El TJUE invalida el esquema de Puerto Seguro…. Para ese viaje, no eran menester alforjas (o, al menos, no unas tan gordas…)


 

Aquí tenemos ya el pronunciamiento del Tribunal de Justicia de la Unión Europea (“TJUE“) que todos estábamos esperando desde que se publicaran las conclusiones del Abogado General Bot. El pasado 6 de octubre el TJUE dictó Sentencia en el caso Schrems (C-362/14) (la “Sentencia“) declarando nula la (Decisión 2000/520/CE, de Puerto Seguro) (la “Decisión de Puerto Seguro“) sobre la cual, desde hace más de 15 años, miles de empresas de la Unión Europea (“UE“) habían legitimado transferencias internacionales de datos a Estados Unidos de América (“EEUU“).

Salvo que haya estado en Marte en las últimas semanas, usted, profesional de la privacidad, seguro que sabe ya lo que la Sentencia dice. Por ello, veo ocioso repetírselo ahora. A mí me enseñaron a juzgar a las personas por sus actos y no por lo que decían y creo que es bueno juzgar la Sentencia – que, en definitiva, es un acto de unas instruidas personas – de la misma forma. Así que quiero aprovechar esta oportunidad que me brinda la Asociación Española de Privacidad (APEP) para contarle lo que, en mi opinión, esta Sentencia hace… agárrense que hay curvas…

PRIMERO, Reconoce una “Facultad Revisora” Que Las Autoridades de Control de Protección de Datos Ya Tenían Conferida

Como primer punto – y al margen de la anulación de la Decisión de Puerto Seguro donde se centran todos los focos – la Sentencia se pregunta si las autoridades de control en materia de protección de datos de la UE (“APDs“), tienen o no facultad para cuestionarse la bondad de la protección que proporcionan aquellos países declarados de “nivel de protección adecuado” por la Comisión de la Unión Europea (la “Comisión“) vía la correspondiente Decisión ex. art. 25.6 de la Directiva 95/46/CE, de Protección de Datos (la “Directiva“).

La Sentencia responde de forma rotundamente afirmativa: si detectan que la transferencia internacional – incluso amparada por una Decisión de la Comisión – no garantiza el derecho a la protección de datos, pueden (de hecho deben) iniciar aquel procedimiento interno que su Estado Miembro haya habilitado para impedir la transferencia internacional, acabando, en su caso, en el planteamiento de una cuestión prejudicial por los tribunales locales ante el TJUE, que es el único con capacidad para invalidar una Decisión de la Comisión, por lo demás vinculante para los Estados Miembros.

Ahora bien, es importante destacar que el TJUE no crea esta facultad para las APDs. No es que el Tribunal otorgue “súper poderes” a las APDs para que puedan salir raudas en pos de la protección del dato personal. El TJUE simplemente confirma algo que ya figura en el Tratado de Funcionamiento de la UE y es que, entre sus funciones, el TJUE tiene la del control de legalidad de los actos de las instituciones de la UE, incluyendo las Decisiones de la Comisión lo que, como complemento indispensable, requiere que la legalidad de tales actos pueda ser cuestionada, no ya solo por las APDs, sino por los propios Estados Miembros, otras instituciones de la UE e incluso los mismos ciudadanos comunitarios en determinadas circunstancias, y que los Estados Miembros habiliten procedimientos internos para que ello sea posible.

A mí me parece una verdad de Perogrullo que el TJUE podía haberse ahorrado si bien aviso que esa inocuidad es el efecto menos dañino que creo que podemos encontrar en la Sentencia… prepárense…

SEGUNDO. Invita a Cuestionarse la Legitimidad de Las Transferencias Internacionales a Todos Los Terceros Países Declarados de “Protección Adecuada” … Por lo Menos…

Aunque la Sentencia se recrea en las transferencias internacionales a EEUU y la validez de la Decisión de Puerto Seguro – como es lógico, a la vista de las cuestiones prejudiciales remitidas por el tribunal irlandés – lo cierto es que sus efectos llegan mucho más lejos y permiten cuestionar la legitimidad de las transferencia internacionales que se realizan a todos y cada uno de los once terceros países declarados de nivel de protección “adecuada”:

