¿Qué pasa con mis datos personales y los de las empresas una vez invalidado Safe Harbor?


 

Por Rafael Varela Tabarés

+

Ayer 6 de octubre de 2015 se conoció la sentencia del Tribunal de Justicia Europeo (TJUE) que invalida el acuerdo que permitía transferir datos de usuarios europeos a servidores ubicados en EEUU, en base al acuerdo de “puerto seguro o Safe Harbor”.

El motivo es que las empresas que operan en EEUU no garantizan, o mejor dicho, la normativa y la práctica de las actividades de los servicios de información de Estados Unidos (NSA), no garantizan un nivel adecuado de protección de los datos personales transferidos.

En primer lugar veamos en que consiste el acuerdo de “puerto seguro o Safe Harbor”

Este acuerdo permitía que las empresas ubicadas en los EEUU pudieran recibir y tratar los datos personales transferidos desde entidades Europeas, en base a la certificación de cumplimiento de requisitos que garantizasen el tratamiento conforme a la directiva Europea.

Mediante su adhesión, estas empresas pasaban a ser consideradas como garantes de un nivel adecuado de protección de los datos personales transferidos de Europa a EEUU.

La denuncia que lo desata todo, y los antecedentes que la motivaron.

Todo empieza a raíz de la denuncia de Max Schrems, ciudadano austriaco, usuario de Facebook, cuyos datos (como los de todos nosotros) se transfieren de la filial irlandesa de la red social a servidores situados en territorio EEUU, donde son objeto de tratamiento. El Sr. Schrems presentó una denuncia ante la autoridad irlandesa de control, considerando que, tras las revelaciones realizadas por Edward Snowden en relación con las actividades de los servicios de información de Estados Unidos, sus empresas no podrían garantizar una protección suficiente de los datos transferidos a ese país, motivadas por las actividades de vigilancia de sus autoridades.

Aunque hemos dicho que todo empieza con la denuncia, la verdad es que comienza en el momento en que, caen las torres gemelas en los desgraciados atentados del 11S, y EEUU implanta un sistema de vigilancia y control sistemático de la información en base a “La Ley Patriota” o “USA PATRIOT Act”. Ante el eterno dilema de elegir entre seguridad y derechos constitucionales, se optó por restringir derechos para garantizar la seguridad nacional.

Posteriormente, la lucha entre EEUU y la UE por el control de la privacidad, a raíz del cariz que el caso PRISM y SNOWDEN alcanzó, convirtiéndose en un espionaje masivo, la canciller Alemana, Angela Merkel, manifestó hace apenas 2 años, su postura de “endurecer las normas de protección de datos en Internet de la UE y por forzar a las compañías de Internet a ser más abiertas en sus políticas en este sentido tras los escándalos de espionaje protagonizados por el Gobierno de Estados Unidos”.

En definitiva: Qué pasa con mis datos personales y los de las empresas que tenga sus datos alojados en EEUU (Cloud)

Aunque veremos cómo se aplica, pues la decisión del Tribunal de Justicia Europeo no prohíbe de manera automática transferir datos de usuarios desde Europa a EEUU, pero sí que da vía libre para que los países miembros de la UE decidan si ese acuerdo es ilegal o no en cada país.

La sentencia afectará sobre todo A NUESTRAS EMPRESAS, en la medida en que tengamos nuestros datos en servicios de la nube o cloud computing, algo muy habitual dadas sus múltiples ventajas, y en menor medida a las tecnológicas estadounidenses con presencia en Europa, como Facebook, Google, Microsoft, Amazon, Apple, Dropbox, etc. pues seguramente terminarán cumpliendo con la simple modificación de sus políticas de privacidad.

Nuestros datos personales, los que nosotros proporcionamos a las grandes compañías, como decimos siempre, los ofrecemos a cambio de la gratuidad de sus servicios y aceptaremos cualquier clausula que nos impongan, viajarán a los EEUU y allí serán tratados, sin “garantías”, pero al fin y al cabo tampoco tenemos nada que esconder, ¿verdad?

Veremos qué pasos dan las autoridades de control Europeas y que base jurídica normativa alternativa se presenta, si es que se presenta, o se traduce en una nueva versión de dicho acuerdo o en el futuro, deseado y anhelado nuevo Reglamento General de Protección de Datos se hiciese alguna referencia.

De momento os dejamos la sentencia, y las notas de prensa de la AEPD y del Tribunal de Justicia de la Unión Europea.

Rafael Varela Tabarés