La Justicia europea declara nulo el sistema "seguro" acordado en 2000 para transferir datos a EEUU

Mirentxu Mariño M.M.NOTICIA06.10.2015 - 14:43h
  • El Tribunal de Justicia de la UE publica su sentencia sobre el 'caso Schrems'.
  • El activista austríaco Maximilian Schrems denunció que sus datos personales como usuario de Facebook no estaban protegidos al transferirse a EE UU.
  • La autoridad de control de Irlanda tiene ahora que volver a examinar el caso y podrá suspender la transferencia de datos de usuarios de Facebook a EE UU.
  • El Tribunal señala que la Comisión Europea no comprobó antes de autorizarla que la transmisión de datos personales a Estados Unidos era segura.
  • El Abogado del TJUE avala la suspensión del envío de datos a EE UU.
  • Leer la sentencia del Tribunal de Justicia de la UE.
El estudiante Max Schrems, que ha dejado en evidencia a Facebook al descubrir un nuevo agujero en su privacidad.
El estudiante Max Schrems, que ha dejado en evidencia a Facebook al descubrir un nuevo agujero en su privacidad.
EFE
El estudiante Max Schrems, que ha dejado en evidencia a Facebook al descubrir un nuevo agujero en su privacidad.

El Tribunal de Justicia de la UE ha declarado "inválida" la decisión que adoptó la Comisión Europea en 2000 sobre la transferencia de datos personales de ciudadanos europeos a Estados Unidos: declaró entonces que aquel país garantizaba suficientemente la protección de dichos datos y la privacidad de las personas. Fue dentro de lo que se llamó "puerto seguro" —safe harbor—, un protocolo al que las empresas estadounidenses se podían adherir de forma voluntaria.

Los peros de la justicia europea al "puerto seguro" son muy claros: Bruselas no comprobó que EE UU garantizaba la protección de datos antes de decidir si autorizaba la transmisión —tal y como obliga la directiva 95/46—, de hecho, no ha revisado en estos 15 años su decisión a pesar de los acontecimientos (caso Snowden). Hay más: la decisión adoptada por la Comisión Europea en 2000 ponía expresamente por encima del "puerto seguro" a las leyes de seguridad nacional estadounidenses y permitía, por tanto, "injerencias". Asimismo, restringía, sin tener competencias para ello, el margen de maniobra de los Estados.

El Alto Tribunal asume en su sentencia los argumentos del Abogado Generalque expuso sus conclusiones hace dos semanas— y señala, además, que cualquier ciudadano europeo tiene derecho a que la autoridad de control en protección de datos de su país revise su solicitud si cree que no se está protegiendo su privacidad. Tanto la autoridad de control como el ciudadano —si ve desestimada su solicitud— tienen que tener, asimismo, acceso a una última vía judicial.

El caso sobre el que el TJUE ha emitido su veredicto se inició en Irlanda en 2013, cuando el activista austríaco Maximilian Schrems puso una denuncia ante la autoridad irlandesa de protección de datos a raíz de las revelaciones del exconsultor en la CIA y la NSA Edward Snowden. Según Schrems, sus datos personales como usuario de Facebook —lo es desde 2008— no están protegidos una vez enviados y guardados en los servidores de Estados Unidos, habida cuenta de las prácticas de la NSA con el programa PRISM. El caso terminó en el Alto Tribunal de Irlanda —país en el que Facebook tiene su filial europea—, que decidió preguntar al TJUE.

Ahora, en cumplimiento de esta sentencia, la autoridad irlandesa de control "está obligada" a examinar "con toda la diligencia exigible" la reclamación que puso Schrems —y que en un principio desestimó porque, aclara la sentencia, entonces no estaba obligada a investigar y porque no había pruebas de que la NSA hubiera accedido a los datos del activista— y podrá decidir la suspensión "de la transferencia de los datos de los usuarios europeos de Facebook a Estados Unidos". Esta sentencia afecta a 4.465 empresas.

