Protección de Datos

La justicia europea frena el envío de datos a EEUU

Considera que la administración estadounidense no garantiza una protección adecuada a los usuarios de empresas como Facebook

Un logo de Facebook ante la bandera de la UE

Un logo de Facebook ante la bandera de la UE Reuters

El Tribunal de Justicia de la UE ha anulado este martes la decisión de Bruselas que permitía transferir a servidores situados en Estados Unidos los datos personales de usuarios europeos de empresas de Internet como Facebook. El fallo abre la puerta a que los tribunales nacionales puedan a partir de ahora prohibir el envío de datos a EEUU si consideran que la administración de EEUU no garantiza un nivel adecuado de protección.

La sentencia pone en riesgo las relaciones comerciales entre Bruselas y Washington. Afecta a más de 4.400 compañías que envían los datos de usuarios europeos a servidores situados en EEUU acogiéndose al régimen que ha anulado el Tribunal de Justicia, denominado "puerto seguro" (safe harbour) que data del año 2000. Se trata sobre todo de empresas de los nuevos sectores digitales como las redes sociales o la computación en nube.

El fallo del Tribunal de Justicia responde a una denuncia presentada en 2013 por un ciudadano austriaco, Max Schrems, ante la autoridad de protección de datos de Irlanda. El denunciante reclamaba que se anulara la transferencia de información personal desde la filial irlandesa de Facebook a servidores situados en EEUU. Y utilizaba como argumento el espionaje masivo de la Agencia Nacional de Seguridad estadounidense (NSA) que había desvelado ese mismo año el ex contratista Edward Snowden. Estas revelaciones demostraban, según el denunciante, que EEUU no garantiza una protección adecuada de los datos personales. La agencia irlandesa de protección de datos rechazó estos argumentos, pero el caso acabó ante la justicia europea.

En su sentencia de este martes, el Tribunal de Justicia no entra a valorar si EEUU espía los datos de los usuarios de internet. Se aleja así de la opinión que publicó hace unas semanas su abogado general, Yves Bot, que sí denunciaba que “la supervisión que llevan a cabo los servicios de información estadounidense es masiva e indiferenciada”. El Gobierno norteamericano protestó por estas consideraciones y defendió en un comunicado que el programa Prisma denunciado por Snowden no es indiscriminado sino que se concentra en objetivos precisos sospechosos de terrorismo y está sujeto a supervisión judicial.

Negligencia

El fallo culpa de negligencia a la Comisión y le acusa de haber autorizado la transferencia de datos personales a EEUU sin haber examinado si la legislación de EEUU garantiza efectivamente un nivel de protección de los derechos fundamentales equivalente al de la UE. Bruselas, señala el Tribunal de Justicia, se fió exclusivamente de la autorregulación que el régimen de puerto seguro impone a las empresas participantes.

En este sentido, la sentencia señala que las autoridades públicas estadounidenses no están sometidas a este régimen de protección de datos. "Las exigencias de seguridad nacional, interés público y cumplimiento de la ley de Estados Unidos prevalecen sobre el régimen de puerto seguro, de modo que las entidades estadounidenses están obligadas a dejar de aplicar, sin limitación, las reglas de protección previstas por ese régimen cuando entren en conflicto con las citadas exigencias".

"El régimen estadounidense de puerto seguro posibilita de ese modo injerencias por parte de las autoridades públicas estadounidenses en los derechos fundamentales de las personas", insiste la sentencia. El propio Ejecutivo comunitario ha reconocido estos fallos en diversas comunicaciones. En ellas avisaba de que las autoridades estadounidenses podían acceder a los datos personales transferidos "yendo más allá de lo que era estrictamente necesario y proporcionado para proteger la seguridad nacional". Bruselas también consideró que las personas afectadas no disponían de vías para recurrir, según el fallo.

"Una normativa que no prevé posibilidad alguna de que el justiciable ejerza acciones en Derecho para acceder a los datos personales que le conciernen o para obtener su rectificación o supresión vulnera el contenido esencial del derecho fundamental a la tutela judicial efectiva", señala la sentencia.

Por todas estas razones, el Tribunal de justicia declara "inválida" la decisión de la Comisión que autorizó las transferencias de datos, que se remonta al año 2000. Como consecuencia de esta sentencia, la autoridad irlandesa de control de datos está obligada a examinar la reclamación del ciudadano austriaco y deberá decidir si "debe suspenderse la transferencia de los datos de los usuarios europeos de Facebook a Estados Unidos porque ese país no ofrece un nivel de protección adecuado de los datos personales".

El Ejecutivo comunitario es consciente de estos problemas y desde hace meses negocia con Washington un nuevo régimen más garantista que permita el envío de datos. Pero hasta que las negociaciones concluyan las transferencias podrían detenerse.

