Sentencia dictada por el Tribunal de Justicia de la Comunidad Europea en el llamado “caso Schrems” que básicamente declara inválida la Decisión 2000/520/CE adoptada por la Comisión Europea y por ende dándole el «tiro de gracia» al llamado Acuerdo Safe Harbor o de Puerto Seguro.
Quizá alguno, tras leer el párrafo anterior, esté planteándose de qué demonios estoy hablando y qué trascendencia puede tener eso. Intento explicarlo.
¿Qué es eso del Safe Harbor o Puerto Seguro?
La Directiva europea 95/46/CE de protección de datos
La Directiva europea 95/46/CE de protección de datos creó hace ya casi 20 años un marco de protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales en Europa. En definitiva, dicha Directiva es la norma europea en lo que respecta a la protección de datos personales y que fue transpuesta a nuestra legislación a través de la Ley Orgánica de Protección de Datos (LOPD).
El artículo 25.1 de dicha Directiva prohíbe las transferencias de datos personales a un país tercero, distinto de cualquiera de los Estados miembros de la Unión Europea, que no garantice un nivel de protección adecuado.
La Decisión 2000/520/CE de la Comisión Europea
Es evidente que la aprobación de la referida Directiva ponía difíciles las cosas a aquellas empresas norteamericanas que querían tratar datos obtenidos de ciudadanos europeos, debiendo someterse a interminables trámites burocráticos para obtener autorizaciones a la transferencia de datos.
Quizá las multinacionales de Estados Unidos pensaron: “Necesitamos proporcionar confianza a la Unión Europea para que no haya problema para transferir datos de su territorio al nuestro y debemos proporcionarle algún mecanismo que tranquilice a estos europeos”.
La presión de lobbies e instituciones norteamericanas a los organismos europeos por encontrar una solución a la cuestión encontró recompensa en la aprobación por la Comisión Europea de la Decisión 2000/520/CE que con fundamento en el artículo 25, apartados 1 y 6 de la Directiva 95/46 considera el nivel adecuado de protección de la transferencia de datos desde la Unión Europea a entidades de EE.UU. (generalmente empresas), siempre y cuando se cumplieran los principios de puerto seguro o safe harbor, se siguieran las directrices de orientación para aplicar los principios (las llamadas “preguntas frecuentes” o “FAQ”), publicando sus políticas de privacidad y sometiéndose a la jurisdicción de la Federal Trade Comission Act, en la que se prohíben actos o prácticas desleales o fraudulentas en el comercio o a la jurisdicción de otros organismos públicos que garanticen el cumplimiento efectivo de los principios y de su aplicación de conformidad con las FAQ (La Federal Trade Commission y El Departamento de Transporte de Estados Unidos de América)
Así pues, la Decisión 2000/520/CE no reconoce el territorio estadounidense como con nivel adecuado de protección, sino que reconoce un nivel adecuado de protección a la transferencia internacional de datos a entidades o empresas adheridas a esos principios de puerto seguro, inspirados en la normativa europea en materia de protección de datos.
¿Quién parece ser el héroe de esta historia? El Sr. Schrems
Maximilian Schrems, un abogado de origen austríaco y fundador de la web europe-v-facebook.org , decidió intentar poner patas arriba el panorama de la transferencia de datos a multinacionales de EE.UU. y a la vista del resultado, parece que lo ha conseguido.
El Procedimiento
El bueno de Max (Maximilian Schrems) decidió poner una denuncia ante la Autoridad Irlandesa de Control en materia de Protección de Datos contra Facebook, a la vista de las revelaciones efectuadas por Edward Snowden en el año 2013 relativas a que la NSA norteamericana (Agencia de Seguridad Nacional, que tanto mencionan en las pelis de Hollywood), a través de su programa PRISM, monitorizaba de forma indiscriminada los datos personales almacenados por multinacionales tecnológicas (Facebook, Apple, Google…) en servidores localizados en EE.UU.
Por esa razón, la normativa y la práctica de EE.UU. no garantizaban un adecuado nivel de protección de los datos transferidos a ese país desde Europa, pues las autoridades norteamericanas estaban realizando labores de vigilancia e investigación sin tener en cuenta los límites de la protección de datos de la Directiva europea.
La Autoridad Irlandesa desestima la reclamación de Schrems amparándose en la Decisión 2000/520/CE, considerando que en el marco del régimen de “Puerto Seguro”, EE.UU. garantiza un nivel adecuado de protección de los datos personales transferidos, y claro, Facebook se encuentra adherida a esos principios de Puerto Seguro.
Schrems decide entonces acudir a la jurisdicción ordinaria en Irlanda, y el tribunal competente es la High Court (El Tribunal Supremo Irlandés) que plantea, antes de pronunciarse, una cuestión prejudicial al Tribunal de Justicia de la Unión Europea.