Efectivamente, según puede leerse en los apartados 63 y ss. de la Sentencia, la “facultad revisora” a la que he hecho referencia apartado primero del presente, no se refiere únicamente a la Decisión de Puerto Seguro, sino a cualquier Decisión de la Comisión dictada al amparo del art. 25.6 de la Directiva. Ello incluye todas las Decisiones adoptadas por la Comisión desde 1995, en las que ha declarado que un país otorgaba un nivel de protección “adecuado”.

Así, de entrada y desde un punto de vista formal, se hace a todos estos países “adecuados” (no solo a EEUU) candidatos al escrutinio de la DPAs. En realidad, como he dicho antes, ya lo eran dado que las DPAs siempre tuvieron esa facultad… aunque, desde luego, nunca estuvo tan claro ni nunca las DPAs fueron invitadas con tanto celo a ejercitar su “facultad revisora”.

Pero si avanzamos con respecto a la forma y acudimos a las razones de fondo, también observamos que las dos razones por las que el TJUE invalida el Puerto Seguro (centradas en los arts. 1 y 3 de la Decisión en cuestión) son aplicables a las transferencias que se hacen a tales países “adecuados”.

  • Primer motivo de invalidez: ausencia de “eficacia real” de protección:

En primer lugar, el TJUE invalida la Decisión de Puerto Seguro porque considera que el artículo 1 de la Decisión, que declara que aquellos importadores estadounidenses que respeten los Principios de Puerto Seguro otorgan un nivel de protección adecuado, no refleja la realidad dado que en EEUU no se garantiza una protección real y eficaz a los datos personales

En la Sentencia, el TJUE se lamenta de que el aparato gubernamental y de seguridad americano no se encuentra restringido por los Principios de Puerto Seguro y, además, las entidades certificadas no pueden impedir, conforme la legislación de EEUU, el acceso por determinadas entidades públicas a los datos que tratan. En estas condiciones, el TJUE entiende que no es posible afirmar que el cumplimiento de los Principios de Puerto Seguro garantice una protección “adecuada” como reconoce, incorrectamente, la Decisión.

Ahora bien, si la línea base del carácter “adecuado” de protección lo ponemos en la “eficacia real” de la protección y analizamos como de sólida es esta eficacia en el caso de los terceros países declarados de “protección adecuada” por las Decisiones de la Comisión dictadas al amparo del art. 25.6 de la Directiva, lo cierto es que podríamos llevarnos más de una sorpresa. “Googleen” ustedes un poco y advertirán como los gobiernos de algunos de estos países tienen una aproximación algo, digamos, Orwelliana en esto de la seguridad que es poco compatible el control de los datos personales, que bien podría hacer que se cuestionase la validez de las Decisiones de la Comisión que amparan las transferencias internacionales que se hacen a los mismos.

Sí, claro, ustedes me dirán que la diferencia entre estos terceros países y EEUU es que los primeros tienen legislación de protección de datos que aplica al gobierno mientras que el segundo, según indica la Sentencia (cosa que tampoco creo que sea tal cual lo dice) no. Ahora bien, ¿a ustedes que les da más “miedo” un país cuyo gobierno accede a datos personales porque no tiene leyes que se lo impidan, u otro que sí tiene estas leyes, pero el gobierno las desoye como si no existieran sin que ninguna autoridad ni juez lo cuestione?… Yo lo tengo claro…

  • Segundo motivo de invalidez: restricción de las facultades de control de las DPAs ex art. 28 de la Directiva:

El segundo reproche que lanza el TJUE respecto de la Decisión de Puerto Seguro, se refiere al hecho de que, de acuerdo con el Tribunal, la redacción del art. 3.1, párrafo primero de la Decisión de Puerto Seguro restringe facultades de control que tienen las DPAs conforme al art. 28 de la Directiva en relación con el art. 25 de la misma norma comunitaria. A estos efectos, interesa recordar que el citado párrafo primero del mentado artículo de la difunta Decisión de Puerto Seguro (R.I.P.) decía lo siguiente:

Sin perjuicio de sus facultades para emprender acciones que garanticen el cumplimiento de las disposiciones nacionales adoptadas de conformidad con disposiciones diferentes del artículo 25 de la Directiva 95/46/CE, las autoridades competentes de los Estados miembros podrán ejercer su facultad de suspender los flujos de datos hacia una entidad que haya autocertificado su adhesión a los principios y su aplicación de conformidad con las FAQ, a fin de proteger a los particulares contra el tratamiento de sus datos personales, en los casos siguientes

Concretamente, en palabras del Tribunal (apartados 100 y 101 de la Sentencia): “el artículo 3, apartado 1, párrafo primero, de la Decisión 2000/520 establece una regulación específica de las facultades de las que disponen las autoridades nacionales de control ante una constatación realizada por la Comisión sobre el nivel de protección adecuado, en el sentido del artículo 25 de la Directiva 95/46 [que excluye] […] la posibilidad de que esas autoridades tomen medidas con objeto de asegurar el cumplimiento del artículo 25 de la misma Directiva” (el subrayado es nuestro). En particular, el TJUE alude a esta frase del art. 3.1 de la Decisión de Puerto Seguro “sin perjuicio de sus facultades para emprender acciones que garanticen el cumplimiento de las disposiciones nacionales adoptadas de conformidad con disposiciones diferentes del artículo 25 de la Directiva [95/46], […]” (el subrayado es nuestro). Adviértase como la expresión “diferentes del” tiene como efecto circunscribir las facultades de ese art. 25 de la norma comunitaria: tales facultades deben ser aplicadas conforme se señala en el art. 3.1 de la Decisión de Puerto Seguro.

Sinceramente, tras revisar la forma en que la citada Decisión establece como deben aplicarse las facultades del art. 25 de la Directiva, a uno le cuesta ver donde está realmente tal restricción. A mi más bien me parece una suerte de desarrollo y contextualización de las mismas. Sin embargo, dejando al margen esta cuestión, lo que inquieta en grado sumo es que el texto del art. 3.1, párrafo primero de la Decisión de Puerto Seguro que el TJUE considera restrictivo de las facultades que se otorgan a los Estados Miembros bajo el art. 25 de la Directiva y que es causa de anulación de dicha Decisión, es calcado al que aparece en todas y cada una de las Decisiones dictadas por la Comisión hasta la fecha al amparo del art. 25.6 de la Directiva

Sí, ustedes también ven venir el Tsunami por la lontananza, ¿verdad?…Si la Decisión de Puerto Seguro es incompatible con la Directiva y nula como consecuencia de ese texto y el mismo está presente en todas las Decisiones por las que la Comisión ha declarado que terceros países tenían un nivel de protección “adecuado”, resulta que todas estas Decisiones están heridas de muerte y a la espera de que cualquiera (Ej. un estudiante con ganas de hacer historia en esto del dato) las ponga en suerte para que el TJUE les aseste la estocada definitiva declarándolas nulas y acabando con la legitimidad de las transferencias internacionales a estos once países… y de paso con la credibilidad de la UE en cuanto a la regulación sobre protección de datos, que ya ha dejado maltrecha con la Sentencia.

Pero es que la cosa va más allá de las “transferencias internacionales”. Si tomamos la “eficacia de protección” como línea base y miramos a nuestros 27 compañeros de viaje en la UE, también podemos ver diferencias notables en cuanto a la forma en que la protección de datos se garantiza y en cómo se hacen cumplir las leyes de protección de datos en cada Estado. De hecho, también en estos Estados Miembros podríamos encontrar algún “garbanzo negro” con un gobierno excesivamente “cotilla” y poco amante de respectar la autodeterminación en lo que atañe a la captación de datos.