"Un hito"

Max Schrems considera (PDF) que esta decisión es "un hito" en cuanto a la privacidad online. "Este juicio dibuja una línea clara y aclara que la vigilancia masiva viola nuestros derechos fundamentales", comenta, y añade: "Esta decisión es un duro golpe para la vigilancia global que realiza Estados Unidos y que depende fuertemente de socios privados, y deja claro que las empresas estadounidenses no pueden simplemente ayudar al espionaje violando derechos fundamentales de los europeos". 

En una nota, la Agencia Española de Protección de Datos afirma que la sentencia "marca un punto de inflexión sobre la forma en la que se realizan las transferencias internacionales de datos a EEUU" y ha anunciado que las "autoridades europeas de protección de datos han planificado actuaciones de coordinarse en el análisis de las implicaciones de la sentencia y en las actuaciones nacionales que deban llevarse a cabo" a partir de ahora.

Desde la popular red social afectada por la decisión, un portavoz ha asegurado que "este caso no se trata de Facebook". "Lo que está en cuestión es uno de los mecanismos que la legislación europea prevé para permitir flujos esenciales de datos transatlánticos", ha afirmado en una nota, y ha remarcado que existen otros mecanismos legales aparte del "puerto seguro" que regulan este tráfico de datos. Por último, la compañía ha pedido que "los gobiernos de la UE y de Estados Unidos aseguren métodos fiables para las transferencias legales de datos y resuelvan los problemas relacionados con la seguridad nacional".

Mientras, la secretaria de Estado de Comercio de EEUU, Penny Pritzker, ha mostrado su "profunda decepción" por la decisión del TJUE. "Entre otras cosas", sostiene, "la decisión quita crédito a los beneficios para la privacidad y el crecimiento que este marco ha proporcionado en los últimos 15 años". Pritzker ha recordado las conversaciones mantenidas para reforzar el acuerdo de "puerto seguro" entre EEUU y la UE, y ha afirmado que esta decisión del tribunal "exige la actualización de este marco tan pronto como sea posible".

Una opinión similar es la de la comisaria europea de Justicia, la checa Vera Jourova. Para ella es prioritario que "los flujos transatlánticos de datos puedan continuar, porque son la espina dorsal de la economía". Bruselas tiene previsto acelerar las negociaciones con Washington, que se iniciaron en 2013 tras el caso Snowden, con el fin de acordar "un marco renovado y seguro para la transferencia de datos personales a través del Atlántico".

En todo caso, el Ejecutivo comunitario considera que las transferencias de datos pueden continuar pese a la decisión del Tribunal de Justicia de anular el acuerdo de "puerto seguro", desde un mero contrato de reserva de un hotel hasta motivos importantes de interés público, como la cooperación entre las autoridades en la lucha contra el fraude, cárteles, etc. Si no hay otra base, basta con el consentimiento libre e informado de la persona.

Consentimiento expreso, por favor

Joaquín Muñoz, abogado de Abanlex y miembro del equipo legal que logró el reconocimiento del llamado derecho al olvido frente a Google en el TJUE, cree que la decisión del TJUE obligará a los proveedores de servicios en internet como Facebook y Google, a pedir un consentimiento expreso a los usuarios para realizar transferencias a países terceros, concretamente en este caso para enviar sus datos a EEUU, en donde ya se ha demostrado que agencias como la NSA han violado la privacidad de los usuarios.

"Entiendo que deberá ser consentimiento expreso, dado que una de las excepciones para poder autorizar las transferencias de datos internacionales es que el usuario haya dado el consentimiento inequívoco para esa transferencia", comenta el letrado, que cree que la forma más rápida para estas compañías es incluir una casilla expresa en los términos de servicio que el usuario deberá seleccionar si quiere seguir usando el servicio.

Ahora, serán las agencias nacionales de protección de datos -en el caso de Irlanda, la Data Protection Commissioner- quienes tendrán la obligación de investigar cualquier denuncia sobre trasferencia de datos a EEUU, sin presuponer la seguridad de esos datos (que era lo que sucedía de forma automática con la decisión de "puerto seguro", anulada ahora por Luxemburgo). El abogado experto insiste en que, al final, el problema se solucionará precisamente pidiendo el consentimiento expreso, inequívoco, de todos y cada uno de los usuarios europeos.

La cuestión de fondo es si la anulación de la decisión sobre "puerto seguro" será, en la práctica, papel mojado, dado que en la práctica es muy complicado investigar si una compañía como Facebook realmente hace transferencias de datos a EEUU desde Europa y si los datos que custodia Facebook son, en estos momentos, seguros.

En cualquier caso, la pelota está en el tejado de la agencia irlandesa de protección de datos, que deberá decidir si la trasferencia de datos de los usuarios de Facebook deba ser suspendida si el país no ofrece un nivel adecuado de protección de datos personales.