Ayer, martes 6 de octubre de 2015, el Tribunal de Justicia de la Unión Europea declaró nula la Decisión 2000/520 de la Comisión Europea sobre “la adecuación conferida por los principios de puerto seguro para la protección de la vida privada”. El nivel adecuado de protección para la transferencia de datos desde la Unión Europea a Estados Unidos se alcanza si las empresas americanas cumplen con los principios de puerto seguro, respaldados por la Decisión de la CE mencionada anteriormente.
Un ciudadano austríaco denunció en 2013 ante la autoridad irlandesa competente en materia de protección de datos (Data Protection Comissioner) la transferencia de datos que hace la red social Facebook desde su filial en Irlanda a los servidores de la compañía situados en EEUU. Según este ciudadano, esa comunicación no garantizaba una protección suficiente de datos ya que toda información está sometida a la supervisión estatal. Esto se podía demostrar con las revelaciones que Edward Snowden iba filtrando. El Tribunal Superior de Irlanda (High Court), según se puede leer en las conclusiones del Abogado General, planteó esta denuncia al Tribunal de Justicia Europeo entendiendo que la resolución se debe a una normativa europea y por tanto es competencia de la Unión y no de un Estado miembro.
La sentencia en este aspecto es clara:
1) El artículo 25, apartado 6, de la de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en su versión modificada por el Reglamento (CE) nº 882/2003 del Parlamento Europeo y del Consejo, de 29 de septiembre de 2003, entendido a la luz de los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales de la Unión Europea, debe interpretarse en el sentido de que una Decisión adoptada en virtud de la referida disposición, como la Decisión 2000/520/CE de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América, por la que la Comisión Europea constata que un tercer país garantiza un nivel de protección adecuado, no impide que una autoridad de control de un Estado miembro, a la que se refiere el artículo 28 de esa Directiva, en su versión modificada, examine la solicitud de una persona relativa a la protección de sus derechos y libertades frente al tratamiento de los datos personales que la conciernen que se hayan transferido desde un Estado miembro a ese tercer país, cuando esa persona alega que el Derecho y las prácticas en vigor en éste no garantizan un nivel de protección adecuado. 2) La Decisión 2000/520 es inválida.(Extraído de la sentencia del Tribunal de Justicia europeo)
En el apartado uno indica que es cada Estado miembro el que debe considerar si la transferencia de datos personales a los Estados Unidos se realiza garantizando un nivel de protección adecuado. En segundo lugar sentencia que la Decisión 2000/520 de la Comisión Europea es inválida. Una decisión que en su día se anunció como la solución para que las empresas americanas suscritas o que cumplían con los requisitos de puerto seguro pudiesen disponer de información de ciudadanos europeos al entender que ese protocolo daba unas garantías mínimas de protección y seguridad de datos. Una sentencia que causa precedente y que de algún modo pasa la “patata caliente” a los Estados miembro ya que son ellos quienes deben decidir si considera adecuada la protección de la información en la transferencia de datos a terceros países, en este caso a Estados Unidos.
¿Cuál será el primer país en dar el paso y exigir más medidas de protección a las empresas americanas para poder transferir datos de sus ciudadanos? ¿Algún país se va a levantar en contra de las grandes potencias como Facebook, Google, etc.?
Algunos aspectos más a destacar del análisis que realiza el Abogado General:
93. En este sentido, si bien una decisión adoptada por la Comisión en virtud de los poderes de ejecución que le confiere dicha disposición tiene por efecto permitir la transferencia de datos personales a un país tercero, dicha decisión no puede, en cambio, tener por efecto arrebatar todo poder a los Estados miembros y en particular a sus autoridades de control nacionales, o incluso limitar sus competencias, cuando se invoquen ante ellas supuestas violaciones de derechos fundamentales.
158. De dichos elementos resulta que el Derecho y la práctica de Estados Unidos permiten recopilar, a gran escala, los datos personales de ciudadanos de la Unión que son transferidos en el marco del régimen de puerto seguro, sin que éstos gocen de una tutela judicial efectiva. 159. Dichos hechos demuestran, en mi opinión, que la Decisión 2000/520 no contiene suficientes garantías. Dada tal falta de garantías, la aplicación de dicha Decisión no cumple los requisitos exigidos por la Carta y por la Directiva 95/46.
Con estas declaraciones el Abogado General deja clara su posición en contra de la transferencia de datos a EEUU según se rige actualmente por el principio de puerto seguro establecido en la Decisión 2000/520 (declarada nula ayer, 6 de octubre de 2015).
Y yo planteo… ¿En qué estado queda actualmente la información que después de esta decisión se sigue transfiriendo a día de hoy desde Europa a EEUU? ¿Cuál será el siguiente paso? ¿Y quién lo dará? Me cuesta pensar que las empresas americanas puedan garantizar una protección mayor, dada la legislación y el control estatal sobre la información en EEUU. Pero también me cuesta pensar que cada uno de los estados, concretamente el Estado español, legisle en contra de estas grandes empresas.
En las próximas fechas veremos que movimientos se van realizando en este aspecto que seguro que resultan interesantes.
Noticias que se hacen eco de esta resolución del Tribunal de Justicia Europeo: [1] [2] [3] [4]
La entrada Transferencia de datos a Estados Unidos. ¿Y ahora qué? aparece primero en Security Art Work.