Competencia Económica y Consumo
21 de octubre de 2015

Un Consenso en torno a la Protección de Datos Personales y principios “Safe Harbor”: Un Camino Arduo pero Indispensable 

Por: Diego Acosta - Abogado; Asistente de Investigación

Lo que parecía ser una cuestión ya superada entre los Estados Unidos y varios gobiernos europeos, luego de haber transcurrido un tiempo en que se dieran a conocer a la luz pública denuncias sobre supuestas actividades de espionaje de agencias de inteligencia estadounidenses, el tema de la vigilancia de datos personales ha vuelto a aflorar con un pronunciamiento paradigmático de el Tribunal Europeo de Justicia del pasado 6 de octubre.

Lo que parecía ser una cuestión ya superada entre los Estados Unidos y varios gobiernos europeos, luego de haber transcurrido un tiempo en que se dieran a conocer a la luz pública denuncias sobre supuestas actividades de espionaje de agencias de inteligencia estadounidenses, el tema de la vigilancia de datos personales ha vuelto a aflorar con un pronunciamiento paradigmático del Tribunal Europeo de Justicia del pasado 6 de octubre. Aunque separados por el vasto océano Atlántico, Estados Unidos y Europa Occidental han sido baluartes de valores e ideales comunes. De ahí que cuando se menciona Occidente, para referirse a una de las varias posturas ideológicas en el mundo global, usualmente se aluda a ellos. Pero aun en el marco general del mutuo entendimiento, hay lugar para que se esté en las antípodas de las convicciones sobre un tema en particular. La protección de los datos de carácter personal es uno de esos temas que distancia las posiciones de estas naciones, y si bien sus discrepancias se dieron en principio por una supuesta vigilancia que sobre los mandatarios europeos efectuara los Estados Unidos, esta vez la posibilidad de que ocurra lo mismo con el grueso de los ciudadanos del viejo continente es lo que hace brotar asperezas entre estos que se dicen ser aliados.

La problemática actual se suscita con la decisión de un activista de origen austriaco, de nombre Maximilian Schrems, de acudir ante el Comisionado de Protección de Datos de Irlanda, solicitándole que impidiera la transferencia de sus datos personales registrados en Facebook a servidores ubicados en los Estados Unidos. Al ser una compañía cuya principal base de operaciones se encuentra en territorio estadounidense, para el manejo de datos de sus usuarios europeos, Facebook dispone el traspaso de datos registrados en su subsidiaria localizada en Irlanda a la sede principal en los Estados Unidos. Esta operación podía ejecutarse con facilidad gracias a la Decisión 2000/520/EC del 26 de julio de 2000 de la Comisión Europea, la cual reconocía que los denominados Principios de “Safe Harbor” o puerto seguro, en vigor en los Estados Unidos, constituían una garantía suficiente de protección de datos personales, logrando satisfacer de esa manera la exigencia de la Directiva 95/46/EC sobre la existencia de una protección adecuada capaz de garantizar la transferencia segura de datos desde el continente europeo[1].

Pero las afirmaciones que diera el exfuncionario de la National Security Agency (NSA), Edward Snowden, sobre el acceso a datos personales que tenían las agencias de inteligencia norteamericanas, constituyeron la base de las reclamaciones de Maximilian Schrems para aducir que el estado actual de la ley y de la práctica sobre tratamiento de datos personales en los Estados Unidos no cumplía con el requisito de protección adecuada exigido por los cánones europeos[2]. Fue entonces este su argumento para que el Comisionado de Protección de Datos de Irlanda negara la transferencia de sus datos a los servidores de Facebook en los Estados Unidos. Sin embargo, al escuchar esta solicitud, la autoridad irlandesa se negó a concederla escudándose en que la Decisión 2000/520/EC era un reconocimiento de que la protección de datos personales en los Estados Unidos era efectiva y suficiente, y que por lo tanto no estaba en orden tomar una medida que así lo desconociese[3].