Una cuestión prejuidicial es, a grandes rasgos, una consulta sobre la interpretación de la normativa comunitaria aplicable, en este caso la Directiva 95/46 sobre protección de datos y que se dirige al órgano encargado de tal labor: El Tribunal de Justicia de la Unión Europea.
Como decíamos, el High Court (recordemos, el Tribunal Supremo Irlandés) plantea una cuestión prejudicial en relación con si la Decisión 200/520/CE impide a una autoridad nacional de control (como la Autoridad Irlandesa de Protección de datos o la Agencia Española de Protección de Datos, por ejemplo en el caso de España) investigar una denuncia en la que se alega que un país tercero (en este caso EE.UU) no garantiza un nivel de protección adecuado y, en su caso, suspender la transferencia de datos denunciada, así como, la validez de la Decisión 2000/520/CE, con arreglo a la Directiva 95/46/CE, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de datos personales.
En definitiva, el High Court está planteándole al TJUE que se pronuncie sobre si el sistema que se había establecido con la Decisión 2000/95/CE es válido o no para transferir datos a entidades estadounidenses adheridas a los Principios de Puerto Seguro.
La Sentencia del TJUE
La Sentencia se despacha bien con la Comisión Europea y con la Decisión 2000/520/CE.
Refiere la Sentencia que la existencia de una Decisión de la Comisión (en este caso la 2000/520/CE) que declara que un país tercero tiene un nivel adecuado de protección de los datos personales transferidos no puede dejar sin efecto ni limitar las facultades de las que disponen las autoridades nacionales de control en virtud de la Carta de los Derechos Fundamentales de la Unión Europea y de la Directiva 95/46/CE
El Tribunal de Justicia recuerda que la Comisión estaba obligada a comprobar si Estados Unidos garantiza efectivamente, con base en su legislación interna o de sus compromisos internacionales, un nivel de protección de los derechos fundamentales sustancialmente equivalente al garantizado en la Unión en virtud de la Directiva, interpretada a la luz de la la Carta de los Derechos Fundamentales de la Unión Europea. El Tribunal de Justicia observa que la Comisión no llevó a cabo ese examen, sino que se limitó a analizar el régimen de puerto seguro.
La Sentencia señala que los principios de puerto seguro son sólo aplicables a las entidades estadounidenses que se han adherido a él, de modo que las autoridades norteamericanas no están sometidas a dicho régimen, prevaleciendo las exigencias de seguridad nacional, interés público y cumplimiento de la ley de EE.UU. sobre el régimen de puerto seguro. Por ello el régimen de puerto seguro posibilita injerencias por parte de las autoridades públicas norteamericanas en los derechos fundamentales de las personas.
Por todas esas razones, el Tribunal de Justicia declara inválida la Decisión de la Comisión 2000/520/CE de 26 de julio de 2000. Como consecuencia de esta sentencia, la autoridad irlandesa de control está obligada a examinar la reclamación del Sr. Schrems con toda la diligencia exigible y, al término de su investigación, deberá decidir si, en virtud de la Directiva, debe suspenderse la transferencia de los datos de los usuarios europeos de Facebook a Estados Unidos porque ese país no ofrece un nivel de protección adecuado de los datos personales.
¿Y ahora qué?¿Hay vida después de la STJUE en el caso Schrems?
Parece obvio que a la vista del fallo de la Sentencia se antoja necesario negociar un nuevo Acuerdo sobre los Principios de Puerto Seguro.
Estas negociaciones, no obstante, al parecer se iniciaron en 2013 pero sobre la base del puerto seguro de la Decisión 2000/520/CE ahora declarada inválida por el TJUE.
Aunque como se suele decir, todo tiene solución menos la muerte, se me antoja complicada la cuestión, siempre y cuando las Leyes Norteamericanas prevalezcan sobre cualquier acuerdo o principio de puerto seguro.
Quizá las grandes empresas norteamericanas dejen de transferir datos personales de ciudadanos europeos sus servidores de EE.UU. y los mantengan en los servidores de sus filiales europeas, hasta que se encuentre otra solución que parece que necesariamente pasa por que Estados Unidos disponga de un nivel adecuado de protección de datos.
Pero me preocupan más las empresas que disponen de menos recursos económicos y/o tecnológicos, que al final han contratado servicios de Hosting, de servicios de Mail Marketing o de Cloud Computing en un escenario en el que no era necesaria la autorización del Director de la Agencia Española de Protección de Datos para que los datos recabados por ellos fueran transferidos a los servidores de esos prestadores de servicios ubicados en Norteamérica y que ahora van a tener que adaptar sus políticas de privacidad, solicitar autorizaciones o cambiar de proveedores con lo que todo ello implica.
Apasionante este asunto. Creo que esta noche el Sr. Schrems ha montado una fiesta en su casa.