Safe Harbor: ¿cómo afecta su revocación a las empresas europeas?

En el año 1995, cuando entró en vigencia la Directiva Europea de Protección de Datos¹, Estados Unidos no cumplía con los niveles de seguridad adecuados, y requeridos por dicha Directiva, para la transferencia internacional de datos. Por motivos económicos, Estados Unidos y la Unión Europea, alcanzaron un acuerdo denominado Safe Harbor o Puerto Seguro, el cual fue aprobado en Europa por medio de la Decisión 2000/520 de la Comisión, de 26 de julio de 2000 (en adelante la Decisión).

Como consecuencia de dicho acuerdo, se creó una plataforma, administrada por el Departamento de Comercio de los Estados Unidos,  creada con el objetivo informar a los interesados sobre el proceso de adhesión a los principios de puerto seguro y certificar el cumplimiento de las garantías exigidas para la transferencia internacional de datos. Lo anterior significaba que, aunque la adhesión al acuerdo por parte de las empresas fuese voluntaria, sus reglas eran vinculantes. La puesta en marcha de la plataforma y la implementación de la Decisión 2000/520 es lo que se ha denominado comúnmente como el programa Safe Harbor,

En octubre de 2015, el Tribunal de Justicia de la Unión Europea (ente encargado, entre otras funciones, de revisar las Decisiones expedidas por la Comisión Europea), emitió una sentencia donde dejó sin validez jurídica el acuerdo "Safe Harbor", es decir la Decisión 2000/520.

En este post vamos a profundizar en los aspectos jurídicos que llevaron a la invalidez de este acuerdo y cuáles son las consecuencias y las recomendaciones para las empresas europeas.

Este post también está disponible en inglés.

ASPECTOS JURÍDICOS RELEVANTES

Durante 15 años, las transferencias internacionales de datos realizadas entre las empresas/entidades de Estados Unidos adheridas a la plataformas Safe Harbor y las empresas o personas de la Unión Europea estuvieron fundamentadas bajo una presunción de adecuación, y por tanto de cumplimiento. de la normativa Europea de privacidad y protección de datos.

Pero el Tribunal de Justicia de la Unión Europea dejó sin validez el acuerdo después de estudiar un procedimiento de "cuestión prejudicial" planteado por la High Court de Irlanda: el caso del ciudadano Maximillian Schrems, quien demandó a la  Comisión de Protección de datos irlandesa por negarse a instruir una reclamación contra Facebook Ireland Ltd por transferir datos personales de sus usuarios a servidores ubicados en Estados Unidos.

La solicitud del Sr. Schrems fue presentada en el año 2013 y su requerimiento estaba sustentado en las revelaciones hechas por el Sr. Snowden sobre las actividades del servicio de información de los Estados Unidos (US National Security Agency, NSA), precisando que el ordenamiento jurídico americano y las actuaciones de sus entidades no garantizaban la debida protección y conservación de los datos que fuesen transferidos a dicho territorio.

El Tribunal de Justicia cita en su sentencia los fundamentos de la Comunicación COM(2013)847, emitida por parte de la Comisión al Parlamento Europeo y al Consejo, donde se reportan algunas deficiencias preocupantes del programa Safe Harbor², concluyendo lo siguiente:

• "Se deduce que en la práctica un número elevado de empresas certificadas no respetaban, o no lo hacían plenamente, los principios de puerto seguro".  

• “Aparentemente todas las empresas involucradas en el programa PRISM [programa de recogida de informaciones a gran escala], y que conceden a las autoridades estadounidenses acceso a los datos almacenados y tratados en Estados Unidos, tienen el certificado de puerto seguro. Ello ha hecho de puerto seguro uno de los conductos a través de los cuales se da acceso a las autoridades de inteligencia estadounidenses para recopilar datos personales que han sido tratados inicialmente en la [Unión]".

En ese sentido, la Comisión constató en el punto 7.1 de la referida Comunicación que “diversas bases legales con arreglo al ordenamiento jurídico estadounidense permiten la recogida y el tratamiento a gran escala de datos personales almacenados o tratados de otra forma por entidades basadas en Estados Unidos” y que “al tratarse de programas a gran escala, puede ocurrir que las autoridades estadounidenses accedan y procesen los datos transferidos al amparo del puerto seguro más allá de lo estrictamente necesario y proporcionado para la protección de la seguridad nacional, como reza la excepción prevista en la Decisión [2000/520]."