No contento con esa negativa, Schrems acudió ante “The High Court” de Irlanda para impugnarla, y al advertirse que para dilucidar la cuestión habría necesidad de remitirse al derecho comunitario, se solicitó una interpretación prejudicial al Tribunal Europeo de Justicia. Los interrogantes que esta se planteó para efectuar su dictamen fueron principalmente que si la Decisión 2000/520/EC imposibilitaba a una autoridad nacional de supervisión de tratamiento de datos ejercer sus poderes para evitar su transferencia a un país donde no se garantizara una protección segura, y de contera, que si esa misma decisión a la luz del estado de cosas actuales podía preservar su validez[4].

Sobre el primer punto, el Tribunal Europeo de Justicia recalcó que el hecho de que una Decisión Comunitaria diera fe de que la protección de datos personales en un país determinado era adecuada y suficiente, ello no debía menoscabar la facultad que tienen las autoridades nacionales de supervisión de tratamiento de datos para investigar sobre si una eventual transferencia de datos a ese país podía colocar en riesgo los derechos de una persona interesada[5]. Ya si el resultado que arrojara dicha investigación fuera que si existiría un riesgo tal, le correspondería a una autoridad judicial remitirle el asunto a la Tribunal Europeo de Justicia para que esta declarara inválida la respectiva Decisión Comunitaria[6]. Esta es pues la conclusión a la que se llega luego de constatarse que en la Directiva 95/46/EC se quiso mantener en firme los poderes que le asisten a esas autoridades de supervisión en su labor de proteger los datos personales a la luz de la Carta de Derechos Fundamentales de la Unión Europea, aún a costa de que con ello pudiera desconocerse lo que se hubiera afirmado en una Decisión Comunitaria.

Y sobre la validez de la Decisión 2000/520/EC, la Tribunal Europeo de Justicia apuntó algunas carencias en los principios “Safe Harbor”, los cuales tornarían insuficientes para garantizar un nivel de protección adecuado, dejando de esa manera a esa decisión sin una base sólida para subsistir. En ese sentido, se señaló que los principios solamente regulaban las operaciones de las entidades que voluntariamente decidieran acogerse a ellos, lo cual significaba que las agencias de inteligencia estadounidenses no tendrían que regirse por ellos. Adicionalmente, la legislación de los Estados Unidos establece como excepción a la aplicación de esos principios, la constatación de motivos de seguridad nacional, interés público y de necesidad de aplicación de la ley, de suerte que cualquier autoridad estatal podría acceder indiscriminadamente a los datos personales aduciendo alguno de esos motivos. Se favorece entonces un acceso generalizado, libre del sometimiento a causales objetivas, puntuales y razonables para poder ser justificado. Y finalmente, se aduce que es notable en el sistema de protección estadounidense la ausencia de un mecanismo que le permita a personas interesadas conocer sobre el tratamiento dado a sus datos personales y a obtener rectificaciones sobre la información que sobre ellos se tiene[7].

Una vez destacadas las anteriores falencias, la Tribunal Europeo de Justicia concluyó que el sistema de los principios “Safe Harbor” no ofrece una protección adecuada y suficiente, contrario a lo que se había sostenido en principio en la Decisión 2000/520/EC, razón por la cual esta debía ser declarada inválida[8]. De esta manera, los miles de millones de transferencias de datos que se efectuaban con tanta fluidez al amparo de esa regulación, quedan ahora en vilo, a la espera de que la voluntad política de estadounidenses y europeos les logre alcanzar un nuevo acuerdo que haga retornar la confianza. Mientras tanto, las compañías norteamericanas que deseen transferir datos desde Europa a Estados Unidos deberán seguir las regulaciones específicas que cada país europeo ha destinado para ello, corriendo siempre el riesgo latente de que la constatación de una protección insuficiente en territorio norteamericano impida que se desarrolle la transferencia[9]. Esto entonces repercute, en que en el caso concreto del señor Schrems, el Comisionado de Protección de Datos de Irlanda deberá evaluar y definir si la transferencia de datos personales a servidores en Estados Unidos podría colocar en riesgo los intereses del titular, caso en el cual podrá tomar las medidas necesarias para impedirlo[10].