Bruselas no puso coto a las posibles "injerencias"

La sentencia apercibe a la Comisión Europea por no comprobar en su día, aunque estaba obligada, que Estados Unidos garantizaba un nivel de protección de los derechos fundamentales "sustancialmente equivalente al garantizado en la Unión". Para el tribunal esta es una cuestión básica, ya que la directiva de 1995 "prohíbe las transferencias de datos personales a un tercer país que no garantice un nivel de protección adecuado". Insinúa que la decisión de 2000 fue ad hoc.

En todo caso, recuerda el Tribunal, el régimen de "puerto seguro" se aplica a las empresas que se acogen a él, no a las autoridades estadounidenses; y además, las compañías se deben a las leyes nacionales, que se acaban poniendo por encima del "puerto seguro" cuando hablamos, por ejemplo, de cuestiones de seguridad nacional; de ahí su no efectividad. La Comisión Europea no dijo e hizo nada para limitar esas "injerencias", añade el texto. Solo se limitó a poner por escrito esta excepción, dando carta blanca al Gobierno de Estados Unidos para que las empresas, obligadas, se saltaran los principios del "puerto seguro".

"Una normativa que permite a las autoridades públicas acceder de forma generalizada al contenido de las comunicaciones electrónicas lesiona el contenido esencial del derecho fundamental al respeto de la vida privada", insiste el Tribunal. También señala que el derecho a una tutela judicial efectiva queda vulnerado si no se permite a los usuarios recurrir para rectificar, suprimir o acceder a sus propios datos, tal y como pasa con la decisión de la CE. La Comisión, además, no tenía competencias "para restringir las facultades de las autoridades nacionales de control", que pueden, dado el caso suspender la transferencia de datos.

Schrems ha hecho público un comunicado en el que se congratula por el fallo, que pone de manifiesto que "la vigilancia masiva viola nuestros derechos fundamentales" y que los Gobiernos las empresas "no pueden ignorar el derecho a la privacidad". El pronunciamiento del Tribunal supone, en sus palabras, un "duro golpe" a las prácticas de vigilancia del Gobierno de EE UU y también un desafío para Europa y sus leyes.

No obstante, apunta que en la práctica los usuarios no notarán nada en su actividad on line diaria, aunque sí cree que podrán acceder a determinados servicios en Internet sin que sus datos, a posteriori, sean objeto de vigilancia masiva por parte de Estados Unidos. Según Schrems, este veredicto se aplicará a casos determinados y que tengan que ver con datos personales —ni envío de correos electrónicos ni otros procesos—, aunque cree que las empresas que han colaborado en la vigilancia masiva —cita a "Apple, Google, Facebook, Microsoft y Yahoo"— tendrán que afrontar "consecuencias legales" en el futuro.

Reacciones en Europa y en Facebook

La Agencia Española de Protección de Datos ha dicho en un comunicado que las autoridades de control, "que ya observaron deficiencias en el puerto seguro y las plasmaron en varias cartas y dictámenes", se van a coordinar para analizar la sentencia y decidir qué hacer en los Estados. El portavoz comunitario, Margaritis Schinas, ha dicho que se trata de una "decisión importante" que abordará el colegio de comisarios este mismo martes en Estrasburgo (Francia).

Por su parte, Facebook ha asegurado a la Agencia Efe que "el abogado general de la UE ya manifestó que Facebook no había hecho nada erróneo" y que "lo que está en cuestión" es "uno de los mecanismos que otorga la ley europea para permitir los flujos de datos transatlánticos de carácter fundamental". Es imprescindible, explican la empresa, "que los gobiernos de la Unión Europea y de Estados Unidos garanticen que mantendrán criterios fiables para las transferencias legales de datos y para resolver cuestiones relacionadas con la seguridad nacional".

Mostrar comentarios

Códigos Descuento

© 20 Minutos Editora, S.L.

Queda prohibida toda reproducción sin permiso escrito de la empresa a los efectos del artículo 32.1, párrafo segundo, de la Ley de Propiedad Intelectual. Asimismo, a los efectos establecidos en el artículo 33.1 de Ley de Propiedad Intelectual, la empresa hace constar la correspondiente reserva de derechos, por sí y por medio de sus redactores o autores.