A primera vista, podría parecer que la noticia de que el Tribunal de Justicia de la Unión Europea ha declarado inválido el acuerdo Safe Harbor (Puerto Seguro) no afecta directamente al usuario medio de internet, pero nada más lejos de la realidad. Nuestros datos son transferidos internacionalmente todos los días, aunque no lo veamos.

A nadie le sorprenderá, ya que muchas de las empresas que prestan servicios a través de la Red tienen su sede principal en Estados Unidos. Los usuarios acceden a su correo electrónico, buscan contenidos, contactan a través de sistemas de mensajería instantánea con sus compañeros, se registran en redes sociales... Y todo ello, muchas veces, sin tener en cuenta a dónde van a viajar los datos que introducen, o las consecuencias que puede tener para sus derechos.

Facebook, Google Apps o Dropbox son solo algunos ejemplos de servicios prestados por empresas con sede en el extranjero que utilizan ciudadanos, administraciones públicas y multitud de empresas europeas en el día a día de su actividad. Los datos que facilitan, una vez introducidos, llegarán hasta los servidores situados en Estados Unidos, donde serán procesados y almacenados. Posteriormente, tal vez llegue a replicarse su contenido en servidores situados en terceros países de los que no tenemos conocimiento.

El usuario suele ser indiferente a este proceso. Lo importante es que el servicio se preste correctamente y sea sencillo de utilizar. Aunque por parte de los poderes públicos se intenta que los usuarios tengan que dar su consentimiento informado, lo cierto es que, en la práctica, la información sobre dónde van a tratarse sus datos y si se van a transferir es directamente ignorada (eso, si llega a estar indicada a la hora de darse de alta en algún servicio). La famosa 'nube' y el almacenamiento redundante en lugares geográficamente separados son circunstancias que hacen que estas transferencias de datos hacia otros países se produzcan cada vez más.

La normativa europea contempla la posibilidad de realizar transferencias internacionales de datos durante la prestación de un servicio de este tipo, pero exige para ello una serie de requisitos que pueden dificultar su realización. Así, la Ley Orgánica de Protección de Datos requiere como norma general la previa autorización del Director de la Agencia de Protección de Datos, una autorización que puede tardar en conceder alrededor de tres meses.

Afortunadamente para las empresas estadounidenses, se contemplan una serie de excepciones que permiten el movimiento internacional de datos sin necesidad de solicitar y esperar a obtener dicha autorización. Dentro de ellas se incluye la existencia de una declaración de la Comisión de que se garantiza un nivel de protección adecuado, que es el objeto del acuerdo de Puerto Seguro.

¿Qué es el acuerdo Safe Harbor?

El acuerdo Safe Harbor es la solución a la que se llegó para facilitar la transferencia internacional de datos hacia las sedes del gran número de empresas tecnológicas situadas en Estados Unidos. Dada la dificultad de conseguir garantías de protección de datos personales a nivel general, se optó por establecer una serie de principios a los que las empresas interesadas se podían adherir voluntariamente si lo estimaban oportuno. Así, declaraban bajo su responsabilidad el cumplimiento de las obligaciones con las que, se supone, los datos personales se protegían de una forma equivalente a como se hace en Europa.

El problema surge cuando, tal y como señaló el TJUE en esta sentencia, nos damos cuenta de que este acuerdo de Puerto Seguro obliga a las empresas que voluntariamente se acojan a él, pero no a las autoridades estadounidenses. Estas pueden seguir ejerciendo sus competencias en base a las leyes de seguridad nacional con que cuentan en su país, que pueden llegar a arrollar las garantías que los usuarios obtienen teóricamente gracias al Puerto Seguro.

Y llegó Max Schrems

¿Cuánta información almacena Facebook de cada uno de sus usuarios? En el caso de Max Schrems, fueron un total de 1.200 páginas las que recibió tras solicitar acceso a esos datos, que correspondían a su actividad a lo largo de los tres años que llevaba en la red social.

Una recopilación de la gente que había añadido a su lista de amigos, aquellos que había eliminado de dicha lista, sus mensajes personales o incluso los eventos a los que había acudido formaban parte de esa información con la que Facebook podría crear un perfil completo. Lo alarmante de lo almacenado por la red social es que se incluían incluso aquellos mensajes que Schrems había eliminado, que permanecían almacenados y accesibles en los servidores.

