Analizamos las recientes conclusiones EE.UU. del Abogado General de la UE respecto el caso “Maximilian Schrems vs Irish Data Protection Comissioner”, a propósito de la cuestión prejudicial elevada por la High Court Irlandesa, y que cuestiona seriamente el régimen de transferencias internacionales de datos con destino a Estados Unidos.
1. Antecedentes
Hasta el día de hoy, EE.UU. no es considerado un país que ofrece un nivel de protección equiparable en materia de protección de datos. Ello supone que las transferencias de datos a dicho país están prohibidas por defecto y, exigen una autorización individual por parte de las autoridades nacionales de protección de datos de cada respectivo país de origen de los datos, en nuestro caso la Agencia Española de Protección de Datos.
En dicho proceso de autorización se debe demostrar que la transferencia puede incluirse en alguno de los supuestos que permite la obtención de dicha autorización, así como la existencia de salvaguardas (contractuales, de seguridad de los datos, etc.) que aseguren que el cedente y cesionario de los datos van a dar una protección adecuada a los datos.
Uno de los medios utilizados para obviar la necesidad de dicha demostración de protección equiparable es que las organizaciones de EE.UU que reciben la transferencia de datos se hayan adherido voluntariamente a los principios del acuerdo de Puerto Seguro (Safe Harbour).
Se trata de una certificación de pertenencia a un estándar operado por el Departamento de Comercio de EE.UU. y supervisado por la FTC (Federal Trade Comission).
Dicho mecanismo fue validado por la Comisión de la Unión Europea mediante la Decisión 520 en el año 2000, determinando que las organizaciones americanas voluntariamente adheridas al mismo. dotaban de un nivel de protección equiparable.
2. La controversia: “Maximilian Schrems vs Irish Data Protection Comissioner”
El 24 de Septiembre se publicaron las conclusiones del Abogado General de la UE en el caso “Maximilian Schrems vs Irish Data Protection Comissioner”, respecto una cuestión prejudicial de la High Court Irlandesa.
Este caso se conoce en ciertos ámbitos como Schrems vs Facebook, ya que trae causa de una reclamación que dicho individuo planteó ante la autoridad de protección de datos Irlandesa contra Facebook Irlanda, dado que los servidores y datos de dicha compañía están alojados en EE.UU. Según los argumentos del reclamante dicha transferencia internacional de datos realizada a dicho país sobre la base del protocolo de Puerto Seguro (Safe Harbor), dejaba sin protección a los ciudadanos de la UE al realizarse en dicho país, entre otras cuestiones, tratamientos y captaciones masivas de datos por parte de los Servicios de Inteligencia del Estado, como se había demostrado por las relevaciones derivadas de las filtraciones causadas por el caso Snowden.
La autorización nacional de protección de datos Irlandesa consideró que, dado que Facebook estaba adherida en EE.UU. al protocolo de Puerto Seguro, no debía investigar la reclamación porque la decisión de la UE del año 2.000 determinaba la existencia de un nivel de protección equiparable, restándole cualquier ámbito de actuación.
Ante la falta de actuación por parte de la autoridad Irlandesa, el reclamante inicio una acción ante la High Court Irlandesa que elevó una cuestión prejudicial ante el Tribunal de Justicia de la UE. En dicho proceso, el Abogado General hace un primer análisis y recomendación a la Corte Europea.
3. Conclusiones del Abogado General
Las conclusiones del Abogado General son concluyentes en el sentido que la decisión 2000/520 de la Comisión de la UE debe interpretarse de manera que no se puede anular, ni tan siquiera reducir, las facultades que tienen las autoridades nacionales de control en virtud de la Directiva 95/46 sobre el tratamiento de datos personales.
Además, va más allá, y determina que dicha decisión 2000/520 es nula en cuanto que determina que las organizaciones adheridas al protocolo del Puerto Seguro otorgan un nivel de protección equiparable a las organizaciones europeas sometidas a la Directiva 95/46.
En este sentido, opina el Abogado General, que en la medida en que la existencia de una excepción que permite de manera tan general e imprecisa eludir los principios del régimen de puerto seguro, impide por sí misma, considerar que dicho régimen garantiza un nivel de protección de datos de carácter personal que son transferibles desde la Unión a EEUU.
4. Impacto para las organizaciones europeas
Las conclusiones del Abogado General no son vinculantes para el Tribunal de Justicia, si bien la mayoría de las veces sirven de guía y son coincidentes con la decisión final de la Corte Europea.
Es decir, desde un punto de vista formal nada ha cambiado aun, aunque podría hacerlo en un futuro cercano si el Tribunal de la UE finalmente determina la invalidez de la decisión 2000/520.
Aunque es aventurado saber cuándo se producirá y cuál será el contenido exacto de la resolución final de la Corte, en el caso de coincidir con el Abogado General puede producirse una suspensión del acuerdo de Puerto Seguro.
Ello determinaría que las transferencias internacionales realizadas bajo dicho supuesto carecerían de amparo legal por lo que podría suponer, en un primer momento, la paralización de dichos tratamientos de datos y la necesidad de evaluar el “retorno” de los datos.
Como primeros afectados podrían estar todas las organizaciones europeas que tengan matrices o filiales en EE.UU y que de alguna manera estén exportando datos a dicho país.
También cualesquiera otras que, sin necesidad de un establecimiento en EE.UU., utilicen proveedores de servicios localizados en dicho país como servicios de outsourcing tecnológico en general, proceso de Software –, incluyendo especialmente los grandes proveedores de cloud computing–, call center con cobertura 24/365 que utilicen medios humanos o tecnológicos basado en dicho país, etc.
En caso de respuesta afirmativa a lo anterior, las alternativas a evaluar podrían ser, entre otras, la formalización de acuerdos basados en las cláusulas modelos aprobadas por la UE, así como en algunos casos la posibilidad de ir a esquemas de Binding Corporate Rules, siendo el último supuesto la necesidad de analizar la posibilidad de recabar un consentimiento inequívoco del afectado.
Por otro lado, tanto la Directiva 95/46 como la propia decisión 2000/520, se encuentran al final de un proceso de revisión que debería culminar con la publicación de un nuevo Reglamento Europeo de protección de datos y, un supuesto acuerdo de Puerto Seguro con EE.UU.
Es evidente que las conclusiones del Abogado General impactarán sobre las actuales negociaciones y en función del momento de su aprobación y promulgación pueden dar lugar a escenarios diversos a los que tendremos que adelantarnos en las próximas semanas.
En cualquier caso, a pesar de las referidas conclusiones del Abogado General, deberemos estar a la resolución definitiva del Tribunal, cuya publicación, en teoría, se había previsto para principios del mes de octubre.