Además de lo anterior, es importante resaltar los dos aspectos que sobresalieron por parte del Tribunal de Justicia, como fundamento de la invalidez de la Decisión 2000/520:

1. El Tribunal determinó que la Comisión, cuando expidió la Decisión de puerto seguro, nunca manifestó que Estados Unidos garantizaba un nivel de protección adecuado al exigido en la Unión Europea.
   
   
2. La Comisión Europea, en la Decisión, estableció un alto umbral de condiciones para que una autoridad nacional pudiese llegar a intervenir en los casos relacionados con la protección de la vida privada, las libertades y los derechos fundamentales, limitando en este sentido, la función de las autoridades nacionales de control.
   
   

CONSECUENCIAS JURÍDICAS DE LA INVALIDEZ DEL SAFE HARBOR

La invalidez significa la anulación o la desaparición del mundo jurídico del acto emitido por la entidad. En ese sentido, al desaparecer la Decisión 2000/520, entre EEUU y la UE no existe un fundamento normativo que respalde las transferencias internacionales entre empresas ubicadas en los Estados miembros y EEUU.

Al no existir jurídicamente el acuerdo Safe Harbor se deberán cumplir los requisitos exigidos por la normativa actual en materia de transferencias internacionales de datos. La normativa actual³ permite transferir datos  en los siguientes casos:

1. Cuando exista el consentimiento inequívoco por parte del usuario.
2. Con la implementación de cláusulas estándares y/o
3. Con la implantación de normas vinculantes a nivel de grupo corporativo o Binding Corporate Rules (BCR's).

¿CUÁL ES LA SITUACIÓN ACTUAL?

La situación genera inseguridad jurídica, puesto que ha desaparecido una norma relacionada con la prestación de servicios de internet (servicios en la nube) basados en el tráfico de datos personales de ciudadanos de la UE a EEUU, norma que fundamentaba la operación de grandes multinacionales. Y aunque existen herramientas alternativas al extinto programa Safe Harbor, se necesitará tiempo, gestión y coordinación entre las partes implicadas para la reorganización del sistema.

Han transcurrido más de tres meses desde que el Tribunal de Justicia emitió la sentencia y aún no hay solución. Miembros de la Comisión Europea han iniciado conversaciones con el gobierno de Estados Unidos con el objetivo de conseguir un nuevo acuerdo, pero aún no hay señales que evidencien un avance en este sentido.

Con el objetivo de emitir un mensaje de tranquilidad la Comisión Europea expidió la comunicación COM(2015)566 final, donde se indica que las transferencias pueden continuar realizándose con las herramientas alternativas como son las cláusulas contractuales tipo y/o las normas corporativas vinculantes (BCR's).

Por otro lado, las Autoridades Europeas de Protección de Datos, a través del grupo de trabajo del artículo 29, publicaron una declaración, indicando lo siguiente: "Si a finales de enero de 2016 no se ha encontrado una solución adecuada con las autoridades estadounidenses, y en función de la evaluación de las herramientas de transferencia por parte del Grupo de Trabajo, las Autoridades de protección de datos de la UE se comprometen a adoptar todas las medidas necesarias y apropiadas, que pueden incluir acciones coordinadas de aplicación de la ley (enforcement)"

En el caso de España, desde noviembre de 2015 (aproximadamente), la Agencia Española de Protección de Datos ha iniciado un acercamiento con las empresas españolas responsables de las transferencias internacionales de datos con el objetivo de informarles sobre los efectos de la sentencia emitida por Tribunal de Justicia de la UE.  Dichas empresas deben tener la opción de requerir a sus proveedores de servicios tecnológicos (servicios en la nube) las soluciones jurídicas que le sean aplicables. Esto ha provocado que estas empresas se pongan en contacto con sus prestadores, de forma proactiva, para buscar acuerdos o soluciones jurídicas. O, en su defecto, para que inicien las gestiones necesarias para el cumplimiento normativo en materia de transferencias de datos. De lo contrario, las empresas españolas se verán obligadas a prescindir de los servicios ofrecidos por las empresas americanas (ver comunicación enviada a los responsables).

