A primera vista, podría parecer que la noticia de que el Tribunal de Justicia de la Unión Europea ha declarado inválido el acuerdo Safe Harbor (Puerto Seguro) no afecta directamente al usuario medio de internet, pero nada más lejos de la realidad. Nuestros datos son transferidos internacionalmente todos los días, aunque no lo veamos.
A nadie le sorprenderá, ya que muchas de las empresas que prestan servicios a través de la Red tienen su sede principal en Estados Unidos. Los usuarios acceden a su correo electrónico, buscan contenidos, contactan a través de sistemas de mensajería instantánea con sus compañeros, se registran en redes sociales... Y todo ello, muchas veces, sin tener en cuenta a dónde van a viajar los datos que introducen, o las consecuencias que puede tener para sus derechos.
Facebook, Google Apps o Dropbox son solo algunos ejemplos de servicios prestados por empresas con sede en el extranjero que utilizan ciudadanos, administraciones públicas y multitud de empresas europeas en el día a día de su actividad. Los datos que facilitan, una vez introducidos, llegarán hasta los servidores situados en Estados Unidos, donde serán procesados y almacenados. Posteriormente, tal vez llegue a replicarse su contenido en servidores situados en terceros países de los que no tenemos conocimiento.
El usuario suele ser indiferente a este proceso. Lo importante es que el servicio se preste correctamente y sea sencillo de utilizar. Aunque por parte de los poderes públicos se intenta que los usuarios tengan que dar su consentimiento informado, lo cierto es que, en la práctica, la información sobre dónde van a tratarse sus datos y si se van a transferir es directamente ignorada (eso, si llega a estar indicada a la hora de darse de alta en algún servicio). La famosa 'nube' y el almacenamiento redundante en lugares geográficamente separados son circunstancias que hacen que estas transferencias de datos hacia otros países se produzcan cada vez más.
La normativa europea contempla la posibilidad de realizar transferencias internacionales de datos durante la prestación de un servicio de este tipo, pero exige para ello una serie de requisitos que pueden dificultar su realización. Así, la Ley Orgánica de Protección de Datos requiere como norma general la previa autorización del Director de la Agencia de Protección de Datos, una autorización que puede tardar en conceder alrededor de tres meses.
Afortunadamente para las empresas estadounidenses, se contemplan una serie de excepciones que permiten el movimiento internacional de datos sin necesidad de solicitar y esperar a obtener dicha autorización. Dentro de ellas se incluye la existencia de una declaración de la Comisión de que se garantiza un nivel de protección adecuado, que es el objeto del acuerdo de Puerto Seguro.
¿Qué es el acuerdo Safe Harbor?
El acuerdo Safe Harbor es la solución a la que se llegó para facilitar la transferencia internacional de datos hacia las sedes del gran número de empresas tecnológicas situadas en Estados Unidos. Dada la dificultad de conseguir garantías de protección de datos personales a nivel general, se optó por establecer una serie de principios a los que las empresas interesadas se podían adherir voluntariamente si lo estimaban oportuno. Así, declaraban bajo su responsabilidad el cumplimiento de las obligaciones con las que, se supone, los datos personales se protegían de una forma equivalente a como se hace en Europa.
El problema surge cuando, tal y como señaló el TJUE en esta sentencia, nos damos cuenta de que este acuerdo de Puerto Seguro obliga a las empresas que voluntariamente se acojan a él, pero no a las autoridades estadounidenses. Estas pueden seguir ejerciendo sus competencias en base a las leyes de seguridad nacional con que cuentan en su país, que pueden llegar a arrollar las garantías que los usuarios obtienen teóricamente gracias al Puerto Seguro.
Y llegó Max Schrems
¿Cuánta información almacena Facebook de cada uno de sus usuarios? En el caso de Max Schrems, fueron un total de 1.200 páginas las que recibió tras solicitar acceso a esos datos, que correspondían a su actividad a lo largo de los tres años que llevaba en la red social.
Una recopilación de la gente que había añadido a su lista de amigos, aquellos que había eliminado de dicha lista, sus mensajes personales o incluso los eventos a los que había acudido formaban parte de esa información con la que Facebook podría crear un perfil completo. Lo alarmante de lo almacenado por la red social es que se incluían incluso aquellos mensajes que Schrems había eliminado, que permanecían almacenados y accesibles en los servidores.
Tras las revelaciones de Edward Snowden sobre la vigilancia masiva llevada a cabo por la NSA, Schrems entendió que esa gran cantidad de información no quedaba protegida de manera eficaz una vez almacenada en los servidores de Estados Unidos. Las leyes de seguridad nacional estadounidenses permiten el acceso a los datos sin que sus titulares pudieran acudir a un procedimiento judicial adecuado en el que se garantizaran sus derechos. Así, Schrems optó por denunciar esta presunta infracción ante la autoridad irlandesa de protección de datos, esperando que el organismo se pronunciara sobre si se garantizaba efectivamente la protección de los datos de una forma más o menos equivalente a la europea.
