Víctor Cazurro Barahona Profesor de Derecho Constitucional de la Universidad Isabel I
Mié, 11/11/2015 - 18:07

Hasta el 6 de octubre de 2015, el sistema de transferencia internacional de datos desde Europa a Estados Unidos se basaba en el Acuerdo de Puerto Seguro. Era un acuerdo promovido para construir un soporte que evitara a las empresas problemas de privacidad, asegurando, a la vez, la satisfacción del consumidor sobre el manejo de sus datos, tal y como venía a decir el llamado informe Gore sobre comercio electrónico de diciembre de 1996 (A framework for global electronic commerce).


El acuerdo tenía como finalidad que las empresas norteamericanas que aplicasen los principios que allí se contenían evitaran las suspicacias de las autoridades de protección de datos de la UE, ya que tendrían una presunción de adecuación a la normativa europea. El Acuerdo de Puerto Seguro constaba de siete principios básicos, referidos a la notificación (información a los afectados), opción (posibilidad de oposición de los afectados), transferencia ulterior a terceras empresas, seguridad, integridad de los datos (principios de finalidad y proporcionalidad), derecho de acceso y aplicación (procedimientos para la satisfacción de los derechos de los afectados).

Mediante este acuerdo, las empresas de los EEUU que se adhirieron al mismo contaban con la presunción de adecuación al nivel de protección establecido por la Directiva 95/46/CE. Eran las propias empresas norteamericanas las que se autocertificaban, es decir, decían que cumplían con los principios del acuerdo y lo hacían voluntariamente. Se trataba, en definitiva, de un sistema voluntario de adhesión y autocertificación, aunque no por ello las empresas adheridas venían obligadas a su cumplimiento efectivo. Algo criticable pero, sin embargo, resultaba un avance en la difícil relación con EEUU, en el marco del flujo transfronterizo de datos.

El Grupo de Trabajo del Artículo 29 fue muy crítico con aquella solución, tal y como se desprende de su Dictamen 5/2007, de 17 de agosto (WP 138). El propio Departamento de Comercio de los Estados Unidos, en la misma página web en la que se recogen los Acuerdos de Puerto Seguro, reconocía que «si bien los Estados Unidos y la Unión Europea comparten el objetivo de mejorar la protección de la privacidad de sus ciudadanos, los Estados Unidos toman un enfoque diferente al defendido por la Unión Europea». Empresas tan cuestionadas en Europa, en materia de privacidad, como Google Inc. y Amazon.com Inc. constaban adheridas a los Acuerdos de Puerto Seguro. La primera desde el año 2005 y la segunda desde 2003.

Pues bien, todo este sistema se ha venido abajo cuando el TJUE publicó el 6 de octubre de 2015 la sentencia que anula la Decisión de la Comisión 2000/520/CE, de 26 de julio de 2000, sobre la adecuación de la Directiva 95/46 de los principios de Puerto Seguro, es decir, sobre la Decisión que establece el nivel adecuado de protección de las garantías para las transferencias internacionales de datos a EEUU ofrecidas por el Acuerdo de Puerto Seguro publicado por su Departamento de Estado. Y esto se ha producido en el caso Maximilian Schrems vs. Comisionado de Protección de Datos (C-362-14).

J. L. Piñar Mañas, abogado y catedrático de Derecho Administrativo, resume en un artículo (La mayoría de las transferencias de datos desde Europa a EEUU, en el aire, sitio web CGAE, 26 octubre de 2015) de manera muy precisa cómo el TJUE llegó a la citada resolución:

«(…) el 25 de junio de 2013, el Sr. Schrems, austriaco residente en Austria y usuario de Facebook, reclamó ante el Data Protection Commissioner irlandés que prohibiese a Facebook transferir sus datos personales a Estados Unidos. Alegaba que el derecho y las prácticas en vigor en este país no garantizan una protección suficiente de los datos personales contra las actividades de vigilancia practicadas por sus autoridades públicas, e hizo referencia al caso Snowden y al espionaje masivo que sobre múltiples datos personales lleva a cabo la National Security Agency (NSA). El comisario irlandés consideró que no estaba obligado a investigar los hechos denunciados por cuanto no había pruebas de que la NSA hubiese accedido a sus datos y porque la cuestión debería resolverse conforme a la citada Decisión 2000/520. No satisfecho con la respuesta, el Sr. Schrems interpuso recurso ante la High Court. El tribunal apreció que la vigilancia electrónica y la interceptación de los datos personales transferidos desde la UE a Estados Unidos servían a finalidades indispensables para el interés público. No obstante, añadió que las revelaciones del Sr. Snowden habían demostrado que la NSA y otros organismos federales habían cometido “importantes excesos”. El tribunal irlandés, además, advirtió de que “los ciudadanos de la UE no disponen de ningún derecho efectivo a ser oídos. La supervisión de las acciones de los servicios de información se realiza a través de un procedimiento secreto y no contradictorio. Una vez transferidos los datos personales a Estados Unidos, la NSA y otros organismos federales, como el Federal Bureau of Investigation (FBI), pueden acceder a ellos en el contexto de la vigilancia y de las interceptaciones indiferenciadas que ejecutan a gran escala”». 

