Socio director S2 GRUPO

Se está garantizando adecuadamente la protección de nuestros datos personales ante su uso y gestión por parte de las redes sociales como Facebook? Aparentemente, no.

El pasado 6 de octubre, el Tribunal de Justicia de la Unión Europea declaró nula una decisión de 26 de julio de 2000 de la Comisión Europea, con respecto a la directiva 95/46/CE, que aceptaba la adecuación de la protección conferida por los principios de puerto seguro, como garantía suficiente de cumplimiento de la normativa comunitaria en materia de protección de datos de carácter personal.

El concepto de puerto seguro nos viene, como tantos otros términos, del inglés Safe Harbor e indicaba, al menos inicialmente, un puerto que servía de refugio a cualquier embarcación, en caso de necesidad. Por extensión, el término ha acabado por significar cualquier tipo de registro o declaración de principios al que una entidad puede acogerse para obtener la seguridad jurídica de que no puede ser demandada por que su comportamiento incurra en el incumplimiento de una ley no demasiado precisa. En otras palabras, si se cumple con los principios de “puerto seguro”, se tiene la seguridad de no quedar expuesto al criterio de un juez o un tribunal, en cuanto al cumplimiento de una determinada ley.

En el ámbito de la protección de datos, la administración USA estableció en su momento el US Safe Harbor Privacy Principles of Notice, Choice, Onward Transfer, Security, Data Integrity, Acess and Enforcement, con la intención de proteger a las empresas que a ello se acogen de la arbitrariedad en la interpretación de la directiva comunitaria antes mencionada. La mayor parte de las empresas estadounidenses que manejan nuestros datos personales se han comprometido con estos principios (léase Google, Apple o Facebook), como indican en sus políticas de privacidad, lo que les permite trasladar sus datos, perdón, los nuestros, a USA.

Siempre que cumplan con las condiciones que garantizan su protección, claro.

Suena bien, hasta que uno se interesa por saber qué significa y a qué obliga la declaración de acogida a este puerto seguro. El hecho es que obliga a muy poco. La entidad que se acoge, se compromete a cumplir con las normas, a poner de su parte la voluntad de hacerlo, pagar una cuota anual bastante económica y poco más. Ni auditorías externas, ni régimen sancionador aplicable. Y, además, al estar los datos en territorio USA, y según las leyes de aquel país –Patriot Act entre ellas– las empresas tienen la obligación de ceder esos datos ante una petición del gobierno americano.

El problema está en que la Comisión Europea publicó una decisión en la que se aceptaba que la normativa de puerto seguro era requisito suficiente para aceptar que las empresas que se acogieran a ella estaban cumpliendo con la normativa europea de protección de datos, lo que simplificaba mucho su situación legal. Cualquier demanda que se planteara, por parte de un ciudadano europeo, tenía en su contra la previa aceptación de la validez del registro.

Con la mencionada decisión del Tribunal Europeo, la situación legal ha cambiado. Un ciudadano austríaco, abogado por más señas, presentó en 2013 una denuncia ante la autoridad irlandesa competente en materia de protección de datos, en contra de Facebook, indicando que esta compañía incumple con la normativa europea de protección de datos, a pesar de estar adscrita al puerto seguro, al transferir los datos de su filial irlandesa a los servidores en USA. El Tribunal Superior de Irlanda ha planteado el caso al Tribunal de Justicia de la Unión Europea y este ha dictaminado que la directiva de la Comisión no es válida y ha invalidado, por tanto el puerto seguro.

Esto deja la decisión en manos de Estados miembros de la Unión Europea y causa precedente, por lo que legalmente, el asunto se presenta feo para Facebook (y para otras empresas que manejan nuestros datos).

¿Cuál será la consecuencia de esta sentencia? No es fácil saberlo. De momento, Facebook está en una situación de claro incumplimiento legal, expuesto a demandas por parte de sus usuarios. Por otra parte, está por ver si alguno de los países de la UE está dispuesto a exigir las medidas de protección de datos a Facebook que se requieren para proteger a sus ciudadanos.

La solución podría pasar por mantener los datos personales de los ciudadanos europeos en un país de la UE, y garantizar el cumplimiento de las leyes europeas, sometiéndose a su régimen sancionador. Pero lo cierto es que no acabamos de creernos que eso vaya a suceder. Esperamos con interés el nuevo desarrollo de los acontecimientos.