Tras las revelaciones de Edward Snowden sobre la vigilancia masiva llevada a cabo por la NSA, Schrems entendió que esa gran cantidad de información no quedaba protegida de manera eficaz una vez almacenada en los servidores de Estados Unidos. Las leyes de seguridad nacional estadounidenses permiten el acceso a los datos sin que sus titulares pudieran acudir a un procedimiento judicial adecuado en el que se garantizaran sus derechos. Así, Schrems optó por denunciar esta presunta infracción ante la autoridad irlandesa de protección de datos, esperando que el organismo se pronunciara sobre si se garantizaba efectivamente la protección de los datos de una forma más o menos equivalente a la europea.

La sorpresa vino cuando la autoridad de control irlandesa rechazó la petición de Schrems y afirmó que no iba a emprender acción alguna pese a los indicios de posibles vulneraciones por parte de la NSA.

No conforme con esta decisión, Schrems acudió a la vía judicial, consiguiendo que el asunto llegase al Tribunal de Justicia de la Unión Europea, que finalmente ha declarado inválido el acuerdo de Puerto Seguro.

¿A quién va a afectar?

Al tratar este tema es sencillo pensar que esta sentencia solo afectará a las grandes tecnológicas anteriormente mencionadas, pero la realidad es muy distinta. Existen multitud de empresas que utilizan prestadores de servicios (de alojamiento, de computación en la nube...) fuera del territorio de la Unión Europea, y que una vez declarado inválido el acuerdo de Safe Harbor no cuentan con una excepción que les permita su uso. Y, lo que es más grave, contamos incluso con administraciones públicas que han recurrido a esta opción, y que tal vez todavía desconozcan cómo actuar ante un caso así.

Un precio razonable por suscripción, el gran número de competidores y la falsa apariencia de seguridad de nuestros datos eran circunstancias que hacían atractivo hasta ahora contratar con un prestador de Estados Unidos. Múltiples guías legales recomendaban buscar una empresa adherida al acuerdo de Puerto Seguro, pero estas recomendaciones ya no son válidas. Ahora, tras esta sentencia, las compañías deberán repensar cómo prestar sus servicios y si acudir a empresas de otros territorios es la mejor opción.

¿Cuántas empresas cuentan con un blog alojado en los Estados Unidos? No son pocas las que tienen servidores en exclusiva, almacenando también sus correos electrónicos, calendarios, y multitud de información sobre su actividad. Muchas veces se le da poca importancia por mero desconocimiento, al pensar que no se tratan datos personales.

Es ahí donde los ciudadanos se verán más afectados por este terremoto. Safe Harbor tiene ya poco de seguro y ahora todo es incertidumbre respecto a lo que pasará con la información personal que siguen almacenando los servicios estadounidenses.

Las grandes empresas con base tecnológica como Amazon, Google o Facebook llevan ya un tiempo trabajando en ‘data centers’ situados en territorio europeo, lo cual les permitirá cumplir con las obligaciones relativas al tratamiento de datos personales, al menos sobre el papel. Lo que sí parece es que el usuario no va a notar una interrupción de los servicios más conocidos, como era de esperar.

Los ciudadanos también se verán beneficiados con el refuerzo de las competencias de las autoridades nacionales de protección de datos, ya que la sentencia obliga a la autoridad irlandesa a examinar la reclamación de Schrems y podrá decidir la suspensión de la transferencia de los datos de los usuarios europeos de Facebook a Estados Unidos.

Así, ahora se podrá acudir a la autoridad correspondiente y denunciar los hechos sin que sus potestades queden limitadas por un acuerdo como el anulado. Se abre de manera efectiva una nueva puerta para el ejercicio de estos derechos, dado que podrá denunciarse y pedir la suspensión de la actividad si se sospecha de un cumplimiento defectuoso de los niveles de seguridad que marca la ley.

De esta forma se pone, por fin, un poco de orden en la protección de datos por parte de las compañías de servicios. Las estadounidenses siempre habían jugado con una importante ventaja, al no contar con controles tan férreos como los que soportan los europeos. El mercado europeo es atractivo, pero si se quieren ofrecer servicios a sus ciudadanos debería ser en todo caso cumpliendo las garantías de nuestro ordenamiento.

Dicho esto, el problema es que en la práctica habrá que ver si, por el mero hecho de que se afirme que los datos no son transferidos internacionalmente y son tratados en Europa, se garantizan los derechos de los ciudadanos. A la vista del proceso en que Microsoft se encuentra actualmente inmerso sobre acceso por parte del Gobierno de los Estados Unidos a correos electrónicos que, según la empresa, se encuentran en servidores de Irlanda, no parece que la Administración americana tenga intención de restringir sus actuaciones cuando de empresas con sede en su país se trate.

