La invalidez del Acuerdo Safe Harbor: antecedentes, causas y consecuencias.

La invalidez del Acuerdo Safe Harbour: antecedentes, causas y consecuencias

El pasado martes el Tribunal de Justicia de la Unión Europea (TJUE) declaró inválida la Decisión  2000/520/CE, de 26 de julio, aprobada en su día por la Comisión Europea y comunmente conocido como Acuerdo de Puerto Seguro o Safe Harbor Agreement.

En las siguientes líneas vamos a explicar el origen de dicho Acuerdo y el motivo por el que el TJUE lo ha declarado finalmente inválido.

 

El Acuerdo de Puerto Seguro: origen y finalidad

Todo responsable en el tratamiento de datos personales está obligado a cumplir unas normas de seguridad que garanticen de modo permanente la disponibilidad, confidencialidad e integridad de aquellos, evitando así la pérdida de dichos datos o su acceso no autorizado.

Para vigilar el cumplimiento de estas obligaciones cada estado de la Unión Europea tiene creada una autoridad de control, siendo la Agencia Española de Protección de Datos quien tiene encomendada esta misión en nuestro país.

Sin embargo, ¿qué ocurre, cuando, por ejemplo, una empresa española transfiere los datos personales de sus clientes a un proveedor suyo con el que ha contratado un servicio de cloud, que tiene ubicados sus servidores en un país fuera de la Unión Europea?

Pues que será necesario, salvo que se incurra en una serie de supuestos legalmente tasados, recabar la autorización previa del Director de la Agencia Española de Protección de Datos para poder llevar a cabo la transferencia internacional de esos datos personales.

Uno de esos supuestos legales tasados que eximen de la referida autorización, lo constituye el hecho de que el país adonde se destinarán los datos personales debe tener un nivel adecuado de protección equiparable al existente en el marco normativo de la Unión Europea.

La Comisión Europea ha venido declarando, en virtud de varias Decisiones, qué países tienen ese nivel adecuado de protección en materia de datos personales.

Concretamente la Decisión 2000/520/CE de la Comisión venía a dar luz verde a las transferencias internacionales de datos personales con origen en la Unión Europea y destino en Estados Unidos, más conocido como Acuerdo de Puerto Seguro (Safe Harbor).

Así, aquellas empresas americanas que voluntariamente estaban adheridas el régimen de “puerto seguro”, es decir, aquellas que se comprometían a cumplir los principios establecidos en la referida Decisión, mediante un procedimiento de autocertificación ante el Departamento de Comercio de Estados Unidos, se entendía que aplicaban en el ámbito del tratamiento de datos personales un nivel de protección equiparable al establecido en la Unión Europea y, en consecuencia, las transferencias internacionales efectuadas a su favor con destino a Estados Unidos estaban exentas de solicitud previa de autorización ante las respectivas autoridades de control de los estados comunitarios.

Sin embargo, ese procedimiento voluntario y autocertificante, que trae causa del marcado carácter autorregulador del comercio en dicho país y de la inexistencia de una normativa sobre protección de datos aplicable a todo su territorio, ponía de manifiesto que el Acuerdo de Puerto Seguro garantizaba más una presunción de adecuación que una comprobación efectiva del grado de cumplimiento de dichos principios de “puerto seguro”, lo que a la postre ha sido el argumento central en que se ha basado el Tribunal de Justicia de la Unión Europea (TJUE) para declarar inválida la referida Decisión 2000/520/CE.

 

El hecho desencadenante de su declaración de invalidez

A mediados de 2013 fue interpuesta una denuncia ante la autoridad de control irlandesa por el ciudadano austriaco Maximillian Schrems, usuario de Facebook, que consideraba que, tras la revelaciones realizadas en mayo de ese año por Edward Snowden sobre la existencia del programa PRISM, en virtud del cual la Agencia de Seguridad Nacional (NSA) estadounidense tuvo acceso libre a datos personales de ciudadanos europeos almacenados en servidores ubicados físicamente en Estados Unidos bajo el control de empresas americanas como Facebook, no se estaba garantizando un nivel de protección adecuado equiparable al establecido en el seno de la Unión Europea.

La denuncia no tuvo acogida por parte de la autoridad administrativa irlandesa que entendió que no le correspondía entrar a estudiar el fondo del asunto porque existía la Decisión 2000/520/CE de la Comisión que declaraba que Estados Unidos garantizaba un nivel de protección adecuado a los datos personales transferidos a las empresas adheridas al Acuerdo de Puerto Seguro.

Sin embargo, el Sr. Schrems decidió recurrir al Tribunal Supremo irlandés, que decidió plantear una cuestión prejudicial ante el TJUE, cuyo objetivo era determinar si la autoridad de control irlandesa podía iniciar una investigación de los hechos denunciados al margen de la garantía de protección que declaraba la referida Decisión, o, si por el contrario, el contenido de ésta le vinculaba en términos absolutos lo que impedía entrar a investigar el fondo del asunto.

Pues bien, las conclusiones del TJUE, en virtud de la Sentencia dictada el pasado día 6 de octubre de 2015, han sido las siguientes:

  • Que la normativa europea sobre protección de datos, no impide que una autoridad de control de un Estado miembro, como en el caso examinado era la irlandesa, pueda examinar la solicitud de una persona, como el Sr. Schrems, relativa a la protección de sus derechos y libertades frente al tratamiento de sus datos personales y que hayan sido transferidos desde un Estado miembro a un tercer país, cuando alega que el Derecho y las prácticas en vigor en dicho país no garantizan un nivel de protección adecuado.
  • Que declara inválido el Acuerdo de Puerto Seguro, porque priva a las autoridades nacionales de control de la facultad de investigar hechos, como el denunciado por el Sr. Schrems, en que una persona alega que un tercer país, como Estados Unidos, no garantiza un nivel de protección adecuado sobre la vida privada y las libertades y derechos fundamentales de las personas.

 

Y, ¿a partir de ahora qué?

Bajo mi punto de vista, se plantean dos alternativas:

  1. Respecto a las empresas americanas como Facebook, Apple, Google, etc que recaban datos personales de ciudadanos europeos con objeto de evitar que se produzcan transferencias internacionales de datos y, en consecuencia, ahorrarse solicitar la autorización previa ante las respectivas autoridades nacionales de control, deberán tratar aquellos datos en servidores ubicados físicamente en Europa
  1. Respecto a las empresas europeas y, por ende, españolas que tengan bien cedidos datos a estas empresas, o concertados servicios de por cuenta de terceros (por ejemplo, de cloudcomputing), que impliquen una transferencia internacional de datos, no les quedará otro remedio que iniciar el procedimiento administrativo de autorización previa ante el Director de la AEPD que suele durar aproximadamente tres meses, o, alternativamente, concertar dicho servicio con empresas que alojen los datos personales en servidores ubicados físicamente en Europa.

Como vemos el panorama que se contempla pasa por revisar las políticas de privacidad de la empresas afectadas por la Sentencia y adecuarlas a la nueva realidad, mientras que la Comisión Europea y el Departamento de Comercio norteamericano acuerdan otra solución como sería deseable para no afectar el flujo comercial internacional entre los dos continentes.

 

Deja un comentario