¿Que es «Safe Harbor»?: Implicaciones de la anulación de este acuerdo.

¿Qué significa SAFE HARBOR?

Un “safe harbor” es una disposición de una ley o reglamento que especifica que cierta conducta no viola una norma.

¿A qué se llama SAFE HARBOR en el ámbito de la privacidad?

Cómo es por todos conocido muchas de las empresas que prestan servicios a través de la red tienen su sede principal en EEUU.

24 de Octubre de 1995: La Directiva 95/46/CE estableció estrictas protecciones para garantizar la privacidad de los ciudadanos europeos, entre ellas, prohíbe a las empresas europeas la transmisión de datos personales desde la UE a terceros países que no garanticen un nivel de protección adecuado (Considerandos 56 y 57). En España, por ejemplo, la norma general para habilitar transferencias internacionales de datos es la previa autorización de la Directora de la Agencia Española de Protección de Datos, quien examina si esos terceros países contemplan o no niveles de protección adecuados.

No obstante, la UE sabedora de la importancia del flujo de datos a terceros países para las empresas, abrió la puerta a contemplar excepciones en aquellos casos en los que los beneficiarios extranjeros se comprometan a cumplir voluntariamente las normas de la Unión Europea (Considerandos 58, 59 y 60). Entre ellas, la aprobación de una Posición de la Comisión por la que se garantiza un nivel adecuado de protección. Este sería el caso del acuerdo SAFE HARBOR.

26 de Julio de 2000: En este contexto, el acuerdo “Safe Harbor” en materia de privacidad hace referencia a un proceso de cooperación por el que determinadas empresas de Estados Unidos interesadas en recibir información personal procedentes de Europa para, por ejemplo, prestar servicios a empresas europeas cumplen con la normativa de la Unión Europea relativa a la protección de datos personales.

Fueron desarrollados por el Departamento de Comercio de Estados Unidos en colaboración con la Unión Europea y aprobadas por la Comisión de la UE el 26 de Julio de 2000 y conforman una serie de principios a los que las empresas estadounidenses se podían adherir voluntariamente si así lo estimaban oportuno, declarando, bajo su exclusiva responsabilidad, el cumplimiento de las obligaciones con las que, al menos a priori, los datos se protegían de una forma similar a como establece la UE.

¿En qué consistía SAFE HARBOR?

Como he explicado era una Decisión de la Comisión Europea. Para optar a incorporarse al programa “safe harbor” o “puerto seguro”, las empresas estadounidenses debían cumplir con los siete principios de la Directiva 95/46/CE:

• NOTICE: Notificación o Información; los interesados deberán ser informados de que sus datos personales están siendo recogidos y que serán tratados únicamente con la finalidad para la que fueron recogidos y de la identidad del responsable de tratamiento.

• CHOICE: Opción, Elección, Consentimiento o Poder de Decisión; los interesados tendrán el derecho a que sus datos sean tratados una vez sea recabado su consentimiento a tal efecto y a oponerse al tratamiento así como a la cesión o transferencia a terceros.

• TRANSFERS TO THIRD PARTIES: Transferencia ulterior o progresiva; la cesión de datos a terceras empresas se llevará a cabo con organizaciones que también garanticen un adecuado nivel de cumplimiento de protección de datos.

• SECURITY: Seguridad; se deben establecer y cumplir “precauciones razonables” de seguridad para prevenir pérdidas de información y accesos no autorizados.

• DATA INTEGRITY: Integridad de los datos (Finalidad y Proporcionalidad); los datos deberán ser relevantes y exactos para el propósito para el que fueron recogidos.

• ACCESS: Acceso; los interesados podrán acceder en todo momento a la información que haya sido recabada acerca de ellos y podrán corregirla o eliminarla si es inexacta o inadecuada.

• ENFORCEMENT: Aplicación o Ejecución; se deben destinar medios y recursos para garantizar el debido cumplimiento de estos principios.

¿Por qué se ha anulado?

“Max Schrems vs Facebook” o “Europe vs Facebook”.

Max Schrems, austriaco de 28 años, es un estudiante de derecho en Universidad Santa Clara en Silicon Valley (California). Se define como activista de la privacidad. Usuario de Facebook desde 2008.

Facebook es una empresa estadounidense con filial en Irlanda. Los datos proporcionados por los usuarios se transfieren desde esa filial a servidores situados en EEUU, donde son objeto de tratamiento.

En 2011 el Sr. Schrems solicitó de esta compañía acceso a sus datos personales y recibió un CD con más de 1.200 páginas de datos. La información recabada por Facebook incluía:

• Su lista de amigos

• Su lista de amigos eliminados de la lista de amigos

• Sus mensajes personales

• Los eventos a los que había acudido

• Sus mensajes personales por él eliminados

En Junio de 2013, un antiguo empleado de la CIA y de la National Security Agency (NSA), Edward Snowden, consultor tecnológico estadounidense de 30 años, hizo públicos a través de medios de prensa escrita documentos clasificados de alto secreto sobre varios programas de la NSA, incluyendo los de vigilancia masiva como el PRISM.

