Transferencia de datos a Estados Unidos. ¿Y ahora qué?

Ayer, martes 6 de octubre de 2015, el Tribunal de Justicia de la Unión Europea declaró nula la Decisión 2000/520 de la Comisión Europea sobre “la adecuación conferida por los principios de puerto seguro para la protección de la vida privada”. El nivel adecuado de protección para la transferencia de datos desde la Unión Europea a Estados Unidos se alcanza si las empresas americanas cumplen con los principios de puerto seguro, respaldados por la Decisión de la CE mencionada anteriormente.

Un ciudadano austríaco denunció en 2013 ante la autoridad irlandesa competente en materia de protección de datos (Data Protection Comissioner) la transferencia de datos que hace la red social Facebook desde su filial en Irlanda a los servidores de la compañía situados en EEUU. Según este ciudadano, esa comunicación no garantizaba una protección suficiente de datos ya que toda información está sometida a la supervisión estatal. Esto se podía demostrar con las revelaciones que Edward Snowden iba filtrando. El Tribunal Superior de Irlanda (High Court), según se puede leer en las conclusiones del Abogado General, planteó esta denuncia al Tribunal de Justicia Europeo entendiendo que la resolución se debe a una normativa europea y por tanto es competencia de la Unión y no de un Estado miembro.

La sentencia en este aspecto es clara:

1) El artículo 25, apartado 6, de la de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, 
de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al 
tratamiento de datos personales y a la libre circulación de estos datos, en su versión modificada 
por el Reglamento (CE) nº 882/2003 del Parlamento Europeo y del Consejo, de 29 de septiembre de 2003,
entendido a la luz de los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales de la Unión 
Europea, debe interpretarse en el sentido de que una Decisión adoptada en virtud de la referida 
disposición, como la Decisión 2000/520/CE de la Comisión, de 26 de julio de 2000, con arreglo a la 
Directiva 95/46, sobre la adecuación de la protección conferida por los principios de puerto seguro
para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por
el Departamento de Comercio de Estados Unidos de América, por la que la Comisión Europea constata que
un tercer país garantiza un nivel de protección adecuado, no impide que una autoridad de control de un
Estado miembro, a la que se refiere el artículo 28 de esa Directiva, en su versión modificada, examine 
la solicitud de una persona relativa a la protección de sus derechos y libertades frente al tratamiento 
de los datos personales que la conciernen que se hayan transferido desde un Estado miembro a ese tercer
país, cuando esa persona alega que el Derecho y las prácticas en vigor en éste no garantizan un nivel 
de protección adecuado.

2) La Decisión 2000/520 es inválida.

(Extraído de la sentencia del Tribunal de Justicia europeo)

 
En el apartado uno indica que es cada Estado miembro el que debe considerar si la transferencia de datos personales a los Estados Unidos se realiza garantizando un nivel de protección adecuado. En segundo lugar sentencia que la Decisión 2000/520 de la Comisión Europea es inválida. Una decisión que en su día se anunció como la solución para que las empresas americanas suscritas o que cumplían con los requisitos de puerto seguro pudiesen disponer de información de ciudadanos europeos al entender que ese protocolo daba unas garantías mínimas de protección y seguridad de datos. Una sentencia que causa precedente y que de algún modo pasa la “patata caliente” a los Estados miembro ya que son ellos quienes deben decidir si considera adecuada la protección de la información en la transferencia de datos a terceros países, en este caso a Estados Unidos.

¿Cuál será el primer país en dar el paso y exigir más medidas de protección a las empresas americanas para poder transferir datos de sus ciudadanos? ¿Algún país se va a levantar en contra de las grandes potencias como Facebook, Google, etc.?

Algunos aspectos más a destacar del análisis que realiza el Abogado General:

93. En este sentido, si bien una decisión adoptada por la Comisión en virtud de los poderes de 
ejecución que le confiere dicha disposición tiene por efecto permitir la transferencia de datos 
personales a un país tercero, dicha decisión no puede, en cambio, tener por efecto arrebatar todo 
poder a los Estados miembros y en particular a sus autoridades de control nacionales, o incluso 
limitar sus competencias, cuando se invoquen ante ellas supuestas violaciones de derechos 
fundamentales.

