LA PROTECCIÓN DE LOS DATOS PERSONALES ALOJADOS EN SERVIDORES DE EE.UU. Y SU INCOMPATIBILIDAD CON EL DERECHO DE LA UE. (Por Fernando Ramírez Roca).

El pasado 6 de octubre de 2015 el Tribunal de Justicia de la UE dictó una sentencia en el asunto C-362/14 (Maximillian Schrems/Data Protection Commissioner) cuya referencia podría ser “el Tribunal de Justicia declara inválida la Decisión de la Comisión que declaró que Estados Unidos garantiza un nivel de protección adecuado de los datos personales transferidos”.

La sentencia, además de tener una exposición sobre determinadas cuestiones competenciales, analiza la capacidad de las autoridades nacionales de control de datos personales pueden examinar si la transferencia de los datos de una persona a una entidad de un tercer país fuera del ámbito de la UE respeta las exigencias de la legislación de la Unión sobre la protección de esos datos aun cuando una Decisión de la Comisión declare que un país tercero ofrece un nivel de protección adecuado de los datos personales.

En este sentido el Tribunal de Justicia acaba valorando insuficiente el trabajo previo de la Comisión a la hora de adoptar la Decisión 2000/520/CE de 26 de julio de 2000 en la que había considerado que, en el marco del régimen denominado de «puerto seguro»,  Estados Unidos garantiza un nivel adecuado de protección de los datos personales transferidos.

La demanda trae su origen en la reclamación del Sr. Maximillian Schrems, ciudadano austriaco, usuario de Facebook desde 2008. Como ocurre con los demás usuarios que residen en la UE, los datos proporcionados por el Sr. Schrems a Facebook se transfieren total o parcialmente de la filial irlandesa de dicha red social a servidores situados en territorio de los Estados Unidos, donde son objeto de tratamiento. El Sr. Schrems presentó una denuncia ante la autoridad irlandesa de control, considerando que, a la luz de las revelaciones realizadas en 2013 por el Sr. Edward Snowden en relación con las actividades de los servicios de información de Estados Unidos (en particular, la National Security Agency o “NSA”), la normativa y la práctica de Estados Unidos no garantizaban una protección suficiente de los datos transferidos a ese país frente a las actividades de vigilancia por las autoridades públicas.

Como comentábamos, el Tribunal de Justicia señala que la Comisión estaba obligada a comprobar si Estados Unidos garantiza efectivamente, en razón de su legislación interna o de sus compromisos internacionales, un nivel de protección de los derechos fundamentales sustancialmente equivalente al garantizado en la Unión en virtud de la Directiva, interpretada a la luz de la Carta de Derechos Fundamentales.

El Tribunal de Justicia observa como el régimen de puerto seguro en la legislación norteamericana es aplicable a las entidades estadounidenses que se han adherido a él, de forma que las autoridades públicas estadounidenses no están sometidas a dicho régimen al no haberse adherido, sin contar que las exigencias de seguridad nacional, interés público y cumplimiento de la ley de Estados Unidos prevalecen sobre el régimen de puerto seguro, de modo que las entidades estadounidenses están obligadas a dejar de aplicar, sin limitación, las reglas de protección previstas por ese régimen cuando entren en conflicto con las citadas exigencias.

De esta forma se posibilita injerencias por parte de las autoridades públicas estadounidenses en los derechos fundamentales de las personas, y la Decisión de la Comisión no pone de manifiesto que en Estados Unidos haya reglas destinadas a limitar esas posibles injerencias ni que exista una protección jurídica eficaz contra éstas.

Curiosamente el Tribunal de Justicia considera que ese análisis es corroborado por dos Comunicaciones de la propia Comisión de las que resulta que las autoridades estadounidenses podían acceder a los datos personales transferidos desde los Estados miembros a ese país y tratarlos de manera incompatible, concretamente, con las finalidades de esa transferencia, yendo más allá de lo que era estrictamente necesario y proporcionado para proteger la seguridad nacional. (Comunicación de la Comisión al Parlamento Europeo y al Consejo titulada “Restablecer la confianza en los flujos de datos entre la Unión Europea y los Estados Unidos de América” y Comunicación de la Comisión al Parlamento Europeo y al Consejo sobre “el funcionamiento del puerto seguro desde la perspectiva de los ciudadanos de la Unión y las empresas establecidas en la Unión”).

Más allá del valor incuestionable en materia de protección de las libertades y derechos fundamentales, donde una vez más se pone en evidencia las dos formas trasatlánticas de su enfoque, nos encontramos con una cuestión eminentemente práctica que nos afecta a todos nosotros: ¿están seguros los datos personales de nuestros servidores?.

La primera consecuencia de la sentencia es que las autoridades nacionales de control de datos personales deben de exigir a todas las empresas y personas que almacenen Datos Personales fuera de la UE el cumplimiento de la legislación europea; hasta la Sentencia la Comisión Europea publicaba  un listado de países a los que la transferencia internacional de datos estaba permitida porque se consideraba que prestaban un nivel de protección equiparable al de la UE (entre ellos estaban  los del Espacio Económico Europeo y, entre otros EEUU sólo para entidades adscritas a los “principios de Puerto Seguro”); si se querían transmitir al resto de países o entidades (por ejemplo, imaginemos las datos personales de una filial de una marca de coches asiática a su matriz) hacía falta un complicado procedimiento que necesitaba de la autorización previa expresa de la autoridad de control nacional (en España la AGPD).

Tras la Sentencia, al haber sido excluido EEUU del concepto de Puerto Seguro, para transmitir datos a servidores en EEUU habrá que demostrar que el destinatario de los datos cumple con los mismos estándares de seguridad y exigencia de la LOPD; el problema con EEUU se va a dar en el futuro en que aunque se adhieran sus empresas expresamente al régimen de puerto seguro, no van a poder impedir la aplicación nacional de las normas federales de seguridad nacional, interés público y cumplimiento de la ley de Estados Unidos  que prevalecen sobre el régimen de puerto seguro.

El Parlamento Europeo ha publicado un informe comparativo entre la legislación sectorial de EEUU y la UE y no parece que la legislación norteamericana pueda ser modificado de forma fácil y rápida para conseguir un nivel de protección y tratamiento de los datos Personales compatible con el de Europa.

Esto es aplicable a  no sólo a Facebook  (parte en la Sentencia) sino también a servicios de uso común como Dropbox, Apple o cualquier otro servicio Cloud. En este sentido, pueden ser muchas las sorpresas que nos llevemos todos analizando nuestros proveedores de servicios y dónde tienen alojados sus servidores, porque, indirectamente nos están provocando un incumplimiento de la normativa nacional de protección de datos (la LOPD).Cualquier nueva transferencia de datos a EEUU requerirá del proceso y de la autorización previa de la AGPD para ser considerada como legal. Y por otra parte de que la AGPD podrá entrar la a examinar y exigir el cumplimiento de la ley nacional a cualquiera de los otros destinos de “puerto Seguro” para cualquiera que utilice servidores fuera de la UE. Y para ello bastará una sola denuncia de alguien descontento.

 La AGPD ya ha empezado a remitir cartas informativas al respecto avisando de posibles sanciones de entre 300 y 600.000 €, sin perjuicio de las eventuales denuncias en defensa de intereses legítimos o de meros descontentos

Más información en:

Comunidado de Prensa nº 117/15

 Sentencia completa 

Informe “A comparison between US and EU data protection legislation for law enforcement purposes” del Parlamento Europeo.

Artículo redactado por Fernando Ramírez Roca,

Socio Director de Iuris Corporate S.A.