Por si habéis tenido conocimiento de la reciente sentencia dictada por el Tribunal de Justicia de la Unión Europea sobre el caso de la política de privacidad de Facebook en el llamado “Caso Schrems” bien en prensa, radio, TV o redes sociales y, dado el revuelo generado por las consecuencias que acarrea para las empresas españolas, os resumimos brevemente y os explicamos las implicaciones a nivel práctico y posibles soluciones de la invalidación de los Principios de Puerto Seguro.
El alto tribunal ha dictado con fecha 6 de octubre de 2015 una resolución ciertamente valiente y sin precedentes, por la que decreta invalidar el acuerdo de Puerto Seguro o Safe Harbor que hasta ahora se mantenía entre la Unión Europea y los Estados Unidos.
Safe Harbor era un acuerdo al que las empresas americanas podían suscribirse voluntariamente para ofrecer a las empresas europeas un nivel equivalente de protección que se ajustase lo máximo posible a las reglas del juego europeo en materia de protección de datos de carácter personal. El acuerdo permitía simplificar de manera importante los movimientos internacionales de datos que pudieran darse entre empresas americanas y europeas, y daba la posibilidad a las empresas americanas de cumplir con esos principios realizando unos pequeños ajustes en sus políticas de privacidad y en sus políticas de seguridad y almacenamiento de datos de carácter personal.
La posición del Gobierno de Estados Unidos tras los atentados de las Torres Gemelas y su consiguiente cruzada contra el terrorismo se ha basado en una vigilancia sistemática e indiscriminada de la información tratada por sus empresas en su territorio nacional -independientemente del país de origen de los interesados-, lo que ha hecho saltar por los aires la presumida privacidad adoptada por los principios de Puerto Seguro y ha chocado directamente con la Carta de Derechos Fundamentales de la Unión Europea.
Con el dictamen publicado ayer por el TJUE, y de forma escueta, concluimos que el alto tribunal dictamina que este acuerdo de Puerto Seguro ya no ofrece las garantías necesarias para los ciudadanos de la UE, pues las autoridades americanas podrían acceder de manera sistemática e indiscriminada -y por tanto poco lícita- a los datos e información de cualquier ciudadano de la UE.
Se abre ahora un período de incertidumbre hasta que se aclare exactamente cómo van a responder los proveedores de servicios online que mantienen alojados sus sistemas de información en Estados Unidos, como por ejemplo Facebook, Google (Gmail, YouTube, Google+, Drive), Twitter, Linkedin, Amazon, MailChimp y un largo etcétera de servicios que utilizamos habitualmente.
Enlace a la nota de prensa del Tribunal de Justicia de la Unión Europea
Enlace a la nota de prensa de la Agencia Española de Protección de Datos
A nivel práctico esto supone:
Cuando utilizamos por ejemplo Gmail, con sede en EEUU, se está produciendo una transferencia internacional de datos que debe estar avalada por las autoridades europeas para que sea lícita. Hasta el día de ayer, esto se conseguía si la empresa americana cumplía una serie de Principios de Puerto Seguro sin requerirse ningún procedimiento especial para poder realizarla, salvo el de cumplir con el deber de informar a los afectados y notificar la transferencia a la propia Agencia Española de Protección de Datos.
Sin embargo, estos Principios de Puerto Seguro, ayer fueron directamente dinamitados.
A partir de ahora, en caso de que exista una transferencia internacional de datos de carácter personal a empresas americanas, habrá que valorar y estudiar el caso concreto pues la AEPD podrá investigar las transferencias a petición de cualquier interesado que denuncie que se hacen sin los requisitos legales necesarios.
A los ojos de la UE, EEUU ya no dispone de las mismas garantías de privacidad de manera automática por lo que habrá de estudiarse las diferentes opciones posibles, que pasan por:
1. Acogernos a la excepción e) del artículo 34 LOPD:
Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista y para que sea válida tendremos que:
· Informar previamente a todos los interesados/afectados. Y manifestar que pretendemos realizar una transferencia internacional de datos con un tercer país que no reúne las garantías de privacidad y protección de datos equivalentes a las europeas, detallándole los posibles riesgos para su privacidad.
· Solicitar el consentimiento inequívoco a cada uno de ellos de manera precisa y mejor de forma expresa y por escrito para poder realizar esa transferencia de datos.
2. Otras posibles opciones serán:
· Solicitar la autorización previa de la Directora de la Agencia Española de Protección de Datos para realizarla -justificando la necesidad de la transferencia y su seguridad y:
- Firmar y poner en marcha las cláusulas contractuales tipo aprobadas por la Comisión Europea, de conformidad con la Directiva 95/46/CE.
- Acudir, en caso de que se trate de empresas de grupo a las reglas corporativas vinculantes.
· Buscar otros proveedores que si cumplan con la normativa europea -no siempre será posible.
· Que los proveedores americanos se instalen en la UE y cumplan con nuestra normativa -aunque algunos ya lo han hecho, no parece una solución generalizada y una solución difícil para las pequeñas y medianas empresas americanas-.
En cualquier caso evitemos los alarmismos y esperemos los siguientes movimientos:
· De una parte las multinacionales americanas, conocedoras de la situación en la que quedan, ya están preparado una batería de acciones que les permita seguir operando con cierta normalidad en la UE.
· La Comisión Europea también está buscando soluciones rápidas para que las relaciones comerciales se mantengan y esta actuación no perjudique el desarrollo económico de la UE.
· De otra la AEPD debe pronunciarse de manera detallada sobre los siguientes pasos a dar, sobre cómo abordarlos y en qué situación quedan las actuales transferencias declaradas y que hasta el momento eran válidas.
Por todo lo anterior esperaremos unos días para poder ofrecer soluciones solventes y con base jurídica sólida y ajustar cada caso a las nuevas reglas de juego.
José Manuel Mulero-Laia Esteban-María Ayarra