Antecedentes
En octubre de 1995 el Parlamento Europeo y el Consejo aprueban la Directiva 95/46 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Esta “Libre circulación de los datos” se refería a la circulación dentro del territorio de la UE, claro está, porque los movimientos internacionales de datos fuera de la UE quedaban prohibidos por la misma norma, salvo que fuesen autorizados por las autoridades nacionales de protección de datos (en nuestro caso, la Agencia Española de Protección de Datos), o salvo que concurriese alguna de las excepciones recogidas en la normativa, entre las cuales sólo destacaremos la recogida hoy en día en la letra e) del artículo 34 de la LOPD: “Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.”
Para lograr la autorización, la entidad importadora de los datos en el país de destino debía ofrecer garantías adecuadas de protección de datos. Dichas garantías se materializaban con la firma de un contrato predispuesto por Decisión de la Comisión Europea, mediante el cual la empresa importadora se comprometía al cumplimiento de los principios de la normativa europea de protección de datos.
El contrato firmado debía aportarse junto con la solicitud a la autoridad de protección de datos para su aprobación.
Puerto Seguro y países con nivel adecuado de protección de datos
A partir del año 2000 se aprueban una serie de Decisiones por parte de la Comisión Europea, reconociendo el nivel adecuado de protección de algunos países fuera de la UE (Suiza, Canadá, Argentina, etc.).
Precisamente en el año 2000, se aprueba la Decisión de la Comisión 2000/520/CE que reconocía un nivel adecuado de protección de datos a todas aquellas empresas estadounidenses que se adhiriesen a los Principios de Puerto Seguro (Safe Harbor Framework).
De esta forma, la transferencia internacional de datos a estos países (y a las empresas estadounidenses adheridas a Puerto Seguro), no requería autorización de las autoridades nacionales de protección de datos, porque los datos se mantenían en un entorno “seguro”.
Patriot Act, Snowden, PRISM y el espionaje de la NSA.
Un mes y medio después de los atentados del 11-S en Estados Unidos, se aprobó la llamada “Ley Patriota”, un instrumento de lucha contra el terrorismo que permite ciertas vulneraciones de derechos y libertades fundamentales con el fin de garantizar la seguridad de los ciudadanos estadounidenses.
Parte de los poderes otorgados por esta norma eran provisionales y con una duración de 4 años para volver a ser evaluadas en 2005.
Aunque la Patriot Act de 2001 fue aprobada por una amplia mayoría, su renovación en 2005 estuvo llena de polémica, precisamente por las vulneraciones de derechos fundamentales que permitía.
En el marco de esta ley se pusieron en marcha una serie de programas de “vigilancia global” (como Echelon, Carnivore o Prism) que interceptaban de forma masiva e indiferenciada todas las comunicaciones para intentar ayudar a la lucha contra el terrorismo y la seguridad de los ciudadanos.
En 2013, un antiguo empleado de la CIA y de la NSA, Edward Snowden, reveló detalles sobre el programa PRISM de la NSA, denunciando que no podía “en conciencia, permitir al gobierno de Estados Unidos destruir la privacidad, la libertad en internet y las libertades básicas de la gente de todo el mundo con esta gigantesca máquina de vigilancia que están construyendo en secreto”.
Denuncia contra Facebook Irlanda
Este mismo año, un ciudadano austriaco denunció ante la Comisión Irlandesa de Protección de Datos que Facebook Irlanda cedía sus datos a Facebook USA, cuando esta empresa no garantiza un nivel adecuado de protección de datos a la luz de las informaciones reveladas por Snowden.
La Comisión Irlandesa de Protección de Datos desestimó esta denuncia, alegando que estas informaciones no estaban probadas y que la Comisión Irlandesa de Protección de Datos no tenía competencias sobre las consecuencias de la Decisión por la que se aprobó Puerto Seguro.
El denunciante no se conformó y acudió a la justicia irlandesa impugnando esta Decisión.
La justicia irlandesa después de analizar el caso, suspendió el procedimiento y planteó dos cuestiones prejudiciales al Tribunal de Justicia de la UE:
“1) ¿Está vinculado el Comisario Irlandés de Protección de Datos en términos absolutos por la declaración comunitaria en sentido contrario contenida en la Decisión 2000/520, habida cuenta de los artículos 7, 8 y 47 de la Carta y no obstante lo dispuesto en el artículo 25, apartado 6, de la Directiva 95/46/CE?
2) En caso contrario, ¿puede o debe realizar dicho Comisario su propia investigación del asunto a la luz de la evolución de los hechos que ha tenido lugar desde que se publicó por vez primera la Decisión 2000/520?”
