Artículo de Confilegal. Publicado el 6 de octubre de 2015.
Todo comenzó con la revelación, por parte de Edward Snowden, exempleado de la Agencia Nacional de Seguridad (NSA), de la existencia de un sistema de vigilancia llamado Prism que tenía acceso a los datos de ciudadanos europeos almacenados por las empresas estadounidenses. La pregunta planteada por el joven austriaco a la Comisión de Protección de Datos Irlandesa (IDCP) inició todo.
Schrems, un activista pro privacidad, pidió a la IDPC que supervisara el información que Facebook manejaba diariamente de sus clientes europeos.
Sin embargo, la IDPC rechazó la petición argumentando que dichas transferencias de datos estaban protegidas por el «Principio del Puerto Seguro», lo que condujo a Schrems al Tribunal Supremo de Irlanda.
El Alto Tribunal, al no ver las cosas claras, dirigió una cuestión prejudicial al Tribunal de Justicia de la Unión Europea (TJUE), que tiene su base en Luxemburgo.
«El caso es una prueba del enfoque que unos, los Estados Unidos, y otros, la Unión Europea, tienen sobre los datos personales. Para Washington los datos personales son de libre acceso mientras que para Bruselas, pertenecen a la esfera de los derechos fundamentales», explica el abogado Miguel Ángel Davara, especialista en este campo.
Para cubrir esas diferencias, la Comisión Europea elaboró la Decisión 2000/520/CE de 26 de julio de 2000, que establecía los principos del llamado «Puerto Seguro», por el cual las empresas estadounidenses podían hacer uso de los datos personales de los ciudadanos europeos cumpliendo los estándares exigidos por la Unión Europea.
Para ello, debían asegurar, mediante certificado, ante el Departamento de Comercio de Estados Unidos que cumplían con las reglas del juego.
Actualmente se calcula en 5.000 las empresas norteamericanas adheridas al «Puerto Seguro», entre ellas tecnológicas tan importanes como Google, Facebook, Linkedin o Apple.
LA SENTENCIA DEL TJUE
La Corte Europea ha concluido en una sentencia histórica que la Decisión 2000/520/CE priva a las Autoridades Nacionales de Control de sus facultades -como la Agencia Española de Protección de Datos, en el caso español- al considerar que «la Comisión carecia de competencia para restringir de ese modo las facultades de las Autoridades Nacionales».
«Lo que había hasta ahora en este campo era una indefinición sobre si el regulador nacional tenía la capacidad de suspender la transferencia de datos de Europa a Estados Unidos de cualquiera de estas empresas norteamericanas», explica Javier Puyol, abogado y socio de ECIXGroup.
«La sentencia viene a clarificar esto y a decir que sí, que no sólo tienen capacidad sino que también tienen competencia. Y clara».
¿Y qué es lo que va a pasar a partir de ahora? De acuerdo con Belén Arribas, abogada y auditora de Entornos Tecnologicos de Monereo Meyer Marinel-Lo Abogados: «Las entidades americanas que estaban adheridas al «Safe Harbour» (Puerto Seguro) ya no tienen garantía de adecuación, por lo que eventuales transferencias internacionales de datos a Estados Unidos deberán de aprobarse según el régimen de autorizaciones administrativas al respecto, en el caso de España, por parte de la directora general de la Agencia Española de Protección de Datos (AEPD)».
Sin embargo, en opinión de Alonso Hurtado y Daniel López, Écija Abogados, la decisión de la TJUE tiene un alcance mucho mayor del que se pudiera pensar.
«Es importante resaltar que la importancia de esta sentencia no radica única y exclusivamente en cómo afecta a las entidades establecidas en Estados Unidos que prestan servicios o realizan intercambios y tratamientos de datos provenientes de la Unión Europea, sino que también afecta tanto a aquellas entidades nacionales que mantienen en la actualidad contratos con proveedores cuyos servicios impliquen el acceso, tratamiento o almacenamiento de datos personales, como por ejemplo, servicios de «hosting», aplicaciones en «cloud», etc., como a los propios flujos internacionales de datos que se realicen entre empresas del mismo grupo, como entidades cuya matriz, o alguno de sus servicios corporativos, se encuentren ubicados en Estados Unidos», explican.
Para el Gobierno alemán, uno de los grandes defensores de la protección de datos personales, junto a Francia, la sentencia del TJUE es una gran noticia porque mejora la posición de Bruselas en las negociaciones frente a Washington.
Según Heiko Mass, titular de la cartera de Justicia, es una «señal para la protección de los derechos fundamentales en Europa».
El fallo, desde su punto de vista, obliga a la Comsión Europea a defender «los estándares de protección de datos europeos a nivel internacional».
LAS EMPRESAS USA NIEGAN LA COLABORACIÓN CON LA NSA
La mayor parte de las empresas norteamericanas han negado las afirmaciones de Snowden, de que la NSA estuviera haciendo uso de los datos personales de los europeos a través de Prism. Sin embargo, es indudable que la alegación del exespía ha tenido su peso.
«Este fallo dibuja una línea clara. Clarifica que la vigilancia masiva viola nuestros derechos fundamentales», declaró Schrems tras conocer la sentencia.
«Deja claro que las empresas estadounidenses no pueden ayudar a los esfuerzos estadounidenses de espionaje en la violación de los derechos fundamentales europeos «.