Asimismo, destacó que «el Derecho irlandés prohíbe la transferencia de datos personales fuera del territorio nacional, excepto cuando el tercer país interesado asegura un nivel de protección adecuado de la vida privada y de los derechos y libertades fundamentales». Y afirmó que «el acceso masivo e indiferenciado a los datos personales es manifiestamente contrario al principio de proporcionalidad y a los valores fundamentales protegidos por la Constitución irlandesa», por lo que con base solo en el derecho irlandés, el Data Protection Commissioner debería haber investigado los hechos denunciados. No obstante, la High Court estimó que el asunto atañe a la aplicación de la Directiva 95/46 y de la Decisión 2000/520 sobre Puerto Seguro. En realidad, lo que el Sr. Schrems estaba impugnando en su recurso era la licitud del régimen de puerto seguro.

Es obvio que de nada sirve proteger los datos en Europa si pueden transferirse sin control a otros países sin garantías donde podrían ser utilizados ignorando la protección de que disfrutan aquí. Y Estados Unidos no está entre los países que cuenten con un modelo de protección de datos semejante al europeo, por lo que fue necesario que, tras largas negociaciones, la Comisión adoptase la Decisión 2000/520/CE, de 26 de julio, sobre la protección conferida por los llamados «principios de puerto seguro». Esto era lo que permitía que las empresas estadounidenses que cumplían tales principios pudieran solicitar a la Federal Trade Commission (FTC) adherirse al sistema de puerto seguro, de modo que podrían transferir datos desde Europa a Estados Unidos sin que para ello sea necesaria autorización.

Pero con la sentencia de 6 de octubre de 2015, el sistema de puerto seguro ya no es válido, y con ello el sistema de transferencia internacional de datos desde Europa a Estados Unidos cuando las transferencias se basen en dicho sistema. Para el TJUE, lo importante es «asegurar la continuidad del elevado nivel de protección en caso de transferencia de datos personales a un tercer país» (apartado 72 de la sentencia). Para ello este tercer país debe garantizar, al menos, un «nivel adecuado de protección», en el sentido de que exige que ese país garantice de modo efectivo, por su legislación interna o sus compromisos internacionales, un nivel de protección de las libertades y derechos fundamentales equivalente al garantizado en la UE por la Directiva 95/46. Estados Unidos no cumple con ese nivel adecuado de protección y, en consecuencia, el sistema de puerto seguro no es válido.
Todo lo anterior, unido al hecho de que la Decisión 2000/520 limita las facultades y potestad de las autoridades nacionales de Protección de Datos, pues les impide tomar medidas para asegurar el cumplimiento de la Directiva (por ejemplo, examinar, ante una reclamación de un ciudadano, el nivel adecuado de protección en el país de destino de una transferencia), llevó al TJUE a declarar la Decisión de Puerto Seguro inválida. Y, resumiendo, es inválida, esencialmente, por dos motivos:

  • Porque entiende que prevalece incondicionalmente y sin ninguna limitación «la seguridad nacional, el interés público o el cumplimiento de la ley» sobre los derechos fundamentales a la intimidad y la protección de datos, sin otorgar a los ciudadanos europeos ningún medio para obtener la tutela efectiva de esos derechos.
  • Porque no otorga a los Estados miembros un margen suficiente para suspender las transferencias en caso de que estos apreciaran una vulneración de los derechos de los ciudadanos europeos. (Nota de la AEPD, de 6 de octubre de 2015).

Las autoridades europeas de protección de datos, a través del Grupo de Trabajo del Artículo 29, que ya observaron deficiencias en el puerto seguro de las que dejaron constancia en varias cartas y dictámenes, han publicado una declaración conjunta sobre las primeras consecuencias que se pueden extraer a nivel europeo y nacional tras el fallo del TJUE, y han planificado actuaciones para coordinarse en el análisis de las implicaciones de la sentencia y en las actuaciones nacionales que deban llevarse a cabo. Consideran necesario tener una posición sólida, colectiva y común sobre la aplicación de la sentencia. El grupo de trabajo también incide en la cuestión de la vigilancia masiva e indiscriminada y lo considera un elemento clave del análisis del tribunal, y recuerda que ha declarado de forma reiterada que esta vigilancia no es compatible con el marco jurídico de la UE y que las herramientas de transferencia existentes no son la solución a este problema. Es preciso señalar que la sentencia no cuestiona el modo en que las grandes multinacionales venían transfiriendo sus datos a Estados Unidos, sino la base legal en que se amparaban.

Las nuevas negociaciones en torno a un nuevo puerto seguro podrían ser una parte de la solución o soluciones que deben ser políticas, jurídicas y técnicas, y que permitan transferencias de datos a EEUU respetando los derechos fundamentales. En cualquier caso, deben ser soluciones que vengan acompañadas por mecanismos claros y vinculantes e incluir compromisos sobre la necesaria supervisión del acceso por parte de las autoridades públicas, sobre transparencia, proporcionalidad, mecanismos de reparación y derechos recogidos en la legislación de protección de datos.

Durante este tiempo, y mientras no exista una solución en forma de «nuevo puerto seguro», las autoridades de protección de datos consideran que las Cláusulas Contractuales Tipo y las Normas Corporativas Vinculantes (BCR) pueden servir para solventar el asunto.

 

Víctor Cazurro Barahona
Decano Facultad CC Jurídicas y Económicas

Añadir nuevo comentario

La Universidad Isabel I tratará la información que nos facilite con el fin de publicar su comentario como respuesta a esta entrada de su blog, así como para mantenerlo informado de nuestra actividad. Más información sobre este tratamiento y sus derechos en nuestra política de privacidad.