Ante este panorama, las compañías que dependen en gran medida de la transferencia de datos desde Europa a Estados Unidos buscan con ahínco los remedios legales que les permitan seguir operando en el marco de la ley. Algunas empresas como Google han anunciado que recurrirán a modelos contractuales predeterminados para facilitar el acuerdo con sus socios europeos y legalizar las transferencias de datos[11]. En todo caso, la carencia actual de un acuerdo marco entre Europa y Estados Unidos disminuye enormemente la fluidez en el tráfico de datos, algo de vital importancia para el desarrollo y progreso de ambos pueblos que se dicen ser aliados.


[1] COURT OF JUSTICE OF THE EUROPEAN UNION. Press Release No. 117/15. Disponible en: http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117en.pdf. (Consultado el 19 de octubre de 2015).

[2] SCOTT MARK. Data Transfer Pact Between U.S and Europe Is Ruled Invalid. Publicado en: The New York Times. Disponible en: http://www.nytimes.com/2015/10/07/technology/european-union-us-data-collection.html?_r=3 (Consultado el 19 de octubre de 2015)

[3] Op cit. EUROPEAN COURT OF JUSTICE

[4] Ibídem

[5]    “53. No obstante, una decisión de la Comisión adoptada en virtud del artículo 25, apartado 6, de la Directiva 95/46, como la Decisión 2000/520, no puede impedir que las personas cuyos datos personales hayan sido o pudieran ser transferidos a un tercer país presenten a las autoridades nacionales de control una solicitud, prevista en el artículo 28, apartado 4, de la Directiva 95/46, para la protección de sus derechos y libertades frente al tratamiento de esos datos. De igual forma, una decisión de esa naturaleza no puede dejar sin efecto ni limitar las facultades expresamente reconocidas a las autoridades nacionales de control por el artículo 8, apartado 3, de la Carta y por el artículo 28 de la referida Directiva, como ha expuesto el Abogado General en los puntos 61, 93 y 116 de sus conclusiones.” – TRIBUNAL DE JUSTICIA DE LA UNIÓN EUROPEA – Sentencia en el asunto C-362/14

[6] “52.   Así pues, mientras la decisión de la Comisión no haya sido declarada inválida por el Tribunal de Justicia, los Estados miembros y sus órganos, entre ellos las autoridades de control independientes, no pueden ciertamente adoptar medidas contrarias a esa decisión, como serían actos por los que se apreciara con efecto obligatorio que el tercer país al que se refiere dicha decisión no garantiza un nivel de protección adecuado. En efecto, los actos de las instituciones de la Unión disfrutan en principio de una presunción de legalidad, y producen por tanto efectos jurídicos mientras no hayan sido revocados, anulados en virtud de un recurso de anulación o declarados inválidos a raíz de una cuestión prejudicial o de una excepción de ilegalidad.” TRIBUNAL DE JUSTICIA DE LA UNIÓN EUROPEA – Sentencia en el asunto C-362/14

[7] Op cit. TRIBUNAL DE JUSTICIA DE LA UNIÓN EUROPEA

[8] Ibídem

[9] PRICE ROB. Eric Schmidt thinks a ruling by Europe’s top court threatens one of the greatest achievements of humanity. Publicado en: Business Insider. Disponible en: http://uk.businessinsider.com/eric-schmidt-ecj-safe-harbor-ruling-threatens-one-of-the-great-achievements-of-humanity-2015-10  (Consultado el 19 de octubre de 2015)

[10] “This judgment has the consequence that the Irish supervisory authority is required to examine Mr Schrems’ complaint with all due diligence and, at the conclusion of its investigation, is to decide whether, pursuant to the directive, transfer of the data of Facebook’s European subscribers to the United States should be suspended on the ground that that country does not afford an adequate level of protection of personal data.” – Op cit. COURT OF JUSTICE OF THE EUROPEAN UNION. Press Release No. 117/15.

[11] Ibídem