------------------

Las imágenes son propiedad, por orden de aparición, de Wikimedia Commons (y 2), Intel Free Press, greensefa y Marco Paköeningrat

Tras la decisión mediante auto del Juzgado de lo Mercantil Número 2 de Madrid del cese cautelar de actividad en todo el territorio español de Uber, compañía dedicada a poner en contacto a usuarios con conductores particulares para realizar desplazamientos en carretera, finalmente se ha instado a las diversas operadoras de telecomunicaciones del territorio a que lleven a cabo las medidas necesarias para impedir el acceso a la página web de este servicio.

Debemos tener en cuenta en este caso que aún no ha habido sentencia, ni se ha producido un nuevo auto, sino que simplemente se ha instado a la ejecución de unas medidas cautelares de forma inmediata a la vista de que no se ha producido el cese voluntario por parte de la empresa. Los usuarios han podido seguir reservando trayectos sin ningún problema en todas las ciudades que ofrecían este servicio. El problema es que el objetivo final es que se suspenda de forma efectiva la transmisión, el alojamiento de datos, el acceso a las redes de telecomunicaciones así como la prestación de cualquier otro servicio equivalente de intermediación en relación con Uber. En la práctica, y como ha quedado demostrado, el bloqueo completo de una aplicación basada en Internet como es la de Uber resulta muy complicado, existiendo multitud de obstáculos para conseguir una efectividad plena con una medida que no llegue a ser desproporcionada.

La primera cuestión que debemos tener en cuenta es que, en la actualidad, Uber ofrece únicamente el servicio denominado Uber Pop en España. Un servicio que califica de low cost y que es prestado por conductores particulares, circunstancia que ha sido tenida en cuenta por el juez a la hora de adoptar la prohibición de prestación del servicio. Lo que en ocasiones se ignora es que, si se tratara efectivamente de economía colaborativa (es decir, compartición de gastos) nos encontraríamos ante un supuesto que quedaría fuera de la Ley de Transporte Terrestre y, por tanto, no podría haberse adoptado una medida como ésta.

Otra circunstancia que debemos tener en cuenta es que Uber presta otros servicios basados en licencias VTC y similares en otros países, y que en el caso de haberse prestado en España añadirían un nuevo factor a tener en cuenta antes del bloqueo de sus servicios al entender que podría resultar desproporcionada una medida que afectara un servicio conforme a Derecho.

Otro de los problemas que podemos observar es que el bloqueo, requerido a prestadores de servicios de acceso a redes, se ha llevado a cabo impidiendo el acceso a los dominios correspondientes a Uber usando los DNS de los diversos prestadores. Desde esta mañana, el intento de acceder a la página principal de Uber daba error por imposibilidad de encontrar la dirección asociada a dicho dominio, y el mismo problema de conectividad mostraba la app. La cuestión aquí es que el acceso directamente a través de la dirección IP continuaba siendo posible, con lo cual simplemente usando DNS públicas ajenas a los prestadores requeridos, o simplemente modificando un ficheron en nuestros dispositivos, puede continuar teniéndose acceso a los servicios de Uber. Lo mismo ha sucedido con la aplicación para móvil, que esta tarde contaba con una actualización que permitía su uso pese a los bloqueos en los prestadores.

El auto era claro, y no hablaba del bloqueo de un dominio concreto relacionado con Uber, sino el cese en la prestación de cualquier servicio relacionado con la entidad. Bloquear exclusivamente el dominio y no filtrar toda petición a la dirección IP correspondiente es, a mi juicio, un cumplimiento deficiente del requerimiento. Es complicado conocer toda dirección asociada a una empresa, pero sí pueden determinarse al menos aquellas relacionadas con los dominios que sí han sido bloqueados.

Puede discutirse la efectividad de la medida en base al conocimiento real que los usuarios de Internet tienen del funcionamiento de los DNS, dado que muchos utilizan simplemente aquellos que les son facilitados por defecto por su operador, pero no es menos cierto la facilidad de encontrar a través de cualquier buscador tutoriales completos para el cambio por otros servicios públicos. Los usuarios que continúen interesados en utilizar el servicio Uber podrán encontrar cómo hacerlo, y sin mucha dificultad.

