El Tribunal de Justicia de la Unión Europea y el dilema del “Safe Harbor”

El Tribunal de Justicia ha estudiado la afectación de la vida privada de un individuo por causa de las transferencias de datos efectuadas a Estados Unidos.

El 6 de octubre de 2015 amanecimos con una nueva sentencia del Tribunal de Justicia de la Unión Europea (TJUE), recaída como resolución de la cuestión prejudicial planteada por, vamos a denominarlo, el Tribunal Supremo irlandés (High Court) y que ya se conoce como “Asunto Schrems vs Data Protection Commisioner”.

El Tribunal de Justicia de la Unión Europea y el dilema del “Safe Harbor”

© gitanna – Fotolia.com

No es nuevo que nos encontremos con sentencias de este Tribunal ni que sus resoluciones provoquen un cambio del paradigma legal, pero esta sentencia que os menciono sí resulta novedosa en cuanto al tema tratado y, fundamentalmente, por las repercusiones a las que puede dar lugar. Vaya de antemano que el examen de las sentencias del TJUE es siempre un asunto árido, áspero y, generalmente, muy técnico, no siendo nada fácil captar, y menos transmitir, de un simple vistazo todos sus aspectos. En consecuencia, pretendo ser en esta exposición más explicativo que instructivo para poder daros una visión general del problema que se ha planteado y de la resolución que se ha fallado.

Dado que por alguna parte hay que comenzar, valga reseñar que el Tribunal de Justicia de la Unión Europea es el máximo tribunal en relación al Derecho Europeo, ese ordenamiento jurídico, ese sistema legal, que ha ido surgiendo con el paso de los años por la existencia de la Unión Europea. Una de las competencias que tiene atribuido este Tribunal es la de interpretar el Derecho de la Unión Europea. El procedimiento que se ha desarrollado es el de la cuestión prejudicial: el tribunal de un Estado miembro de la Unión Europea (en este caso, la High Court irlandesa) plantea una “consulta” al TJUE acerca de cómo se ha de interpretar el Derecho de la Unión Europea y, en consecuencia, el TJUE diserta, expone y decide la interpretación del Derecho de la Unión a la luz del caso concreto. La decisión del Tribunal de Justicia, en todo caso, es vinculante para el tribunal que haya planteado la cuestión y, además, para cualquier otro tribunal de cualquier Estado miembro. Como os podéis imaginar, la repercusión de cualquier sentencia del TJUE es, por tanto, muy amplia y trascendente.

En el procedimiento Schrems vs Data Protection Commisioner, el Sr. Schrems planteó una reclamación ante la negativa, del Comisario de Irlanda encargado de la Protección de Datos (que viene a ser el equivalente a nuestra Agencia de Protección de Datos), a instruir un proceso para investigar las transferencias internacionales de datos efectuadas por la filial de Facebook en Irlanda hacia la matriz en Estados Unidos; transferencias de datos que incluían los datos más personales de los usuarios de Facebook Irlanda. Tras las sucesivas fases procesales conforme al derecho irlandés, se llegó hasta la High Court, que se enfrentó al dilema de las transferencias de datos sin saber muy bien cómo casar el derecho europeo y el irlandés; problema, por otra parte, muy habitual en cualquiera de los Estados miembro de la Unión Europea y que, tal y como os digo, es el fundamento de la cuestión prejudicial planteada ante el Tribunal de Justicia de la Unión Europea.

Visto el plano procesal y la causa por la que se ha de pronunciar el Tribunal de Justicia, conviene pasar a examinar concretamente el tema que se iba a discutir.