¿Podría quizás extenderse ese fervor proteccionista del TJUE para con los datos personales, a las transferencias NO internacionales a estos Estados Miembros de la UE? Desde luego que estos Estados Miembros no están en la misma posición que EEUU y, obviamente, no es que la Sentencia aplique a este escenario de forma evidente. Sin embargo, igual que a mí me asalta la duda, no descarto que alguna DPA bragada y harta de ver la laxitud con que algunos Estados Miembros protegen los datos personales, tome cartas en el asunto y abra la Caja de Pandora. Yo, por si acaso, me voy reservando butaca en primera fila…

TERCERO, Impacta Negativamente En La Economía de la UE

La anulación de la Decisión de Puerto Seguro no es una cuestión que afecte únicamente ni, de hecho fundamentalmente, a multinacionales norteamericanas. Tampoco es un asunto que tenga que ver principalmente con Internet. El que Facebook se viera envuelta en el caso es puramente circunstancial.

Este asunto afecta a la generalidad del tejido empresarial de la UE. Miles de empresas de todo tipo y tamaño utilizan recursos situados en EEUU (y/o se valen de proveedores europeos que usan tales recursos en Norteamérica) para almacenar y tratar datos personales en sistemas de recursos humanos, CRM, etc. Son servicios prestados por proveedores adheridos al esquema de Puerto Seguro. Hasta ahora, estas empresas de la UE estaban tranquilas porque los flujos de datos personales a estos proveedores en EEUU estaban legitimados por la Decisión de Puerto Seguro. Ahora, ya no lo están y tienen que tomar medidas que no son inocuas a nivel económico.

Montar, desmontar y volver a montar un esquema de transferencias internacionales, tiene costes evidentes tanto para responsables como para encargados. Aunque algunos desaprensivos intenten vestir la protección de datos de “saldillo” o incluso a “coste cero”, los costes están ahí y quien no los soporta es porque, simplemente, algo está haciendo mal. El tiempo y talento de las personas que buscan la mejor forma de hacer las transferencias, implementar esa forma redactando y negociando contratos y cláusulas y “debatiendo” con la ADP de turno, vale y debe costar lo que vale. Ustedes, profesionales de la privacidad, entienden de lo que hablo y saben cuánto vale lo que aportan, así que no me detengo más en ello.

Al margen de los costes, la declaración de invalidez de la Decisión de Puerto Seguro también impacta en los ingresos. Empresas de la EU pueden dejar de ser competitivas si no pueden acceder a tecnologías situadas en EEUU de forma alguna o a un precio razonable.

Finalmente, hay también que valorar los costes colaterales, como puede ser el enfriamiento de las relaciones comerciales con “el país más rico, poderoso e influyente de la Tierra” (según Wikipedia… el que escribió esa entrada no era de Albacete, eso seguro….) lo que, desde luego, nunca es bueno para los bolsillos de la UE ni de los que viven en ella.

CUARTO, Debilita la Posición de UE en el “Mundo del Dato” al Consolidar la Imagen de “Datera Radical” que Tiene Allende los Mares:

En la intervención que tuve el honor de hacer en el reciente III Congreso Nacional de Privacidad de APEP, presenté un análisis DAFO sobre el futuro de la privacidad. Allí señalé que ese futuro se veía amenazado por la perspectiva negativa que EEUU empezaba a tener de la normativa de protección de datos de la UE y la capacidad de EEUU de influir en otros países, por ejemplo vía acuerdos de libre comercio.

También mencioné que teníamos la oportunidad de convertir el modelo de protección de datos de la UE en una suerte de estándar que nos aupase por encima de terceros países, para el beneficio, entre otros, de los profesionales de la privacidad comunitarios. Aprovechar esta oportunidad requería mano izquierda, tacto, diplomacia y escucha activa para comprender la perspectiva de otros países (especialmente EEUU) y tratar de lograr soluciones equilibradas.

