Contacto

Para consultas jurídicas "david @ 451.legal"

miércoles, 7 de octubre de 2015

Estados Unidos deja de ser puerto seguro

Ayer se conoció la sentencia del TJUE en el caso Schrems por la que se cuestionaba si los datos de los ciudadanos europeos que eran tratados por empresas estadounidenses, en este caso Facebook, podían salir de la Unión Europea, en concreto a Estados Unidos, y si las facultades de control de las agencias de protección de datos alcanzan también a controlar lo que pasa con esos datos en el país de destino.

Si hasta ahora se decía que las autoridades de control no podían analizar las medidas de seguridad de las empresas de Estados Unidos, o al menos de parte de ellas, era porque estaban acogidas al régimen de Puerto Seguro o "safe harbor", que consiste, básicamente, en decir que hay un nivel equivalente de medidas de seguridad o de protección de los datos allí.

Puede consultarse el listado de empresas acogidas a este programa en una web del departamento de comercio.

Es decir, que si estabas en esa lista, en teoría, cumplías con un estándar que posibilitaba recibir y tratar datos desde la Unión Europea.

Y este reconocimiento se basaba en un acuerdo de la Comisión, la Decisión 2000/520/CE, que ahora también se pone en cuestión.
Lo que resuelve el Tribunal de Justicia es que:

1- Las agencias de control, como la Agencia Española de Protección de Datos, pueden investigar una denuncia en la que se alega que un país tercero no garantiza un nivel de protección adecuado y, en su caso, suspenda la transferencia de los datos, y

2- Que la Decisión 2000/520/CE de la Comisión es nula y por lo tanto, desde este momento no habría marco jurídico para estas actuaciones por parte de las empresas.

Esta es la consecuencia más inmediata, pues recordemos que el artículo 33 de la Ley Orgánica 15/1999 de Protección de Datos, establece la prohibición de movimientos internacionales de datos, salvo autorización del Director de la Agencia
"No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas."
o que sea aplicable alguna de las excepciones del artículo 34
k) Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.
Como se ve, la Decisión ahora anulada era el mecanismo jurídico que permitía el envío de esos datos, según este apartado.

Además de lo anterior, la otra consecuencia del fallo es que sin excepción que justifique la transferencia y con la declaración de las competencias de las agencias de control, se abre la vía para que los ciudadanos reclamen a éstas acciones para verificar el cumplimiento de los niveles de seguridad o puedan suspender su actividad.

Desde el otro lado, esto pone en peligro a muchas empresas europeas que han contratado tratamientos de datos de sus clientes, usuarios, etc., con empresas de Estados Unidos y que, de la noche a la mañana, se han quedado sin amparo legal para esos contratos, debiendo cesar en los mismos o solicitar autorización, en el caso de España, al Director de la Agencia de Protección de Datos (y esperar a que resuelva).

Ese es un resumen sencillo de la situación; otras reflexiones que pueden hacerse deben ir por la actuación (o inacción o desidia en el análisis del Safe Harbor) de la Comisión, de lo que el TJUE está haciendo por preservar derechos fundamentales frente a la visión de los políticos (a esta anulación se suma la de la Directiva de Retención de Datos el año pasado)muy alejada del respeto a esos derechos, etc., pero que me propongo hacer en otro post.

Sin duda una noticia de un gran impacto para muchas empresas e instituciones y que obligará a replantear la relación con Estados Unidos, en un momento en el que la economía del tratamiento de los datos (eso incluye las redes sociales, que se sustentan en el tratamiento de información) es clave para el desarrollo económico de los países occidentales.

No hay comentarios:

Publicar un comentario