Para hacernos una correcta composición de lugar, hemos de tener en cuenta que, a nivel europeo, uno de los derechos fundamentales de la persona es la vida privada; la privacidad, la intimidad personal y la protección frente a la informática serían los correspondientes derechos fundamentales bajo la legislación española. En cada Estado miembro, aunque en gran medida se reconozcan los mismos derechos fundamentales, la idiosincrasia propia de cada país y la tradición jurídica ha acabado configurando unos derechos fundamentales sustancialmente idénticos pero con contornos diferentes. Entendedme correctamente: el derecho a la vida, por ejemplo, se reconoce en todos los países pero en los puntos problemáticos (aborto, eutanasia, derecho a la muerte digna) cada país adopta una postura. Esto mismo ocurre con la libertad, la intimidad y prácticamente cualquier otro derecho que podáis conocer.

Sin perjuicio de las particularidades de cada Estado miembro, cada uno de ellos ha de cumplir con la legislación europea, de forma que si a nivel europeo se reconoce el derecho a la vida privada con una extensión determinada, los Estados miembros han de respetar, como mínimo, tal extensión aunque podrán ampliarla.

El Tribunal de Justicia toma en consideración exclusivamente el concepto europeo del derecho a la vida privada y busca ponerlo en relación a los concretos hechos que se le presentan, es decir, intenta encontrar una solución al problema que se le plantea: la afectación de la vida privada de un individuo por causa de las transferencias de datos efectuadas a Estados Unidos cuando se pone en duda que Estados Unidos sea un puerto seguro.

Pero, ¿qué es un puerto seguro? De la forma más sencilla posible, podemos decir que un puerto seguro es aquel país que cumple unos concretos requisitos o principios que garantizan un mínimo de seguridad en la gestión de los datos personales de un individuo. En el año 2000, el Departamento de Comercio de Estados Unidos publicó una serie de principios cuyo cumplimiento por parte de las empresas, y la adhesión pública a los mismos, permitía que la Unión Europea lo considerase como puerto seguro para recibir datos provenientes de cualquier Estado miembro de la Unión Europea. Este reconocimiento de su condición de puerto seguro se efectuó mediante una Decisión de la Comisión Europea.

Durante unos años, el sistema, en apariencia, funcionó correctamente. La Unión Europea estaba conforme con las opciones dadas por Estados Unidos y las transferencias de datos, por tanto, se realizaban sin ningún problema. Pero tras el 11-S, Estados Unidos cambió su forma de actuar creando, como medio de protección, una serie de programas de inteligencia que buscaban detectar y monitorizar las posibles amenazas a Estados Unidos. Para ello, dio cobertura legal a los programas de inteligencia y dictó un conjunto de leyes y regulaciones que obligaban a las empresas domiciliadas en Estados Unidos a poner a disposición de la NSA los datos que les fuesen solicitados, sin restricciones ni limitaciones. Esto que os comento es lo que se puso de manifiesto con el escándalo del Caso Snowden: Estados Unidos espiaba indiscriminadamente a sus nacionales y a los extranjeros, a Jefes de Estado o a ciudadanos de a pie.

Destapado el escándalo, la Unión Europea y Estados Unidos crearon un Grupo de Trabajo sobre la Protección de Datos, del cual surgió un informe que puso de manifiesto las “deficiencias” (así es como lo denomina el informe) del tratamiento de datos en Estados Unidos, lo cual no deja de ser un flagrante incumplimiento de los compromisos que previamente había contraído con la Unión Europea. Al final de este informe se señala claramente la imposibilidad de mantener la consideración de Estados Unidos como puerto seguro pero que “su derogación afectaría negativamente a los intereses de las empresas europeas y de los Estados Unidos que se han adherido al mismo”.

En definitiva, el informe que toma en consideración el Tribunal de Justicia constató que el protocolo de puerto seguro se incumplía sistemáticamente pero que había demasiado dinero en juego como para derogarlo, con lo que se pasó la patata caliente a la Comisión Europea para que lo debatiese con Estados Unidos y llegasen a un acuerdo.