Pues bien, si ahora tras la Sentencia tuviera que presentar este análisis DAFO, creo que esa “radicalidad” que antes era amenaza pasaría a ser completa debilidad; una cualidad que se percibe como característica de la forma en que la UE maneja la protección de datos y que cierra puertas y entorpece diálogos.

Ya no es una cuestión – solo – de la normativa que, ciertamente, es restrictiva. Es la forma como se aplica lo que es especialmente extremo. La UE parece que usa la protección de datos como un ariete capaz de desintegrar cualquier obstáculo que se interponga por su camino y sin el menor miramiento.

No exagero ni un pelo. Juzguen los hechos: EEUU y la UE están negociando el llamado Puerto Seguro 2.0 para mejorar el esquema de transferencias internacionales a ese país y, en medio de tales negociaciones, ¡ZAS!, se publican las conclusiones del Abogado General para el asombro de todos y después, cuando todavía no se ha pasado el escozor de la primera bofetada, ¡ZAS! y ¡ZAS!, doble ración de “mano” y Sentencia al canto.

¿Tiene esto algún sentido? ¿No podía haber esperado el TJUE a publicar la Sentencia y no hacerlo en un tiempo record tras la publicación de las conclusiones? ¿No habría sido más lógico publicar las conclusiones del Sr. Bot a modo de advertencia y luego dejar que las negociaciones del Puerto Seguro 2.0 se cerrasen? Para mí, esto es extremismo.

Algunos me dirán que esa Sentencia tenía que dictarse pronto para condicionar el contenido del Reglamento General de Protección de Datos. Y yo ante ello, pregunto, ¿no tiene una institución de la UE como el TJUE capacidad para hacer llegar su mensaje de otra forma? Me parece que sí.

Así que, resumiendo, creo que tras la Sentencia nos va a costar bastante quitarnos el Sambenito de “dateros radicales” que nos atribuyen en la UE. Bye-bye a la oportunidad

QUINTO, Pone en Cuestión el Rol del Profesional de la Privacidad como Alguien que “Ayuda a Remar”

Probablemente ustedes, profesionales de la protección de datos, habrán tenido alguna vez la desagradable sensación (o lo se lo han reprochado directamente…) de que “los de negocio” consideraban que ustedes eran algo así como un “palo en las ruedas”

Dejando al margen algunos que parece que tienen un “15/1999” tatuado en el corazón, la culpa de que ello sea así no es para atribuible a los profesionales de la privacidad. Nos toca lidiar con una legislación estricta que muchas veces entorpece proyectos sin que se vea claro quién sale ganando con ello. Nuestros clientes internos y externos nos piden que hagamos microcirugía y nuestro legislador nos da una motosierra de dos motores… Difícil papeleta tenemos…

Y lo cierto es que los profesionales de la privacidad queremos y sabemos ayudar al negocio. Sabemos y queremos convertir el cumplimiento de la normativa de protección de datos en un activo. Sabemos y queremos…. ¡ZAS! y ¡ZAS! mientras estamos “sacando pecho” ante “los de negocio” con todo lo bueno que nuestro trabajo puede aportar, aquí llega la Sentencia cual bofetón que nos tocará explicar y aplicar y que, lo sabemos bien, “los de negocio” nos atribuirán a nosotros, matando al mensajero y abonando esa percepción de “palo en las ruedas”… Otro regalito del TJUE…

SEXTO, Incrementa la Protección de los Datos Personales De Los Ciudadanos de la UE y Ello Compensa Todo Lo Anterior …. A no… Espera… eso TAMPOCO

Mientras ustedes iban leyendo esta “propaganda liberal” que les he escrito, seguro el “angelito del dato” les susurraba al oído palabras tiernas que perseguían justificar todo lo malo que la Sentencia nos trae, sobre la base de la necesidad de proteger los datos personales y evitar que sean mal tratados en EEUU. Palabras como “no quedaba otra” o “la protección de datos bien lo vale” seguro que resuenan en sus tímpanos merced a los buenos oficios del “angelito”.

A mí, el “angelito del dato” me abandonó hace tiempo mascullando algo sobre que no tenía remedio. Sin embargo, si el “angelito” aun estuviera conmigo y se dirigiera a mí como a ustedes, tengo claro que le negaría la mayor y le diría que la Sentencia no solo no beneficia la protección de los datos personales que se alojan en EEUU, sino que la ha lesionado quizás de forma, tal vez, irreparable. En este caso aplica claramente aquello de “cualquier tiempo pasado fue mejor” y si no me creen, vean… vean y comparen el escenario de protección que había antes, con el que ha dejado la Sentencia:

Antes de la Sentencia:

  • Muchas organizaciones de la UE se venían apoyando en la Decisión de Puerto Seguro para transferir datos desde la UE a empresas en EEUU (proveedores, matrices, etc.)
  • Esas empresas en EEUU estaban certificadas Puerto Seguro ante la Federal Trade Comission (“FTC“).
  • Tales empresas estadounidenses tenían que cumplir con los Principios de Puerto Seguro, que eran normas respecto al tratamiento de datos personales de protección de datos más proteccionistas que las americanas y estaban, además, alineadas con las de la UE.
  • Dichas normas eran realmente respetadas por las empresas de EEUU (si uno duda de esto, es porque no conoce la responsabilidad que asume un CEO de una multinacional, cuando tiene que firmar un papelito que le dice a la FTC que cumple con los Principios de Puerto Seguro).
  • Según el TJUE, determinadas organizaciones del gobierno de EEUU tenían un acceso cuasi indiscriminado a los datos alojados por las empresas de EEUU y ese acceso no podía ser impedido por las empresas estadounidenses.

Desde que se publicó la Sentencia:

  • En general, las mismas organizaciones de la UE que se venían apoyando en la Decisión de Puerto Seguro para transferir datos desde la UE a empresas en EEUU, siguen con los datos personales alojados en EEUU. Los datos y sistemas no se han migrado ni “repatriado” ni es fácil hacerlo.
  • Las empresas que tratan los datos en EEUU pueden abandonar su certificación de Puerto Seguro ante la FTC al menos en lo que respecta a la UE. Ninguna ventaja hay mantenerla
  • Tales empresas estadounidenses ya no tienen que cumplir con los Principios de Puerto Seguro respecto de los datos personales de la UE que tratan. Sólo se encuentran sometidas a su regulación norteamericana, más laxa que la de la UE… pero también que la contenida en los propios Principios de Puerto Seguro.
  • Aquellas organizaciones del gobierno de EEUU que, según el TJUE, tenían un acceso cuasi indiscriminado a los datos alojados por las empresas de EEUU, siguen teniéndolo. Las empresas norteamericanas siguen sin poder impedirlo pero es que ahora, incluso, tienen menos razones para siquiera tratar de hacerlo
  • Las empresas europeas tienen que buscar soluciones alternativas para las transferencias internacionales a EEUU. Asumiendo que excepciones como la existencia de un contrato que justifica la transferencia, leyes que amparan la transferencia y similares no concurran (porque de lo contrario tampoco habría sido preciso recurrir al Puerto Seguro), creo que estas alternativas son solo dos: firmar cláusulas tipo (y pedir la autorización de la DPA cuando proceda) u obtener el consentimiento de los interesados.

Pues bien, ninguna de estas alternativas proporciona protecciones equivalentes a las que existían antes de anularse la Decisión Puerto Seguro:

Las cláusulas tipo (incluso con autorización de la DPA), establecen requisitos en cuanto al tratamiento de datos personales bastante “cómodos”, y desde luego, no más restrictivos que los Principios de Puerto Seguro. Con las cláusulas tipo no se incrementa la protección.

Pero es que, si de “protección efectiva” va la cosa como dice el TJUE, lo cierto es que la capacidad real que las cláusulas tipo tienen para compeler al importador de datos en EEUU a cumplir con tales requisitos, es de broma en comparación con la que existía bajo el esquema de Puerto Seguro, donde la FTC, actuaba cual Can Cerbero, custodiando el esquema de auto-certificación con celo y exigiendo a las entidades norteamericanas que se adherían, su cumplimiento… y si no me creen, Googleen un poco sobre ello y vean cómo se las gasta la FTC cuando le da por poner orden…

Pasamos ahora a la segunda alternativa. El consentimiento es ciertamente una opción que está disponible y que puede legitimar las transferencias a EEUU. Ahora, bien ¿protege realmente algo? Quiero decir, en la actual situación y estando los datos ya en EEUU, los interesados solo podrán consentir que sus datos viajen a EEUU, para que sean tratados con un régimen menos proteccionista que el del Puerto Seguro e incluso que sean accedidos de forma indiscriminada por el gobierno de EEUU… Tal cual eso es lo que tienen que consentir. El consentimiento no tiene la virtud de mejorar el tratamiento que se hace con los datos. No sumirá a los importadores de EEUU en un marco regulador óptimo ni hará que ese gobierno americano que el TJUE dice que accede a los datos, deje de acceder.

Es decir, si pedimos el consentimiento de los interesados, puede que “formalmente” cumplamos la normativa de protección de datos. Ahora bien, ¿estamos protegiendo de verdad los datos personales? Yo diría que no. Simplemente estamos pidiendo a los interesados que nos permitan no protegerlos… o, en las actuales circunstancias, protegerlos menos que cuando la Decisión de Puerto Seguro estaba en vigor.

Y si ustedes me dicen que si los interesados tienen que consentir “esa cosa” entonces el consentimiento no es libre y no vale, yo estaré de acuerdo… y tendremos una alternativa menos para solventar el problema de la invalidez del Puerto Seguro… La Sentencia viene con guarnición de lentejas…

Como se ve, al invalidar la Decisión de Puerto Seguro se ha creado una “tormenta perfecta” donde cualquier alternativa que adoptemos con las herramientas que la ley nos proporciona, conduce a que los datos personales transferidos desde la UE a EEUU sean tratados con una protección inferior a la que existía cuando bajo el esquema de Puerto Seguro. Esto es: no solo no hemos ganado en protección sino que hemos perdido la poca (o no tan poca) que teníamos antes… Si, a mí también se me quedo esa cara…

Pero es que, además, esa “tormenta perfecta” amenaza con instalarse y quedarse sobre la UE dejándola más oscura que Mordor, ya que el Puerto Seguro 2.0 actualmente en negociación y que antes se veía como una solución al “problema de protección de datos en EEUU” puede que no lo sea ya, si las empresas norteamericanas no se deciden no certificare bajo el nuevo Puerto Seguro. Ello podría ocurrir ya que, en primer lugar, las empresas norteamericanas están “escocidas” con la Sentencia y hay que esperar que no confíen mucho en la seriedad de la UE respecto al Puerto Seguro 2.0 (gato escaldado…) y, en segundo, si las empresas europeas han firmado ya cláusulas tipo y/o pedido consentimientos (según lo arriba indicado) y pueden transferir los datos a EEUU sin certificación de los importadores estadounidenses, está claro que la certificación se convierte en algo menos atractivo para tales importadores.

Y, tras explicarle esto, acabaría mi conversación con el “angelito del dato” de la misma forma que titulé este artículo, diciéndole que para este viaje que hemos hecho de la mano del TJUE al “mundo de la desprotección de datos”, no era menester unas alforjas tan gordas y pesadas como estas en forma de Sentencia, con las que la economía, el tejido empresarial y los profesionales de la privacidad de la UE tendremos que cargar creo que bastante tiempo y que no harán otra cosa que lastrar oportunidades que eran ciertas u teníamos y que ahora se ven poco alcanzables.

* * *

Gonzalo F. Gállego Higueras

Abogado. Socio de Hogan Lovells

Twitter: @gfgallego

LinkedIn: https://es.linkedin.com/in/gonzalofgallego

Blog personal: www.detidat.com