La sorpresa vino cuando la autoridad de control irlandesa rechazó la petición de Schrems y afirmó que no iba a emprender acción alguna pese a los indicios de posibles vulneraciones por parte de la NSA.
No conforme con esta decisión, Schrems acudió a la vía judicial, consiguiendo que el asunto llegase al Tribunal de Justicia de la Unión Europea, que finalmente ha declarado inválido el acuerdo de Puerto Seguro.
¿A quién va a afectar?
Al tratar este tema es sencillo pensar que esta sentencia solo afectará a las grandes tecnológicas anteriormente mencionadas, pero la realidad es muy distinta. Existen multitud de empresas que utilizan prestadores de servicios (de alojamiento, de computación en la nube...) fuera del territorio de la Unión Europea, y que una vez declarado inválido el acuerdo de Safe Harbor no cuentan con una excepción que les permita su uso. Y, lo que es más grave, contamos incluso con administraciones públicas que han recurrido a esta opción, y que tal vez todavía desconozcan cómo actuar ante un caso así.
Un precio razonable por suscripción, el gran número de competidores y la falsa apariencia de seguridad de nuestros datos eran circunstancias que hacían atractivo hasta ahora contratar con un prestador de Estados Unidos. Múltiples guías legales recomendaban buscar una empresa adherida al acuerdo de Puerto Seguro, pero estas recomendaciones ya no son válidas. Ahora, tras esta sentencia, las compañías deberán repensar cómo prestar sus servicios y si acudir a empresas de otros territorios es la mejor opción.
¿Cuántas empresas cuentan con un blog alojado en los Estados Unidos? No son pocas las que tienen servidores en exclusiva, almacenando también sus correos electrónicos, calendarios, y multitud de información sobre su actividad. Muchas veces se le da poca importancia por mero desconocimiento, al pensar que no se tratan datos personales.
Es ahí donde los ciudadanos se verán más afectados por este terremoto. Safe Harbor tiene ya poco de seguro y ahora todo es incertidumbre respecto a lo que pasará con la información personal que siguen almacenando los servicios estadounidenses.
Las grandes empresas con base tecnológica como Amazon, Google o Facebook llevan ya un tiempo trabajando en ‘data centers’ situados en territorio europeo, lo cual les permitirá cumplir con las obligaciones relativas al tratamiento de datos personales, al menos sobre el papel. Lo que sí parece es que el usuario no va a notar una interrupción de los servicios más conocidos, como era de esperar.
Los ciudadanos también se verán beneficiados con el refuerzo de las competencias de las autoridades nacionales de protección de datos, ya que la sentencia obliga a la autoridad irlandesa a examinar la reclamación de Schrems y podrá decidir la suspensión de la transferencia de los datos de los usuarios europeos de Facebook a Estados Unidos.
Así, ahora se podrá acudir a la autoridad correspondiente y denunciar los hechos sin que sus potestades queden limitadas por un acuerdo como el anulado. Se abre de manera efectiva una nueva puerta para el ejercicio de estos derechos, dado que podrá denunciarse y pedir la suspensión de la actividad si se sospecha de un cumplimiento defectuoso de los niveles de seguridad que marca la ley.
De esta forma se pone, por fin, un poco de orden en la protección de datos por parte de las compañías de servicios. Las estadounidenses siempre habían jugado con una importante ventaja, al no contar con controles tan férreos como los que soportan los europeos. El mercado europeo es atractivo, pero si se quieren ofrecer servicios a sus ciudadanos debería ser en todo caso cumpliendo las garantías de nuestro ordenamiento.
Dicho esto, el problema es que en la práctica habrá que ver si, por el mero hecho de que se afirme que los datos no son transferidos internacionalmente y son tratados en Europa, se garantizan los derechos de los ciudadanos. A la vista del proceso en que Microsoft se encuentra actualmente inmerso sobre acceso por parte del Gobierno de los Estados Unidos a correos electrónicos que, según la empresa, se encuentran en servidores de Irlanda, no parece que la Administración americana tenga intención de restringir sus actuaciones cuando de empresas con sede en su país se trate.
------------------
Las imágenes son propiedad, por orden de aparición, de Wikimedia Commons (y 2), Intel Free Press, greensefa y Marco Paköeningrat
Sobre este blog
Un blog sobre leyes y tecnología por y para iLetrados digitales. Derecho para todos los públicos de la mano de Jorge Campanillas, Marina Franganillo, Miriam García, David Maeztu, Jorge Morell, Andy Ramos, Ruth Sala, Alejandro Sánchez, Alejandro Touriño y Roberto Yanguas.