El Tribunal de Justicia examina, largo y tendido, la regulación europea, la normativa estadounidense y los hechos que se han puesto de manifiesto en el procedimiento. Un punto importante a tener en cuenta, y que valora ampliamente el Tribunal, es la vaguedad de la norma europea. Se sopesa, realmente, el alcance de la expresión “nivel de protección adecuado”, considerando, de una parte, que no es exigible a terceros países un nivel de protección idéntico al europeo y, de otra, que los criterios de exigibilidad aparecen contenidos en la Directiva de Protección de Datos Europea. Esto lleva al Tribunal a determinar que cualquier sistema de protección que aporte un nivel de protección semejante en sus últimas consecuencias, aun siendo muy diferente al europeo en los medios empleados, puede considerarse como adecuado. Sin embargo, no basta que el tercer país disponga de un sistema de protección de datos sino que también es necesario que lo aplique.

No obstante, el Tribunal de Justicia tiene en cuenta que, en determinadas circunstancias y bajo ciertas condiciones, antes que la privacidad de la persona tiene que primar la seguridad nacional, el interés público y el cumplimiento de la ley. Concibe el Tribunal de Justicia, en consecuencia, una serie de límites al derecho fundamental a la vida privada, a la privacidad, cuando sea estrictamente necesario.

“No se limita a lo estrictamente necesario una normativa que autoriza de forma generalizada la conservación de la totalidad de los datos personales de todas las personas cuyos datos se hayan transferido desde la Unión a Estados Unidos, sin establecer ninguna diferenciación, limitación o excepción en función del objetivo perseguido y sin prever ningún criterio objetivo que permita circunscribir el acceso de las autoridades públicas a los datos y su utilización posterior a fines específicos, estrictamente limitados y propios para justificar la injerencia que constituyen tanto el acceso a esos datos como su utilización”; frase más lapidaria pocas veces se encuentra.

De un plumazo, y en 107 párrafos, el Tribunal de Justicia elimina la consideración de Estados Unidos como un puerto seguro al cual transferir datos personales y, además, habilita a los reguladores nacionales, como el Comisario irlandés o la Agencia Española de Protección de Datos, a examinar todas las reclamaciones que cualquier ciudadano les plantee acerca de las transferencias de sus datos personales si alega que el Derecho y las prácticas del país receptor de los datos no garantizan un nivel de protección adecuado para esos datos personales.

En 2013, estaban certificadas 3.246 empresas para la transferencia de datos de carácter personal desde la Unión Europea a Estados Unidos, dentro de las que podemos mencionar a Facebook, Google, Microsoft, Apple o Yahoo. A partir de la fecha de la sentencia, ninguna de estas empresas podrá transmitir datos personales hacia Estados Unidos, salvo que acrediten que esos datos van a ser tratados con un nivel de protección adecuado.

 

José HernándezJosé Hernández Director de Penal en Dyr Abogados , tutor en la UNED de Zamora y escritor en el blog de Te Lo Cuenta Tu Abogado, blog de divulgación del derecho que trata temas de actualidad jurídica, derecho cotidiano, derecho para estudiantes o derecho especializado.

 

 

  1. Hola, me gustaría si fueras tan amable me resolvieras una duda, para los que tenemos un blog y hacemos email marketing, tenemos que cambiarnos a un servidor que sea europeo. Hasta ahora estaba usando uno americano y me gusta, no quisiera tener que cambiarme ya que no he encontrado ninguno europeo que me guste. ¿Cuál sería la solución?

    Muchas gracias y un saludo.

    • Hola Mar, las empresas responsables del tratamiento de datos personales están en una especie de limbo jurídico hasta finales de enero, cuando se espera se determine el nuevo marco regulatorio y podamos conocer las nuevas obligaciones de cada cual. Es de suponer que las empresas proveedoras de servicio los adapten a las nuevas exigencias que se impongan, de forma que no pierdan usuarios. El verdadero problema surgiría a finales de enero de 2016 si no se llega a un acuerdo EU-EEUU o las empresas no se adaptan a las nuevas reglas que se dispongan.

  2. […] El Tribunal de Justicia de la Unión Europea y el dilema del “Safe Harbor” […]

Comments are closed.

Shares
Share This

Share This

Share this post with your friends!