  

158. De dichos elementos resulta que el Derecho y la práctica de Estados Unidos permiten recopilar, 
a gran escala, los datos personales de ciudadanos de la Unión que son transferidos en el marco del 
régimen de puerto seguro, sin que éstos gocen de una tutela judicial efectiva.

159. Dichos hechos demuestran, en mi opinión, que la Decisión 2000/520 no contiene suficientes 
garantías. Dada tal falta de garantías, la aplicación de dicha Decisión no cumple los requisitos 
exigidos por la Carta y por la Directiva 95/46.

Con estas declaraciones el Abogado General deja clara su posición en contra de la transferencia de datos a EEUU según se rige actualmente por el principio de puerto seguro establecido en la Decisión 2000/520 (declarada nula ayer, 6 de octubre de 2015).

Y yo planteo… ¿En qué estado queda actualmente la información que después de esta decisión se sigue transfiriendo a día de hoy desde Europa a EEUU? ¿Cuál será el siguiente paso? ¿Y quién lo dará? Me cuesta pensar que las empresas americanas puedan garantizar una protección mayor, dada la legislación y el control estatal sobre la información en EEUU. Pero también me cuesta pensar que cada uno de los estados, concretamente el Estado español, legisle en contra de estas grandes empresas.

En las próximas fechas veremos que movimientos se van realizando en este aspecto que seguro que resultan interesantes.

Noticias que se hacen eco de esta resolución del Tribunal de Justicia Europeo: [1] [2] [3] [4]

Comments

  1. Sin duda va a estar interesante la reacción de los estados a esta sentencia. ¿Prohibirán Facebook?
    De todas formas esto sólo afectará a los datos de nuestros hijos, los nuestros ya los tienen todos.

  2. Tarde o temprano esto tenía que pasar. Porque puerto quizá sí, seguro mis coj*n*s.

    Ya hablé de esto hace bastante tiempo y probablemente no ha cambiado nada: https://www.securityartwork.es/2009/07/15/puerto-seguro/.

    Luego a propósito de Google volvimos a analizar este «control» de una manera más exhaustiva (punto tercero de la argumentación): https://www.securityartwork.es/2009/01/20/el-cuento-de-la-lechera-en-la-nube-20-o-porque-google-no-contesta-con-rotundidad/

    Si se analiza en serio, como garantía es absolutamente ridícula. Aún diría más: es una auténtica tomadura de pelo. Viene a decir: sí, hombre, usted mándeme sus datos, que yo se los cuido, se lo garantizo yo como empresa y si quiere se lo escribo en un papel. ¿O es que está usted dudando de mí?

    Emilio Aced (Subdirector de Inspección de Datos y Tutela de los Derechos, Agencia de Protección de Datos de la Comunidad de Madrid) tiene un estupendo análisis sobre el tema en este PDF (tiene algún tiempo, pero como digo, probablemente no haya cambiado nada): http://www.ieid.org/congreso/ponencias/Aced,%20Emilio.pdf :

    “el sistema se basa, exclusivamente, en una declaración unilateral de las compañías respecto de que cumplen los requisitos de Puerto Seguro y, posteriormente, el control de dicho cumplimiento se encomienda a una auditoría que se puede llevar a cabo por personal interno de la entidad. Es decir, estamos ante un esquema de auto certificación, autorregulación y auto evaluación en el que pueden no existir nunca controles externos respecto de las actividades y prácticas de protección de datos de las compañías adheridas a Puerto Seguro”.

    En fin. Tampoco creo que haya demasiadas consecuencias, más allá de que Google / Facebook / etc. realicen algún tipo de modificación sobre sus términos y condiciones, que el usuario aceptará sin más (yo también, dicho sea de paso).