Snowden justificó la revelación en su empeño en destapar el “Estado de Vigilancia” existente en EEUU e “impedir que el gobierno de EEUU destruya la Privacidad, la libertad en Internet y las libertades básicas de la gente de todo el mundo con esta gigantesca máquina de vigilancia que están construyendo en secreto”.

El PRISM es un potente programa de vigilancia electrónica considerado confidencial del que se ocupa la NSA desde 2007. Es la fuente principal de información para vigilancia de las comunicaciones efectuadas por ciudadanos que vivan fuera de EEUU, aunque se mantiene la sospecha de que el alcance sea realmente universal. Por medio del PRISM, la NSA obtiene, entre otros datos, direcciones de email, videos, chat de voz, fotos, direcciones IP, notificaciones de inicio de sesión, transferencia de archivos y detalles sobre perfiles en redes sociales.

Facebook reaccionó y declaró el 6 de Junio de 2013: “Nosotros no proveemos acceso directo a los servidores de Facebook a ningún organismo gubernamental. Cuando a Facebook le son requeridos datos o información acerca de personas específicas, verificamos cuidadosamente que la petición cumpla con las leyes vigentes y solo proporcionamos información autorizada por ley.

Ante tales revelaciones que cuestionaban con contundencia la protección de los datos transferidos desde la UE a EEUU frente a las actividades de vigilancia por las autoridades públicas, el Sr. Schrems presentó una denuncia ante la Autoridad de Control Irlandesa (la equivalente a la Agencia Española de Protección de Datos). Este organismo desestimó la reclamación argumentando que en su Decisión de 26 de Julio de 2000, la Comisión Europea había considerado que, en el marco del “Safe Harbor”, EEUU garantiza un nivel adecuado de protección de los datos personales transferidos.

No conforme con la resolución, el Sr. Schrems interpuso un recurso del que conoció la High Court de Irlanda (equivalente al Tribunal Supremo en España), la cual elevó consulta al Tribunal de Justicia de la Unión Europea sobre si esa decisión de la Comisión impide a una Autoridad Nacional de Control investigar una denuncia en la que se alega que un país tercero no garantiza un nivel de protección adecuado y, en su caso, suspender la transferencia de datos denunciada.

El pasado 6 de octubre, el Tribunal de Justicia de la Unión Europea anuló la decisión de la Comisión Europea que autorizaba las transferencias de datos personales a empresas estadounidenses adheridas a los principios plasmados en el acuerdo de “Puerto Seguro” formalizado entre los Estados Unidos y la Unión Europea.

Los motivos de la declaración de Invalidez son, en síntesis, los siguientes:

1º) Con carácter general, aunque el pronunciamiento acerca de si una decisión de la Comisión es válida o no, corresponde exclusivamente al Tribunal de Justicia de la Unión Europea, la existencia de una decisión de la Comisión no puede dejar sin efecto ni anular las facultades de las que disponen las Autoridades de Control en orden a la protección de datos personales.

2º) Respecto a la validez o no de la decisión de la Comisión, resulta que la Comisión Europea estaba obligada a comprobar si efectivamente EEUU garantiza un nivel de protección de los derechos fundamentales equivalente al garantizado por la UE, limitándose sólo a analizar el régimen de Safe Harbor.

3º) Las obligaciones del Safe Harbor sólo obligan a aquellas compañías estadounidenses que han decidido voluntariamente adherirse a él, por lo que, las autoridades públicas de EEUU no están sometidas a dicho régimen. Además, las exigencias de seguridad nacional, interés público y cumplimiento de la ley de EEUU (Patriot Act) prevalecen sobre el Safe Harbor de tal forma que las entidades estadounidenses están obligadas a dejar de aplicar, sin limitación, las reglas de protección previstas por este acuerdo cuando entren en conflicto con las citadas exigencias.

4º) El Safe Harbor lesiona el contenido esencial del derecho fundamental al respeto a la vida privada desde el momento en que las autoridades públicas pueden acceder de forma generalizada al contenido de las comunicaciones electrónicas. Asimismo, vulnera el contenido esencial del derecho fundamental a la tutela judicial efectiva porque no prevé posibilidad alguna de que el ciudadano ejerza acciones de derecho para acceder a los datos personales que le conciernen o para obtener su rectificación o supresión. Además, priva a las autoridades de nacionales de control de sus facultades sin que disponga de competencia para hacerlo.

¿Qué consecuencias tiene la anulación?