Dicho lo anterior, tampoco puede negarse que incluso en el caso de que se hubiera llevado a cabo un bloqueo que incluyera las direcciones existentes para los servicios de Uber, los titulares podrían haber simplemente habilitado otra dirección para el acceso desde España y así eliminar dicho obstáculo, o simplemente cambiar la forma en que se accede al servicio. Es posible que este tipo de actuaciones conllevara consecuencias legales para Uber, pero la posibilidad técnica existe y es viable. Esto nos lleva a otra cuestión relacionada que no ha sido tomada en cuenta: que nos encontramos ante una aplicación usada en terminales móviles.

Estas aplicaciones son distribuidas a través de las plataformas correspondientes a cada sistema operativo móvil, que permiten su rápida localización, descarga y actualización. Un bloqueo como puede ser el de DNS ha sido fácilmente solventado a través de una actualización distribuida en estas plataformas, y cualquier medida de bloqueo puede ser respondida a través de una nueva actualización. Nada dice el auto respecto a requerimientos dirigidos a los titulares de estos servicios, lo cual llama la atención cuando sí resulta posible la limitación geográfica en la distribución de aplicaciones.

De nuevo podríamos discutir la proporcionalidad en el bloqueo completo de la aplicación, pero si se ha solicitado el bloqueo completo de la web, no debería haberse omitido el supuesto de estas aplicaciones. El bloqueo de una aplicación debe pasar primero por impedir el cambio en la forma en que se comunica, para poder posteriormente bloquear todas aquellas direcciones a las que se accede. Si se permite su cambio en los terminales de los usuarios de manera sencilla, ninguna medida que se adopte podrá ser efectiva.

Es cierto que continuaría siendo posible la instalación de la aplicación desde otras fuentes como puede ser descarga directa, y que en futuras versiones se podría incluir la posibilidad de obtener nuevas direcciones IP que se saltaran el bloqueo a través de mecanismos como pueden ser mensajes SMS, pero no puede negarse que con vistas al usuario medio, la efectividad sería mucho más alta que no simplemente permitir que cualquier persona obtenga una nueva versión en el Market con la capacidad de saltarse el bloqueo.

Otro problema es si realmente un bloqueo absoluto de todo servicio relacionado con Uber en España es realmente proporcional. Recordemos que estas medidas discrecionales han sido impuestas sin posibilidad de que la otra parte se pronuncie al respecto, y que en realidad estamos llegando a conclusiones pensando en un caso muy concreto, los servicios que presta esta Empresa en España. Uber no se limita a Uber Pop, pero además los servicios de esta empresa no se prestan únicamente en España. Un bloqueo absoluto de su página web impide de hecho obtener información como puede ser la de los servicios ofertados en otras ciudades así como la reserva de viajes en supuestos que sí pueden ser conformes a Derecho. El problema no es Uber, el problema es Uber Pop en España, y es desde esta perspectiva que debemos analizar el caso y la proporcionalidad de las medidas.

Podría argumentarse que, una vez no acatado el cierre de forma voluntaria, difícilmente puede bloquearse únicamente la sección correspondiente a una ciudad en la página web de Uber, pero el problema tal vez está en que nos centramos en el bloqueo de la página en sí, y no en el aspecto económico, que es la base misma del servicio. En realidad, que pueda accederse a la página no resulta importante mientras se de cumplimiento efectivo del requerimiento dirigido a las entidades de pago incluidas en el Auto. A mi parecer, resulta mucho más proporcional una vez ponderados derechos eliminar cualquier método de obtención de ingresos de Uber dentro de España, vinculados en la actualidad con servicios que no cumplen con los requisitos de la Ley, que no el bloqueo de todo servicio asociado con una determinada página web.

Respecto a los usuarios del servicio, la realidad es que la situación para ellos no ha cambiado. Siguen siendo usuarios de un servicio no autorizado y sometido a la normativa sobre transporte terrestre, con lo cual si corresponde podrían ser objeto de las sanciones ya existentes para los usuarios de “taxis pirata”. El problema en este caso está en la dificultad de probar en la práctica la realización del servicio y el pago correspondiente, más cuando la parte que es utilizada en muchas ocasiones para identificar a estos servicios no autorizados (el usuario) sería asimismo perjudicado por la sanción.

De momento, y a falta de ver cómo continúa el proceso y la esperada oposición a las cautelares de los abogados de Uber lo cierto es que las medidas gozan de una efectividad muy limitada. Con los prestadores ya en teoría bloqueando el servicio, continúa siendo posible reservar carreras sin dificultad, y los nuevos usuarios pueden continuar descargando la aplicación con lo que el mercado de usuarios potenciales continúa creciendo. Esto no es más que otra muestra más de la dificultad de adoptar este tipo de medidas en servicios tan globales como son los que se prestan a través de Internet.