Las consecuencias de la sentencia Schrems sobre el modelo “safe harbor” de protección de datos
La reciente Sentencia del TSJUE dictada en el caso Schrems y la nota de prensa que la precedió han dado lugar a un vivo debate. Aquí intentaremos desgranar el caso y apuntar las eventuales consecuencias prácticas que pudiera generar, especialmente a las empresas españolas.
En primer lugar, analicemos el conflicto. El Sr. Maximillian Schrems, ciudadano austriaco, basándose en las revelaciones realizadas en 2013 por el Sr. Edward Snowden en relación con las actividades de los servicios de información de Estados Unidos (en particular, la National Security Agency o «NSA»), sostenía que debía comprobarse, por parte del equivalente a la Agencia Española de Protección de Datos, si las empresas incluidas en el sistema denominado “safe harbor” (puerto seguro) de EE.UU. de manera efectiva satisfacían los requisitos que impone la normativa europea de protección de datos.
Es decir, el principal conflicto residía en determinar si las autoridades nacionales europeas se encuentran facultadas para comprobar el cumplimiento de su normativa nacional y comunitaria sobre protección de datos. En un primer momento, dicha petición le fue denegada basándose en la Decisión 2000/520/CE de la Comisión, de 26 de julio de 2000 que daba carta de naturaleza al diseñado modelo “safe harbor”, objeto de un extenso y actual análisis en este trabajo enlazado. En este punto el Tribunal es claro y tajante: “una decisión de esa naturaleza no puede dejar sin efecto ni limitar las facultades expresamente reconocidas a las autoridades nacionales de control”, de forma que “toda autoridad nacional de control está investida, por tanto, de la competencia para comprobar si una transferencia de datos personales desde el Estado miembro de esa autoridad hacia un tercer país respeta las exigencias establecidas por la Directiva 95/46. “
Así, el hecho de la que Comisión haya “validado” el modelo “safe harbor” estadounidense, no impide que una autoridad nacional, como la Agencia de Protección de Datos, efectúe las labores de comprobación que considere pertinentes.
Pero la sentencia no se queda solamente en eso, va más allá, pues entra a analizar la validez de la Decisión de la Comisión sobre el “puerto seguro” estadounidense, para subrayar que en dicha Decisión, la Comisión no comprobó si se garantizaba el cumplimiento de la normativa europea, sino que simplemente se limita a analizar el régimen de puerto seguro. El tribunal europeo, sin entrar a analizar si el régimen concreto de puerto seguro cumple la normativa europea, constata que, en cualquier caso, las empresas norteamericanas están obligadas a dejar de aplicar el régimen del puerto seguro ante las autoridades públicas estadounidenses, por lo que todas las eventuales previsiones de este régimen quedarían en papel mojado. Además, si esta decisión supone privar a las autoridades nacionales de las facultades de control que le corresponden, el tribunal considera que la Comisión carecía de competencia para restringir de ese modo las facultades de las autoridades nacionales de control, por lo que acaba declarando inválida la Decisión de la Comisión, tal y como ha destacado la Agencia Española de Protección de Datos.
Y ahora las consecuencias de esta decisión. De un lado, los ciudadanos europeos, como el Sr. Schrems, podrán exigir de sus respectivas Agencias de Protección de Datos que se compruebe si en su caso concreto se respeta la normativa y, en su caso, instar la suspensión de la transferencia de datos. En este sentido la Agencia Española de Protección de Datos ha indicado que “las Autoridades europeas de protección de datos, que ya observaron deficiencias en el Puerto Seguro y las plasmaron en varias cartas y dictámenes, han planificado actuaciones para coordinarse en el análisis de las implicaciones de la sentencia y en las actuaciones nacionales que deban llevarse a cabo, garantizando una aplicación consistente de la misma en todos los países de la UE.”
Y en relación con las empresas españolas que pudieran estar afectadas por mantener flujos de datos con empresas estadounidenses, hay que tener en cuenta que esta sentencia no implica que se prohíban por completo las transferencias de datos a los Estados Unidos, sino que esos flujos, si no nos encontramos en uno de los supuestos de excepción previstos, requerirán autorización del Director de la Agencia Española de Protección de Datos. Es preciso destacar en cualquier caso que el incumplimiento del régimen sobre transferencias internacionales de datos es considerado una infracción muy grave sancionable con multa de hasta 600.000 Euros), por lo que hay que andarse con ojo.
Para entender las consecuencias prácticas, pensemos en una tienda online que tiene contratado con una norteamericana el alojamiento, pasarela de pago o cualquier servicio similar que implique el acceso o tratamiento de datos. Sería la figura del encargado del tratamiento. De entrada, habría que tener un contrato, análogo a cualquier encargado del tratamiento que actuara en el mercado español o europeo y cumplir las previsiones relativas a esta figura que contiene nuestro ordenamiento. Pero en lo que se refiere a las acciones que se deben tomar en relación con la transferencia internacional, si no se quiere cambiar de proveedor de servicios, habría dos opciones. La primera es solicitar autorización al Director de la Agencia. La segunda, mucho más cómoda, es ver si resulta aplicable alguna de las excepciones que prevé la normativa. Las más socorridas son las siguientes:
– Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
– Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
– Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
De las tres, las dos últimas, en mayor medida que la primera, contienen conceptos un tanto indeterminados, susceptibles de interpretaciones diversas y potencialmente conflictivos. Por tanto, la más utilizada es la primera: recabar el consentimiento del usuario. Dado que para tratar sus datos es preciso obtener su consentimiento, habría que incluir en ese párrafo de la política de privacidad una referencia a que el usuario también consiente esa transferencia internacional. El detalle de los datos a proporcionar al usuario sería un debate aparte.
Incluso podría irse más allá y poner de manifiesto, ya en la política de privacidad, en caso de ser así, que dicha transferencia es necesaria para la ejecución de la relación que se entabla con el usuario, recabando en todo caso su consentimiento para ello.
Pero hay empresas que pueden verse implicadas en las transferencias que no mantienen contacto con las personas cuyos datos son objeto de tratamiento. Pensemos, por ejemplo, en una empresa de hosting que tiene contratado un servicio de copias de seguridad de las webs de sus clientes en Estados Unidos (subencargado del tratamiento). En este caso, la empresa de hosting debería informar en el contrato con sus clientes sobre los servicios que son objeto de subcontratación y ahí es donde habría que hacer referencia a que esos servicios implican una transferencia internacional de datos y que será responsabilidad del cliente cumplir la normativa correspondiente, procediendo, en caso de ser necesario, a recabar el consentimiento de sus usuarios.
En resumen, revisar la política de privacidad y los contratos con clientes y proveedores.
Pero no siempre será posible acudir a estos supuestos de excepción, en cuyo caso habrá que solicitar la autorización del Director de la Agencia Española de Protección de Datos.
En cualquier caso, habrá que estar pendiente de las labores de coordinación anunciadas por las autoridades nacionales de control que irán dando más detalles sobre el régimen de aplicación.