La sentencia obliga a la Autoridad Irlandesa de Control a examinar la reclamación del Sr. Schrems “con toda la diligencia exigible” y al término de su investigación, decidir si, en virtud de la directiva, debe suspenderse la transferencia de los datos de los usuarios europeos de Facebook a EEUU porque ese país no ofrece un nivel adecuado de protección de los datos personales.

Lo cierto es que, en este momento las transferencias a EEUU que están teniendo lugar bajo SAFE HARBOR son ilegales y obligan a negociar un nuevo acuerdo que garantice un mejor nivel de protección. En estos momentos, cualquier estado miembro puede bloquear el envío de datos personales a EEUU, esto es, para el caso de España, el criterio de la Agencia Española de Protección de Datos prevalece sobre el de la Comisión europea de 26 de julio de 2000.

Por tanto, esta sentencia tiene repercusión importante sobre la forma en la que a partir de ahora se realizarán las transferencias internacionales de datos a Estados Unidos, especialmente en lo relativo a la utilización o contratación de servicios online de tipo SaaS (software as a service).

En la práctica, toda actividad empresarial pero, en mayor medida la ligada al comercio electrónico, utiliza herramientas de marketing y en la venta online que incluyen aplicaciones o servicios de compañías estadounidenses, lo que supone que los datos tratados por esas plataformas se transmiten a servidores ubicados físicamente en ese país. Servicios de hosting, motores de reservas, o el uso de la popular herramienta de mailing MailChimp son ejemplos de servicios afectados por la anulación del acuerdo de “Safe Harbor”.

Incluso, en muchas ocasiones es posible que el uso de estos servicios no se haga de manera consciente. En todo caso, si los datos de que somos responsables se transfieren por cualquier razón a servidores ubicados en Estados Unidos estamos afectados por la anulación.

De momento, ¿Qué hacemos?

Las autoridades de control europeas están planificando actuaciones para coordinarse en el análisis de las implicaciones de la sentencia y en las actuaciones nacionales que deban llevarse a cabo para garantizar una aplicación consistente de la misma en todos los países de la Unión Europea. No obstante, la Agencia Española de Protección de Datos ya ha empezado a enviar requerimientos a aquellas empresas que notificaron la realización de transferencias de datos a Estados Unidos bajo el amparo del “Puerto Seguro”, emplazándolas a informar al Registro General de Protección de Datos, a la mayor brevedad y en todo caso antes del 29 enero del 2016, sobre la continuación de las transferencias y, en su caso, sobre su adecuación a la LOPD.

En el estado actual de la normativa y sin perjuicio de situaciones particulares, las alternativas que se plantean respecto a la realización de transferencia de datos a Estados Unidos son las siguientes:

• Solicitar la autorización previa de la Directora de la Agencia Española de Protección de Datos, debiendo a tal efecto formalizarse por escrito un contrato con la empresa estadounidense para garantizar el respeto a la protección de la vida privada de los afectados y el ejercicio de sus derechos, atendiendo a las exigencias de la directiva europea. (Para surtir efectos en España ese contrato debe haberse formalizado en alguna de las lenguas oficiales o ser traducción oficial de una lengua extranjera realizada por traductor jurado nombrado por el Ministerio de Asuntos Exteriores).

• Recoger el consentimiento previo e inequívoco de los afectados (Art. 34.e) LOPD)

• Haber formalizado un contrato con los afectados cuya ejecución implique necesariamente la transferencia internacional (Art. 34. f) LOPD).

Realizar una transferencia internacional de datos sin cumplir con los requisitos legales se considera una infracción muy grave a la LOPD, que puede ser sancionada con multas de entre 300.001 y 600.000 euros.

Recomendaciones:

1. De manera general, deben identificarse todos los flujos de datos personales realizados por su empresa con destino a países que se encuentran fuera del Espacio Económico Europeo, especialmente a EE.UU. y comprobar que cumplen con las exigencias de la LOPD. Esto supone revisar no sólo aquellas que se producen por la contratación directa de servicio en estos países, sino también las que se pueden producir por que alguno de nuestros proveedores utilice estos servicios para tratar nuestros datos en el marco de la prestación que tenemos contratada con él.

2. Como ejemplos más comunes de servicios contratados con proveedores establecidos en EEUU estarían:

• Plataforma de emailing MailChimp.

• Remarketing de Facebook.

• Servicios de almacenamiento cloud de tipo Icloud, Dropbox, Google drive, etc.

• Servicios de correo electrónico de tipo Icloud, Gmail, Yahoo mail, etc.

• Blogs u otras herramientas provistas por WordPress.

• Sistemas de asistencia a clientes o chat en directo de tipo Zopim.

• Plataformas y motores de reservas.

3. En todos esos casos debe valorarse el tipo de información transmitida y el supuesto legal en el que encaja para proceder a su legalización.