Sobre el acuerdo «Safe Harbor» y la transferencia de datos personales de la UE a Estados Unidos
De forma breve, el Safe Harbor Agreement es el acuerdo alcanzado entre la Unión Europea y Estados Unidos aprobado por la Comisión Europea en la Decisión 2000/520/CE para facilitar la transferencia de datos personales desde países miembros de la primera al segundo.
El acuerdo se basa en el principio de la libre adhesión de empresas estadounidenses al acuerdo, comprometiéndose con ello al cumplimiento de una serie de parámetros de forma que, a efectos prácticos, la Unión Europea considera que con esos parámetros se mantiene un nivel de seguridad en el cumplimiento de la Directiva 95/46/CE relativa a la protección de datos personales equivalente al europeo.
El acuerdo consta de siete principios básicos:
- Notificación (información a los afectados de los tratamientos que se realicen de sus datos personales)
- Posibilidad de oposición o cancelación del tratamiento de sus datos personales por parte de los afectados.
- Restricciones en la transferencia ulterior a terceras empresas, realizándose éstas a otras empresas que cumplen estos principios.
- Seguridad e integridad de los datos, cumpliendo determinadas medidas para evitar brechas de seguridad.
- Integridad de los datos, debiendo ser éstos exactos y no excesivos para el propósito para el que se recogieron.
- Derecho de acceso de los titulares a sus datos personales.
- Provisión de medios y recursos para el cumplimiento de los anteriores principios.
Sobre la base de este acuerdo se han realizado multitud de transferencias de datos personales desde empresas en la Unión Europea a Estados Unidos, pero a diferencia de lo que puede creerse, no sólo por parte de grandes multinacionales, sino también por una enorme cantidad de pequeñas y medianas empresas que tienen contratados servicios con empresas estadounidenses.
La Sentencia sobre el Safe Harbor Agreement
El caso «Schrems vs. Facebook» se plantea por un abogado austríaco (Max Schrems) contra la red social solicitando que se prohibiera la transferencia de los datos personales de su perfil a Estados Unidos que Facebook realizaba sobre la base de su adhesión al acuerdo Safe Harbor.
Tras su tramitación, la demanda ha desembocado en el Tribunal de Justicia de la Unión Europea (en adelante TJUE) que ha dictado una Sentencia importantísima en la que se declara inválido el Acuerdo de Safe Harbor por los siguientes motivos:
– Porque considera que en la legislación estadounidense prevalece por encima de todo y sin ninguna limitación «la seguridad nacional, el interés público o el cumplimiento de la ley» sobre los derechos fundamentales a la intimidad y la protección de datos, sin otorgar a los ciudadanos europeos ningún medio para obtener la tutela efectiva de esos derechos.
– Porque no otorga a los países de la Unión Europea un margen suficiente para suspender las transferencias en caso de que estos apreciaran una vulneración de los derechos de los ciudadanos europeos.
Al permitirse con el acuerdo Safe Harbor la transferencia de datos a Estados Unidos de forma automática, el TJUE considera que no puede privarse a las Agencias de Protección de Datos de los países europeos, del debido control sobre el nivel de protección que se otorga a los datos personales en Estados Unidos y, sobre todo, a raíz de la aprobación de determinadas leyes que desembocan en un mayor acceso a los datos de los ciudadanos (como por ejemplo la Patriot Act).
Otra lectura de la sentencia
Curiosamente nos hemos quedado en la anécdota, en el “un joven abogado austríaco ha tumbado a Facebook” pero hay otra lectura que resulta interesante:
Si el TJUE lo que considera es que las leyes estadounidenses invaden la intimidad y pueden forzar a las empresas que manejan gran cantidad de datos personales a entregar los mismos al gobierno para sus investigaciones ¿Qué diferencia habría entre la transferencia internacional de datos desde países de la Unión Europea directamente mediante Safe Harbor o mediante autorización de las diferentes Agencias Europeas de Protección de Datos?
El hecho de que Apple, Facebook, Twitter o cualquier otra empresa grande o pequeña realizara transferencias de datos personales a Estados Unidos al margen de Safe Harbor, es decir, mediante el procedimiento por el que se le otorgara autorización por parte de, por ejemplo, la Agencia Española de Protección de Datos ¿Garantiza per se que esas empresas radicadas en Estados Unidos ya no van a entregar esos datos a su gobierno vía NSA, FBI, CIA, etc.? ¿Garantiza un mayor control de los datos personales por parte de la Agencia Española de Protección de Datos de ciudadanos europeos a Estados Unidos por el hecho de haber sido sometida la transferencia internacional a un procedimiento de autorización administrativa o al consentimiento de los titulares de los datos?
Evidentemente no, pero desgraciadamente, creo que nos hemos quedado sólo en el análisis de lo anecdótico:
“Un joven abogado tumba a Facebook”.