Cómo afecta a las empresas españoles la ruptura del ‘Safe Harbor’
La abogada y auditora de Entornos Tecnológicos, Belén Arribas, explica las obligaciones que tendrán que asumir en materia de privacidad las compañías con matrices y filiales en EE.UU.
Ayer el Tribunal de Justicia de la Unión Europea invalidó el acuerdo que permite la transferencia de datos de ciudadanos europeos a EE.UU, el conocido como ‘Safe Harbor’ o ‘Puerto Seguro’. La decisión del organismo es una consencuencia directa de las acusaciones por el espionaje de la NSA vertidas por Edward Snowden.
La sentencia supone un cambio importante en el flujo de datos transatlánticos esenciales que afectará a los gigantes tecnológicos, pero también a algunas empresas que operan en España y dependen del país norteamericano porque tienen allí a su proveedor de hosting o bien porque cuentan con su casa matriz o alguna filial en el territorio estadounidense.
Para entender los entresijos de esta decisión y qué implica hemos hablado con Belén Arribas Sánchez, abogada y auditora de Entornos Tecnológicos en Monereo Meyer Marinel-Io Abogados.
– ¿Por qué se ha roto el ‘Puerto Seguro’ entre Europa y EE.UU?
– Se ha roto como fruto de la decisión del TJUE hecha pública ayer. Se trata de una sentencia en virtud de la cual el TJUE anula la Decisión de la Comisión 2000/520/CE “sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la ida privada”. La sentencia no era esperable y ha causado estupor en el sector, máxime cuando, tras la publicación de la opinión del Abogado General hace unos días – confirmada hoy por la sentencia del TJUE- el sistema de “Safe Harbor” ya se había empezado a renegociar.
– ¿Significa esto que los europeos tendremos mayores garantías en cuanto a nuestra privacidad?
– Un sistema más garantista sería sin duda deseable, por supuesto. Sin embargo, las consecuencias para los usuarios son aún inciertas. Está por ver si este mandato que realiza la sentencia de que las autoridades nacionales de protección de datos – en primera instancia, y en segunda, los tribunales- entren a valorar la adecuación de las medidas de seguridad de empresas determinadas, derivará en un enfoque conjunto e uniforme de dichos reguladores europeos o si por el contrario asistiremos a un goteo de decisiones fragmentadas o, peor, contradictorias entre sí y con resultados dispares para los usuarios europeos.
– ¿Solucionaría algo si las empresas americanas movieran sus nubes a algún país del Viejo Continente?
– Sí, por supuesto, siempre y cuando dicha localización física de los datos se acompañara con la sumisión a las obligaciones de protección de datos de alguno de los Derechos de la UE o del EEE y se cumplieran dichas obligaciones, principios y estándares.
– ¿Supone esto algún problema para las empresas españolas que tengan filiales en EE.UU?
– Sí, también para las que tengan allí sus matrices. Si se produce una transferencia internacional de datos, una exportación de datos a EE.UU. habrán de solicitar autorización previa de la AEPD.
– ¿Qué ocurrirá con todas las compañías tecnológicas americanas como Google, Facebook, etc que tienen millones de usuarios en Europa y su central europea en Irlanda? ¿Podrán tener acceso a sus datos?
– Es difícil pensar que esta sentencia pueda tener efectos en las transferencias internacionales de datos que ya se han llevado a cabo. Para futuras transferencias o exportación de datos, que así se llama el término jurídico, sin perjuicio de los periodos transitorios que se establezcan, y de la solución definitiva que se adopte, de suponer el tratamiento de los datos una cesión o acceso a datos en EE.UU., las mismas deberán de aprobarse según el régimen de autorizaciones administrativas al respecto, en el caso de España, por parte del Director de la AEPD.
– ¿Qué tiene que hacer EE.UU para volver a ganarse la confianza de las autoridades europeas?
– No es quizá una cuestión de confianza. Los sistemas jurídicos en materia de protección de datos en la UE y en EE.UU. son muy distintos. En EE.UU. no hay tantas garantías para los afectados o titulares de los datos personales como en Europa. El sistema se basa en la adhesión voluntaria (hasta ahora, al “Safe Harbor”) y el cumplimiento libre por parte de las empresas; las filosofías son diferentes también. Como se ha dicho en ocasiones, sería deseable una aproximación legislativa de ambos continentes en este campo, unos estándares internacionales en protección de datos, tantas veces reclamados, que fueran asumibles para todos.