En otras palabras, si la Decisión que aprobó Puerto Seguro vincula a las autoridades nacionales de protección de datos, y si pueden estas autoridades hacer sus propias investigaciones a fin de determinar si Puerto Seguro garantiza realmente un nivel adecuado de protección de datos.
La Sentencia del TJUE
Tras analizar todo el expediente, el TJUE ha emitido esta Sentencia, declarando que:
- Las Decisiones adoptadas por la Comisión Europea sobre los destinos adecuados para movimientos internacionales de datos, no impide que la autoridad de protección de datos en un Estado Miembro de la UE, examine denuncias contra transferencias internacionales de datos a dichos destinos.
- •La Decisión 2000/520/CE (la que aprobó Puerto Seguro) es inválida.
Sin embargo, la Sentencia no invalida esta Decisión porque las empresas estadounidenses no sean seguras (algo que tendrán que determinar las autoridades de los Estados miembros), sino porque según el TJUE, la Comisión se extralimitó al aprobar dicha Decisión que priva a las autoridades nacionales de algunas de las funciones que la Directiva 95/46 les confiere.
En concreto, según la Sentencia, la Decisión restringe parcialmente la potestad de las autoridades nacionales de protección de datos con respecto a la suspensión de flujos internacionales de datos a empresas adheridas a Puerto Seguro, “ya que sólo es posible la intervención a partir de un alto umbral de condiciones”.
Según la Decisión, la Autoridad de control sólo podrá suspender el movimiento internacional de datos en los casos siguientes:
“a) el organismo público de Estados Unidos de América contemplado en el anexo VII de la presente Decisión, o un mecanismo independiente de recurso, a efectos de la letra a) del principio de aplicación, que figura en el anexo I de la presente Decisión, ha resuelto que la entidad ha vulnerado los principios y su aplicación de conformidad con las FAQ; o
b) existen grandes probabilidades de que se estén vulnerando los principios; existen razones para creer que el mecanismo de aplicación correspondiente no ha tomado o no tomará las medidas oportunas para resolver el caso en cuestión; la continuación de la transferencia podría crear un riesgo inminente de grave perjuicio a los afectados; y las autoridades competentes del Estado miembro han hecho esfuerzos razonables en estas circunstancias para notificárselo a la entidad y proporcionarle la oportunidad de alegar.”
Dado que la Comisión no tenía facultad para restringir las potestades de actuación de las autoridades nacionales de protección de datos en relación a la suspensión de los movimientos internacionales de datos, la Decisión no es válida.
Consecuencias de la Sentencia
Por el momento es pronto para predecir nada.
La Agencia Española de Protección de Datos sólo ha emitido una nota informativa sobre el asunto, indicando que “Las Autoridades europeas de protección de datos (…) han planificado actuaciones para coordinarse en el análisis de las implicaciones de la sentencia y en las actuaciones nacionales que deban llevarse a cabo, garantizando una aplicación consistente de la misma en todos los países de la UE.”
Sin embargo, desde Áudea hemos revisado las demás Decisiones de la Comisión Europea sobre los países con un nivel adecuado de protección de datos, y todas parecen contener el mismo artículo que el TJUE considera inválido. Por lo tanto, todas estas Decisiones parecen ser susceptibles de ser también invalidadas.
Asimismo se ha abierto la posibilidad de que las autoridades nacionales pongan en tela de juicio las posibilidades de las empresas estadounidenses para ofrecer garantías de protección de datos.
Si en algún momento se llegasen a demostrar las violaciones de derechos denunciadas por Snowden y la incapacidad de las empresas estadounidenses de ofrecer garantías de protección de datos, podrían llegar a suspenderse la mayoría de las transferencias internacionales de datos personales a Estados Unidos, independientemente de si están basadas en Puerto Seguro, en autorizaciones directas o indirectas de la AEPD, en normas corporativas vinculantes o en el consentimiento inequívoco de los afectados.
Esto implicaría que cualquier servicio de alojamiento o tratamiento de datos personales contratado fuera de la UE por una empresa europea podría constituir una infracción en materia de protección de datos (en España son infracciones Muy Graves, con sanciones entre 300.000 y 600.000 euros, y 3 años de prescripción).
Por el momento habrá que esperar a los pronunciamientos de nuestra Agencia Española de Protección de Datos.
Mientras, en Bruselas se sigue cocinando el Reglamento General de Protección de Datos que podría aprobarse este mismo año (con 2 años de plazo para adaptarse).
Se acercan tiempos interesantes para la protección de datos.
Segunda parte: https://audea.com/puerto-seguro-se-abrio-la-caja-de-pandora-ii/
José Carlos Moratilla
Responsable del Departamento Legal
Áudea Seguridad de la Información.