Estados Unidos ya no es un puerto seguro. Así lo ha determinado el Tribunal Superior de Justicia de la Unión Europea, que ha decidido anular el acuerdo conocido como Safe Harbor que regulaba el intercambio de datos entre ciudadanos de la Unión Europea y las compañías de Estados Unidos. Una decisión que supone un paso adelante para nuestra privacidad, pero que también obligará a que miles de empresas, tanto europeas como estadounidenses, adopten cambios importantes.
El veredicto da la razón a Maximilliam Schrems, un ciudadano austriaco que decidió llevar a Facebook a los tribunales en 2013 por transferir sus datos personales desde la sede europea en Irlanda a sus servidores en Estados Unidos.
Schrems se apoyaba en las revelaciones de el extécnico de la CIA Edward Snowden, que detalló cómo la Agencia Nacional de Seguridad estadounidense había accedido a los datos de las grandes compañías tecnológicas, desde Microsoft a Facebook, Skype o Google. La NSA podía espiar masivamente tanto a ciudadanos estadounidenses como a los europeos gracias al acuerdo de libre intercambio de datos que Bruselas y Washington suscribieron en el año 2000 y del que se han aprovechado ya 5.000 empresas estadounidenses.
Con la anulación del Safe Harbor, el TJUE obliga a la Agencia de Protección de Datos irlandesa a tramitar la reclamación del ciudadano austriaco y decidir si debe suspenderse la transferencia de datos de Facebook a Estados Unidos.
Según recoge la sentencia, el país estadounidense “no ofrece un nivel de protección adecuado de los datos personales”. Un veredicto que ha aplaudido a través de Twitter el propio Edward Snowden, que ha alabado el trabajo del activista austriaco, mientras el Departamento de Comercio estadounidense lo ha calificado como “decepcionante” y asegura que afectará a miles de empresas.
¿Qué consecuencias tiene la sentencia?
La decisión del TJUE no tiene consecuencias inmediatas ni supone que las compañías estadounidenses como Google o Facebook tengan que fragmentarse y conservar nuestros datos exclusivamente en Europa, lo que afectaría directamente a su modelo de negocio.
La anulación del Safe Harbor implica que serán las agencias de protección de datos en cada país las que tendrán que analizar si esas transferencias respetan las leyes de privacidad europeas y deberán responder a las posibles denuncias de ciudadanos como Maximilliam Schrems. Es decir, las compañías tendrán que demostrar que protegen los datos que envían a Estados Unidos.
“Supondrá muchos contratos entre muchas partes y va a ser una pequeña pesadilla administrativa”, ha asegurado Nicola Fulford, un abogado británico experto en protección de datos. Este jurista cree que, en lugar de autorizar la exportación de esos datos, los organismos implicados deberán redactar y firmar modelos de cláusulas contractuales tipo que establezcan obligaciones de privacidad para la empresa estadounidense.
El abogado especializado en internet Samuel Parra coincide en que los cambios serán un “mero trámite” para los gigantes tecnológicos, aunque sugiere otro método por el que se adaptarán a la nueva situación. Este jurista cree que simplemente avisarán en sus término de uso de que van a transferir nuestros datos al otro lado del Atlántico. Si sucede así, las empresas lo tendrán realmente fácil. Al fin y al cabo, los usuarios no tenemos por costumbre leer los términos y condiciones y es bastante improbable que dejemos de usar Facebook pese a ese anuncio.
Desde la Asociación Profesional Española de Privacidad ven claras limitaciones a ambas alternativas: creen que algunas autoridades pueden cuestionar la validez del consentimiento en ciertos contextos, como en el laboral, y señalan que las cláusulas contractuales tipo suponen un proceso realmente tedioso.
¿Cómo afecta a las compañías europeas?
El veredicto de la Justicia europea no solo afecta a las compañías estadounidenses: la decisión perjudica especialmente las empresas europeas que hayan contratado un servicio de alojamiento web en Estados Unidos.
Si un cliente decide denunciar ante la Agencia Española de Protección de Datos que la compañía está transfiriendo sus datos a servidores estadounidenses, la AEPD tiene ahora en su mano sancionar con una elevada multa a esa empresa, lo que lógicamente afectará más a las 'pymes' que a los gigantes tecnológicos que han provocado el veredicto de la UE. Por el momento, los juristas recomiendan preguntar si su actividad y la transferencia de los datos a Estados Unidos es legal.
La Asociación Profesional Española de Privacidad espera que las autoridades de control de la Unión Europea se coordinen con la Comisión con el fin de dictar unas guías de actuación conjunta. Por el momento, la AEPD ya ha confirmado que tiene previsto coordinarse con el resto de agencias europeas para llegar a un acuerdo común.
Por su parte, The Internet Association, el 'lobby' que representa a Twitter, Google, Facebook, Netflix o Uber, también ha reconocido que mientras las grandes compañías tienen acuerdos de respaldo preparados para seguir transfiriendo los datos, las pequeñas empresas estadounidenses van a tener más problemas. Por ello, esperan que Estados Unidos y la Unión Europa actualicen el acuerdo en un Safe Harbor 2.0.
A falta de que se concreten las consecuencias de esta significativa decisión de la Justicia europea que supone un importante avance para los defensores de la privacidad, lo que parece claro es que los gigantes como Facebook no van a ser ni los únicos ni los más perjudicados.
---
Las imágenes de este artículo son propiedad, por orden de aparición, de Wikimedia Commons (y 2) y Brian Solis.
Sobre este blog
Aplicaciones, cloud computing, parques móviles (MDM) y todas las soluciones informáticas que necesita una gran empresa para incrementar la productividad de sus empleados y optimizar sus procesos de negocio. La firma española NTS, líder en consultoría tecnológica, te pone al día de las últimas tendencias en el sector corporativo.
