Safe Harbor: invalidado el acuerdo que permitía transferir datos personales entre Europa y EE.UU

Por Alonso Hurtado Bueno y Daniel A. López Carballo

En el día de ayer se hizo pública la Sentencia del Tribunal de Justicia de la Unión Europea relativa al asunto C-362/14 (conocido como el “Caso Schrems vs Facebook”), mediante la cual se reconoce la habilitación a las Agencias Nacionales de Protección de Datos para bloquear las transferencias internacionales de datos de ciudadanos europeos a Estados Unidos en el marco del denominado “Safe Harbor”.

El artículo 25 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, establece como requisito para realizar una Transferencia Internacional de Datos que el país destinatario de los datos garantice un nivel adecuado de protección. En este sentido, según recoge la Directiva, “el carácter adecuado del nivel de protección que ofrece un país tercero se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos; en particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate, así como las normas profesionales y las medidas de seguridad en vigor en dichos países”.

En relación con este nivel adecuado de protección de datos, debe recordarse que, Estados Unidos carece de una norma específica en materia de protección de datos que garantice los principios consagrados en la citada Directiva Europea, tal y como si ocurre en otros países no miembros del Espacio Económico Europeo como Suiza, Canadá, Suiza, Argentina, Andorra, Israel, Uruguay o Nueva Zelanda, entre otros.

En este punto, hasta hoy se consideraba que las entidades norte americanas adheridas a los principios del Safe Harbor, de conformidad con la Decisión 2000/520/CE de la Comisión de 26 de julio de 2000, ofrecían garantías adecuadas en materia de protección de datos. Para adherirse al Safe Harbor, las empresas debían certificar ante el Departamento de Comercio de Estados Unidos que cumplían con los estándares de protección de datos exigidos por la Unión Europea, debiendo renovar este certificado anualmente.

Así las cosas, el Tribunal de Justicia de la Unión Europea entiende que el sistema “únicamente es aplicable a las entidades estadounidenses que se han adherido a él, de modo que las autoridades públicas estadounidenses no están sometidas a dicho régimen”. Adicionalmente, se considera que las exigencias de seguridad nacional, interés público y de observancia de la normativa propia de Estados Unidos (entre otras la Patriot Act) prevalecen sobre el propio Safe Harbor, viéndose las empresas adheridas “obligadas a dejar de aplicar, sin limitación, las reglas de protección previstas por este régimen cuando entren en conflicto con las citadas exigencias”.

En este sentido, el Tribunal de Justicia entiende que las autoridades públicas estadounidenses podrían acceder a los datos personales trasferidos desde los Estados miembros de la Unión Europea, pudiendo tratarlos para de manera incompatible con las finalidades del tratamiento originario, careciendo las personas afectadas de instrumentos jurídicos que les posibilitaran ejercitar sus derechos de acceso, rectificación y cancelación, entre otros aspectos.

Este hecho provoca una lesión evidente, a juicio del Tribunal, del contenido del derecho fundamental respecto de la vida privada de las personas, y por tanto de la protección de sus datos personales, vulnerándose, igualmente, el derecho fundamental a la tutela judicial efectiva, en tanto no se prevén acciones jurídicas específicas para garantizar este derecho erga omnes. En este aspecto, en el Anexo IV de la Decisión 2000/520 se establece que “si la legislación estadounidense establece una obligación en contrario, las entidades deben cumplirla, dentro o fuera del ámbito de los principios de puerto seguro”.

A mayor abundamiento, el Tribunal de Justicia de la Unión Europea entiende que la citada Decisión 2000/520/CE privaba a las Autoridades Nacionales de Control de sus facultades, considerando que “la Comisión carecía de competencia para restringir de ese modo las facultades de las Autoridades Nacionales de Control”.

En este sentido, tanto nuestra Ley Orgánica 15/1999 (LOPD), como la Directiva 95/46 inciden en la prohibición de transferencias de datos que tengan como destino un país que no proporcione un nivel de protección adecuado a dichas leyes.

Tras la importante Sentencia del Tribunal de Justicia de la Unión Europea, las empresas adheridas al Safe Harbor deberán proceder a regularizar sus procesos de transferencia internacional de datos, de cara a poder seguir tratando los datos personales, garantizando un nivel adecuado de protección para las personas, observando las exigencias establecidas en la normativa europea de protección de datos.

En este sentido, nuestra normativa nacional establece que para poder llevar a cabo transferencias internacionales de datos personales a Estados sin nivel adecuado de protección, es necesario, contar con:

  • La autorización del Director de la Agencia Española de Protección de Datos, siguiendo para ello el proceso de solicitud habilitado al efecto o;
  • Poder acogerse a las excepciones expresamente previstas en el artículo 34 LOPD, entre las que cabe destacar: que el afectado haya dado su consentimiento inequívoco a la transferencia prevista, que la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado, y que la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.

No obstante, debe tenerse en consideración que el consentimiento prestado por parte de los titulares de los datos debe ser debidamente informado, inequívoco, basado en el principio de plena transparencia y calidad de los datos y obtenido por un medio acreditable en Derecho, lo que bien podría introducir una complejidad adicional a la hora de lograr su adecuada acreditación ante las Autoridades competentes en materia de protección de datos.

De esta forma, es importante resaltar que la importancia de esta sentencia no radica única y exclusivamente en cómo afecta a las entidades establecidas en Estados Unidos que prestan servicios o realizan intercambios y tratamientos de datos provenientes de la Unión Europea, sino que también afecta tanto a aquellas entidades nacionales que mantienen en la actualidad contratos con proveedores cuyos servicios impliquen el acceso, tratamiento o almacenamiento de datos personales (ej.: servicios de Hosting, aplicaciones en Cloud, etc), como a los propios flujos internacionales de datos que se realicen entre empresas del mismo grupo (ej.: entidades cuya matriz, o alguno de sus servicios corporativos, se encuentren ubicados en Estados Unidos).

Este aspecto pone de manifiesto la necesidad de que las empresas deben seguir avanzando en la implantación de sistemas de cumplimiento innovadores que posibiliten conciliar su actividad empresarial de la forma más eficaz posible, con la adopción de mecanismos y procedimientos que aseguren la confidencialidad, integridad y seguridad de los datos, respetando el derecho de las personas sobre su información personal y garantizando el cumplimiento normativo.