RECOMENDACIONES PARA LAS EMPRESAS EUROPEAS

Teniendo en cuenta que el plazo indicado por la el Grupo de trabajo del artículo 29 está a punto de finalizar, y viendo que las negociaciones con EEUU podrían tardar tiempo indefinido, se proponen las siguientes recomendaciones:

• Es importante asegurarse que el prestador trata y almacena los datos en servidores ubicados única y exclusivamente en la Unión Europea.
  
  

• Si definitivamente la empresa opta por tratar o almacenar datos en otra ubicación, por ejemplo, en Estados Unidos, debe disponerse de un acuerdo con el prestador de servicios (servicios icloud) que incorpore las cláusulas contractuales tipo, validadas por la autoridad de protección de datos competente. Por estas cláusulas contractuales el prestador se compromete a velar por el cumplimiento de la normativa de protección de datos europea, adoptando las medidas necesarias.
  
  Lo anterior no impedirá que dicho tratamiento de datos sea considerado una transferencia internacional de datos. Por tanto, la entidad responsable del tratamiento de los datos que quiera utilizar los servicios en la nube de empresas con servidores fuera de la UE, debe notificar este hecho a la Autoridad de Protección de Datos competente.
  
  
• Disponer del consentimiento informado y expreso por parte del usuario afectado por dicho tratamiento. Es importante que el responsable de los datos conserve el soporte de dicho consentimiento en medio digital o por escrito y que el texto que acepte el usuario -- que es un documento confeccionado por cada empresa-- cumpla con las exigencias normativas, dejando constancia que el usuario ha autorizado de forma expresa la transferencia internacional de datos.  Lo anterior no impide, tampoco, la obligación de notificar la transferencia internacional de datos a la Autoridad de Protección de Datos competente.
  
  
• Utilizar servicios similares a los prestados por empresas con servidores en EEUU pero que tengan sus servidores en la Unión Europea y cumplan con las directrices establecidas por la normativa europea.

Aunque existen opciones jurídicas para fundamentar la transferencia internacional de datos entre EEUU y EU, es importante que cada empresa responsable o encargada del tratamiento de los datos, revise a nivel interno su situación de incumplimiento y adopte las medidas necesarias que le permitan mitigar los riesgos o posibles sanciones que podrían generarse del incumplimiento de la normativa comunitaria en material de transferencia internacional de datos. De igual forma, como consecuencia de la inseguridad jurídica ocasionada por el reciente fallo del Tribunal de Justicia, se recomienda hacer seguimiento a los pronunciamientos que realicen las Autoridades Europeas de Protección de Datos y la Comisión Europea, que estarán orientados a la búsqueda conjunta de una solución sectorial, que posiblemente se verán reflejados en el texto del futuro Reglamento de Protección de Datos.

Este post también está disponible en inglés.

Este es un post invitado por Ana Martiza Vega Suárez y también está disponible en inglés. Ana Maritza es abogada especializada en nuevas tecnologías y propiedad intelectual, y socia fundadora de Avatic Abogados. @AnaVegaSuarez @AvaticAbogados

En el caso de Signaturit, todos los datos de nuestros clientes y usuarios están almacenados en servidores localizados en países de la Unión Europea. Por tanto, quienes utilizan nuestra solución de firma electrónica tienen la garantía de que cumplimos con la normativa de la UE. Por otro lado, nuestro nivel de seguridad con respecto a los datos viene respaldado por el hecho de que no almacenamos las firmas realizadas en nuestra plataforma, puesto que cada firma se genera de forma única en cada transacción.

Si quieres saber más sobre la legalidad de nuestra solución de firma electrónica, puedes descargarte el siguiente whitepaper. O si lo prefieres, puedes contactar directamente con nosotros llamando al +34 935 511 480.

POSTS RELACIONADOS

• Big Data: cómo minimizar los riesgos legales del análisis de datos.
  
• Regulación de la firma electrónica en Estados Unidos: UETA y E-Sign Act.
• Firma electrónica, datos biométricos y privacidad en Europa.
  

Notas:
1. Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

2. La información que se transcribe en los términos usados por el Tribunal.

3. Decisiones de la Comisión Europea 2001/497/CE, de 15 de junio de 2001, y 2004/915/CE, de 27 de diciembre de 2004, por la que se modifica la anterior y la Decisión de la Comisión Europea 2010/87/UE, de 5 de febrero de 2010. A nivel de España las Transferencias Internacionales de Datos, están reguladas por  los artículos 33 y 34 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) y en el Título VI del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre.