Derecho de la Unión Europea, Jurídico 


Facebook, la Unión Europea y la protección de datos personales

La reciente sentencia dictada por el Tribunal de Justicia de la Unión Europea el pasado 6 de octubre en materia de transferencia internacional de datos personales (STJUE C-362-14 de 6 de octubre de 2015) ha supuesto un golpe histórico para la todopoderosa Facebook en lo que respecta al envío a su sede en Estados Unidos de información relativa a los usuarios europeos de la red. Se trata, además, de una resolución judicial que, salvo novedades futuras, podría tener enormes consecuencias sobre el negocio de una gran cantidad de empresas domiciliadas en el país norteamericano cuyo modelo actual se basa en el uso de big data procedentes de territorios dentro de la Unión Europea.

Base normativa

La Directiva 95/46/CE es la base normativa a nivel europeo en lo que respecta a la protección de datos personales. Su transposición en los países de la Unión no sólo derivó en la creación de organismos nacionales de control (en nuestro caso, la Agencia Española de Protección de Datos), sino que también introdujo toda una serie de principios y garantías relacionadas con la transferencia de datos personales. En lo que respecta al envío de datos a países extranjeros, el artículo 25.1 de la misma dispone que “…su transferencia, únicamente pueda efectuarse cuando, sin perjuicio del cumplimiento de las disposiciones de Derecho nacional adoptadas con arreglo a las demás disposiciones de la presente Directiva, el país tercero de que se trate garantice un nivel de protección adecuado.” A la hora de determinar si un país cumple con el nivel adecuado anteriormente comentado, se tendrán en cuenta varias circunstancias como la naturaleza de los datos, la finalidad de la transferencia, etc, aunque el artículo 25.6 permite que la Comisión pueda declarar que un país tercero garantiza un nivel de protección adecuado en razón de su legislación interna o de sus compromisos internacionales.

Años después, es en este contexto cuando la Comisión, en su decisión de 26 de julio de 2000 (Decisión 200/520/CE o “Decisión Puerto Seguro”) determina que Estados Unidos es un territorio seguro para la transferencia de datos personales procedentes de la Unión Europea.

Antecedentes

Big data

Facebook, la Unión Europea y la protección de datos personales

La sentencia que hoy nos ocupa trae causa de la cuestión prejudicial elevada por el Tribunal Supremo de Irlanda a raíz de un caso en el que un usuario austriaco de Facebook (D. Maximillian Schrems) denuncia que sus datos, como los de todos los demás usuarios de la Unión, son transferidos total o parcialmente de la filial en Irlanda de la empresa a servidores ubicados en los Estados Unidos. El motivo de su denuncia estriba en que, tras las revelaciones realizadas por el antiguo agente de la CIA y la NSA norteamericano, Edward Snowden, el señor Schrems considera que Estados Unidos no es un lugar seguro para el tratamiento y la transferencia internacional de datos, ya que su ordenamiento jurídico no garantiza un nivel de protección suficiente frente a las injerencias y actividades de vigilancia llevadas a cabo por las autoridades públicas. Sin embargo, la autoridad irlandesa encargada de la protección de datos personales desestimó la reclamación del señor Schrems alegando que la Decisión Puerto Seguro de la Comisión había confirmado que Estados Unidos gozaba de un nivel adecuado de seguridad para el tratamiento de datos. El señor Schrems, no conforme con la decisión, lleva el caso ante el Tribunal Supremo de Irlanda, que eleva la referida cuestión al Tribunal de Justicia de la Unión Europea con un objetivo muy claro: conocer si la Decisión Puerto Seguro puede ser un obstáculo real que impida a las autoridades nacionales investigar una denuncia que manifieste que un país tercero no garantiza un nivel de seguridad suficiente y saber si, en su caso, tal autoridad nacional está legitimada para suspender la transferencia de datos afectada.

Contenido de la sentencia y aplicabilidad

La STJUE C-362-14 de 6 de octubre de 2015 es clara al respecto y ha declarado completamente inválida la Decisión 200/520/CE, alegando que EEUU no cumple con un nivel adecuado de seguridad en el tratamiento de los datos personales pertenecientes a ciudadanos de la UE, ni aunque las empresas afectadas sean empresas adheridas al sistema de Puerto Seguro. Por ello, exhorta a las autoridades nacionales en materia de protección de datos a cumplir con su deber de protección de los derechos fundamentales de los ciudadanos en caso de recibir denuncias, habilitándoles incluso a cesar la transferencia de datos a países terceros en caso de probarse su inseguridad, sin importar que haya decisiones de la Comisión Europea que puedan declarar ese territorio como adecuado para la recepción de datos. En este sentido, el sistema de Puerto Seguro no es válido y no supone un obstáculo para que las autoridades nacionales entren a valorar la seguridad de las transferencias de datos a EEUU por parte de una empresa cualquiera y, en su caso, las prohíban, que es lo que podría suceder con Facebook.

En este contexto, es importante señalar que los motivos que han llevado al TJUE a esta decisión son, principalmente, dos:

  • Las normas en materia de seguridad nacional, interés público y cumplimiento de la ley estadounidense prevalecen sobre el sistema de Puerto Seguro, por lo que las entidades radicadas en tal país están obligadas a aplicar ilimitadamente los sistemas de protección de estas exigencias (por ejemplo, la cesión de datos a organismos como la CIA o la NSA) en caso de conflicto.
  • Las personas afectadas por este tipo de transferencias internacionales (en el caso de Facebook, sus usuarios) no disponen de vías legales que les permitan acceder, rectificar, cancelar u oponerse a sus datos personales (lo que se viene conociendo como “derechos ARCO”).

Por su parte, la AEPD se ha limitado a publicar una nota de prensa en su página web, en la que subraya la necesidad de lograr una posición común de las diferentes autoridades nacionales en materia de protección de datos y de que se habiliten mecanismos seguros de transferencia de datos a países fuera de la UE que respeten los derechos ARCO. Sin embargo, también recalca que no dejará de investigar aquellas denuncias presentadas por ciudadanos de la UE respecto de la seguridad en el tratamiento de sus datos y que “…las transferencias que aún se estén llevando a cabo bajo la Decisión Puerto Seguro tras la sentencia del TJUE son ilegales.” Asimismo, indica un plazo máximo (enero de 2016) para llegar a una solución negociada con las autoridades estadounidenses, solución que, de no darse, podrá desembocar en una acción conjunta y coordinada de aplicación y ejecución de la ley (enforcement) por parte de las autoridades nacionales en materia de protección de datos.

Consecuencias

Personal data

Big data

A pesar de todo, la política de multitud de empresas parece estar centrándose en seguir utilizando provisionalmente el sistema de transferencia de datos personales a través del Puerto Seguro, basándose en las actuaciones del resto de compañías y en la prudencia empresarial, mientras continúan a la espera de novedades en las negociaciones entre EEUU y la UE con respecto a la creación de una nueva plataforma más fiable. Sin perjuicio de lo anterior, muchas empresas tomarán también las medidas previstas para la transferencia segura de datos personales a países que no garantizan un nivel adecuado (y que hasta ahora, en EEUU sólo se utilizaban con aquellas entidades no adheridas al sistema de Puerto Seguro), como son modificar las cláusulas utilizadas en los contratos (utilizando las llamadas Cláusulas Contractuales Tipo aprobadas por la CE), detallar la forma de obtención del consentimiento y exigir mayores requisitos en la recogida de datos (sirviéndose de las Binding Corporate Rules).

En vista de lo anterior, aunque se trate de una situación transitoria a la espera de resultados en las negociaciones intercontinentales, debe recordarse que la persistencia en el uso del sistema Puerto Seguro por las empresas es ilegal, pese a que parezca poco probable que las autoridades nacionales vayan a proceder de oficio a la investigación del nivel de cumplimiento en materia de protección de datos por parte de todas las empresas con sede en EEUU. Por el momento, las autoridades nacionales podrán proceder a informar de manera directa a todas las empresas respecto de las cuales conste la utilización del sistema de Puerto Seguro; esto puede ser peligroso, ya que, al existir un registro de las empresas adheridas a este mecanismo, existe la posibilidad (la Directiva les habilita y la STJUE así lo ha confirmado) de que decidan poner en marcha los anteriormente comentados mecanismos de enforcement. A este respecto, es beneficioso para las empresas incorporar a sus transferencias de datos fuera de la UE los sistemas de Cláusulas Contractuales Tipo y las Binding Corporate Rules, que, aunque no hacen imposible el riesgo de investigación por parte de las autoridades, sí ofrecen mayores garantías y pueden jugar en su favor a la hora de evaluar el nivel de cumplimiento de la Directiva. En cualquier caso, y como conclusión, debe tenerse en cuenta que, tratándose de derechos fundamentales irrenunciables los protegidos por la Directiva, ningún tipo de acuerdo privado empresarial evitará que las autoridades en materia de protección de datos ejerzan sus poderes con el fin de evaluar el nivel de seguridad de los métodos de transferencia utilizados para remitir datos de la UE a terceros países como EEUU.

Vía| STJUE C-362-14 de 6 de octubre de 2015, Nota de prensa AEPD

Imagen| Big data, personal data


RELACIONADOS