Analizamos cómo afecta a la empresa española el nuevo escenario tras la anulación del “Safe Harbor”
Mientras la normativa europea de protección de datos personales sigue en revisión, tratando de adaptarse a la realidad tecnológica, con un Reglamento de nuevo cuño y una Directiva de protección de datos en materia de colaboración policial y judicial en el lago proceso de aprobación legislativa, el TJUE sigue dinamizando la disciplina a cuenta de sus resoluciones sobre casos que le llegan por actuaciones de ciudadanos europeos.
¿Qué situación tenemos? ¿Cuál es la postura de la AEPD?.¿Qué deben hacer los responsables de ficheros afectados por la inaplicación del “Puerto Seguro”?.¿Qué alternativas hay?.
Todo empezó con Max
A Maximillian Schrems le reconozco y admiro su atrevimiento, coraje y capacidad de lucha para enfrentarse a lo que, con la Ley en la mano, entendía que se conculcaban los preceptos de protección de sus datos personales frente a una todopoderosa multinacional (Facebook), más poderosa en este caso, si cabe, por ser su “materia prima” productiva los datos de todos los que tenemos cuenta con ellos (y de algunos que, no teniéndola, también pueden verse comprometidos – piénsese en una etiqueta de fotografía en la que aparecemos -).
Para quien no conozca el detalle de esta entradilla, señalar que Maximillian es un joven ciudadano austriaco (si no me equivoco, en caso contrario mis disculpas) el cual, ante la noticia de que citada empresa, con sede en EE.UU. y filial para la U.E. en Irlanda, transfería los datos de sus usuarios a sus servidores en EE.UU., decidió ejercitar los derechos sobre sus datos personales, que todos las personas somos acreedores en base a un derecho universal y que, los europeos, ostentamos en base al derecho positivo comunitario y sus correspondientes transposiciones en las legislaciones nacionales de cada uno de los 27 países que conforman la U.E.
Maximillian entendía que no era legal la transferencia internacional de datos que Facebook efectúa a EE.UU. de sus usuarios (europeos en este caso, pero de todo el mundo por su ámbito global) por no darse el mismo nivel de protección por la legislación norteamericana que el exigido por la normativa europea, puesto claramente de manifiesto en las revelaciones de Edward Snowden de cómo se las gastan allende el Atlántico (por aquí también, no seamos hipócritas ni ignorantes, pero tenemos menos medios y empresas de este calibre que hagan de puerta de enlace a gobiernos y agencias de seguridad). Pues bien, su primera reclamación ante la agencia de protección de datos irlandesa (sede de la filial en Europa de la Empresa) fue desestimada. Lejos de conformarse, recurrió la resolución de la Agencia irlandesa al Tribunal Supremo Irlandés y este presentó incidente (consulta) ante el Tribunal de Justicia de la Unión Europea, el cual, el pasado 6 de octubre de 2015 le dio la razón al demandante (el procedimiento es bastante más complejo de lo que aquí señalo muy resumidamente, para quien quiera profundizar, puede acudir a la Sentencia del TJUE en el asunto C-362/14 Maximillian Schrems/Data Protection Commissioner)
Y ¿en qué le han dado la razón al demandante?. Pues nada más y nada menos que en considerar que la Decisión 2000/520 de la Comisión Europea es inválida. Muy bien, ¿y qué?. Pues que esta Decisión fue la que dio lugar y base jurídica a los acuerdos de “Puerto Seguro” o “Safe Habor” por los que se permitía el trasvase de datos desde la UE a empresas norteamericanas que se encontrasen adheridas a estos acuerdos.
Ahora, sin “Puerto Seguro”
Los requisitos para estar incluido en el acuerdo de “Puerto Seguro” básicamente son: solicitar la inclusión en el registro (Safe Habor List) y mantener actualizada la misma, haciendo una declaración de cumplimiento de protección y seguridad en el tratamiento de los datos personales. No mucho más.
El número de empresas norteamericanas registradas en “Safe Habor” viene a ser de 3.500 aproximadamente. La problemática que nos viene, más que en su número está su importancia, sobre todo en el mundo digital y en lo que afecta a la gestión de los datos personales que hacen muchas empresas europeas usando los servicios que nos ofrecen Google, Microsoft, Apple, Yahoo, MailChimp, Dropbox, WhatsApp, Facebook, … Que levante la mano aquel que en su organización no usa o ha usado nunca un Google Analytics, un Drive, un Dropbox, Onedrive, …, creo que pocos levanta la mano.
Hasta el momento veníamos utilizando estos servicios con normalidad, la Agencia lo único que nos pedía es que declarásemos la transferencia internacional al amparo de la cobertura de EE.UU. – Puerto Seguro y, salvo pedirnos alguna aclaración o dato adicional, quedaba bendecido (esto para quién cumpliese con sus obligaciones, muchos usan estos servicios sin reparar en que estén realizando una TI y ni siquiera proceden a su normalización), pero ahora las cosas cambian y mucho, con una afectación importante para muchas actividades empresariales, muy especialmente autónomos y pequeñas empresas que no cuentan con recursos e infraestructura suficiente para sustituir servicios (muchos gratuitos o de bajo coste).
Cada autoridad nacional debe actuar
La sentencia del TJUE no impide por sí el uso de servicios de empresas norteamericanas al amparo de los principios de Puerto Seguro, deja tal decisión a las autoridades nacionales de los Estados miembros. ¿Qué está ocurriendo en España?.
La Agencia Española de Protección de Datos ha remitido masivamente requerimientos a los responsables de ficheros que hacen TI a EE.UU – Puerto Seguro, haciéndoles saber que esta normativa ya no está en vigor, que procedan a informar de la situación al respecto, aportando reseña de los medios legales alternativos que habilitan la realización de una TI a un territorio que no ofrezca el mismo nivel de protección que el otorgado por la normativa europea. La fecha límite para contestar a este requerimiento es el 29 de enero de 2016.
El responsable de ficheros ante el nuevo escenario
¿Qué deben hacer los responsables de ficheros afectados por la inaplicación del “Puerto Seguro”?, ¿Qué alternativas tenemos?
Desde luego lo que no debemos de hacer nunca es dejar de contestar el requerimiento que nos hace la Agencia.
Una forma de contestación es solicitar la baja de las transferencias internacionales declaradas y, evidentemente, dejar de usar los servicios que suponían una TI. Por tanto, tendremos que analizar cuáles servicios de los que disfruto al amparo de la legislación que ahora queda anulada me afectan y, afectándome, si son necesarios o imprescindibles para mi y mi negocio.
¿Hemos hecho este análisis? … Bien, seguro que se os hace imprescindible seguir contando con el Analytics de vuestra página Web – por ejemplo -.Recordar, contestar fundamentadamente tenemos que contestar, así que veamos los siguientes opciones.
Las vías alternativas
Por una parte, podemos encontrar legitimación para seguir realizando la transferencia internacional en otros instrumentos jurídicos que nos sustituyan el acuerdo de puerto seguro, ¿cuáles?:
- las Cláusulas Contractuales Tipo.
- Contrato bilateral con el proveedor.
Es decir, tendremos que estudiar si nuestro proveedor nos puede ofrecer una de estas dos soluciones jurídicas. De la segunda, casi, casi, nos olvidamos salvo que seamos una gran empresa o institución con capacidad de negociación con los gigantes de Internet. De la primera, estaremos a la calidad del proveedor. Y digo bien, para mi es una prestación que me va a definir si mi proveedor me ofrece un servicio que él mismo valora y posiciona como preferente para sus usuarios o si, por el contrario, vamos a la cola del vagón o de proveedor. También me puede valer para distinguir si para el proveedor soy un mero usuario masa o tengo la categoría de cliente
La cláusulas tipo nos las debe emitir y facilitar el proveedor en base al cumplimiento de los aspectos que otras tres Decisiones comunitarias recogen.
No tenemos ni contrato bilateral, ni cláusula tipo. Siguiente opción: nos podemos amparar en alguna de las excepciones, que para poder realizar legítima y legalmente una TI, recoge el artículo 34 de la L.O.P.D.:
- Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.
- Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.
- Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
- Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
- Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
- Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
- Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
- Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.
- Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
- Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.
- Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.
¿Nos encontramos en alguna?, siguiendo el ejemplo de un Analytics, difícil lo veo.
¿Qué nos queda?. Llegados a este punto, solo veo dos opciones. La primera, intentar cambiar de proveedor para irnos a la excepción nº 11. La segunda, pedir permiso a todo afectado por la TI, lo que sería fabricarnos la excepción nº 5 “cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista”. ¡Ojo!, en esta segunda opción, tendremos la carga de la prueba y deberemos acreditar en un procedimiento de inspección que hemos recabado el consentimiento.
¡Menuda nos has liado Maximillian!
No dejéis de actuar, nos espera un 2016 con más que posible actividad inspectora de la Agencia. Desde Soluteca podemos buscar la mejor solución a vuestro caso.
Autor: David García. Soluteca