Importantes cambios en el Safe Harbour y Redes Sociales

[one_second]

En la legislación sobre protección de datos una transferencia internacional de datos es, en virtud del artículo 5.1 del RLOPD, un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo (EEE), bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.

Dentro de las transferencias internacionales de datos existen una serie de excepciones en las cuales simplemente notificando a la agencia pueden realizarse esta operación. Dentro de estas excepciones se encuentra la posibilidad de que el país al que se vayan a transferir los datos se encuentre dentro del llamado acuerdo de “safe harbour”, o puerto seguro. Este acuerdo está firmado por diferentes entidades estadounidenses, y por el mismo se comprometen a aplicar un nivel de seguridad en cuanto al tratamiento de los datos similares a las exigidas por la normativa europea. Es por ello que este acuerdo de puerto seguro facilitaba la transferencia de datos entre la Unión Europea y estas empresas de Estados Unidos, facilitando el tráfico de datos y mejorando con ello las diferentes relaciones comerciales.

Sin embargo, con fecha 6 de octubre el Tribunal de Justicia de la Unión Europea (TJUE) ha publicado una sentencia que cambia por completo esta figura y su legitimidad.

Dicha sentencia se basa en una demanda planteada por el austriaco Maximillian Schrems, un activista de 27 años contra la violación de la privacidad de Facebook. Schrems denunció a la  Agencia de Protección de Datos irlandesa, (lugar en el que Facebook tiene su filial para luego hacer la transferencia de datos a su sede en EEUU) después de que las filtraciones de Snowden demostraran que la red social no hizo nada por evitar la vigilancia masiva de la NSA durante años y que, de hecho, el «Safe Harbour» creado para el intercambio de datos era de todo menos seguro.

A partir de dicha demanda, el TJUE ha determinado en su sentencia que los acuerdos de puerto seguro dejan de tener validez ya que (según la sentencia) los Estados Unidos no garantiza un nivel de protección adecuado de los datos personales transferidos dice el dictamen emitido hoy.

El Tribunal de Justicia por ende «declara inválida la Decisión de la Comisión Europea de 26 julio de 2000. Como consecuencia de esta sentencia, la autoridad irlandesa de control está obligada a examinar la reclamación del Sr. Schrems con toda la diligencia exigible y,

[/one_second]

[one_second]

al término de su investigación, deberá decidir si, en virtud de la Directiva, debe suspender se la transferencia de los datos de los usuarios europeos de Facebook a Estados Unidos porque ese país no ofrece un nivel de protección adecuado de los datos personales».

La cuestión radicaba en que el Tribunal Supremo irlandés quería conocer acerca de que el hecho de que debido a la existencia de estos acuerdos de puerto seguro impidiera que las autoridades nacionales de control de protección de datos puedan investigar denuncias de manera individual acerca de estos temas, llegando al caso de impedir que los datos sean transferidos a un país que considera no seguro.

El Tribunal contestó de manera tajante: «La Comisión estaba obligada a comprobar si Estados Unidos garantiza efectivamente, en razón de su legislación interna o de sus compromisos internacionales, un nivel de protección de los derechos fundamentales sustancialmente equivalente al garantizado en la Unión en virtud de la Directiva, interpretada a la luz de la Carta. El Tribunal de Justicia observa que la Comisión no llevó a cabo ese examen, sino que se limitó a analizar el régimen de puerto seguro».

Pero, ¿qué implicaciones tiene esta sentencia en realidad?

Básicamente devuelve poder a las agencias nacionales de protección de datos, para evaluar (previa denuncia se entiende) si los acuerdos de puerto seguro tienen el nivel necesario de protección para igualarlos a la legislación nacional, esto va a suponer una auténtica potestad sancionadora sobre este tipo de acuerdos pudiendo anularlos en su jurisdicción siempre que lo considere oportuno.

Las redes sociales van a tener un gran punto de inflexión en estos casos, ya que la mayoría tienen sus servidores en suelo estadounidense, y puede llegarse al punto de que la mayoría tengan que renegociar las condiciones de estas transferencias de datos.

Desde Equal Protección de Datos entendemos que desde un punto de vista estricto de protección de la privacidad  puede ser positiva la repercusión que esta sentencia puede tener. Todo lo que implique que las autoridades de protección de datos de cada Estado tengan mayor autonomía y poder de control puede considerarse a priori positivo. Ahora bien, habrá que esperar para ver el impacto que pudiera tener a nivel comercial. Como en todo, debe guardarse un adecuado equilibrio entre el derecho a la privacidad y otro tipo de intereses. Encontrarlo no es fácil, pero sin duda es lo deseable y debe ser el objetivo.

[/one_second]

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *