Safe Harbour y el reciente fallo Schrems del Tribunal de Justicia de la Unión Europea. ¿De qué estamos hablando?

¿ Por qué resulta tan relevante lo decidido esta semana por el Tribunal Superior Europeo respecto al Safe Harbour (acuerdo entre Estados Unidos y la Unión Europea respecto a la transferencia a EEUU de datos de ciudadanos europeos)?

¿Qué es el Safe Harbour Agreement (en adelante “el Acuerdo¨)?
El Safe Harbour Agreement se encuentra vigente desde el año 2000, y es el mecanismo a través del cual los datos personales de los ciudadanos europeos pueden ser transferidos a empresas americanas en los Estados Unidos. A tales fines se debe recordar que se considera que los Estados Unidos no cuenta con un adecuado nivel de protección de los datos personales.  Lo cual resulta gravitante bajo la Directiva de Protección de Datos de la Unión Europea (de fines de la década de los 90 y próxima a ser modificada) ya que permite que los datos puedan ser transferidos fuera de la Unión Europea a países con un adecuado nivel de protección de datos personales.
Frente a la restricción existente la Unión Europea y los Estados Unidos negociaron el Acuerdo para permitir que los datos personales pudieran seguir circulando entre dichos espacios. A tales fines las corporaciones podían en los Estados Unidos adherir voluntariamente a una lista de principios incluidos en el Acuerdo, y considerándose en consecuencia como cumplidoras del requerido nivel de protección de datos personales para poder recibir datos transferidos desde la Unión Europea.
Los 7 principios del Acuerdo consistían en:
1)   Informar. Las compañías deben suministrar un adecuado nivel de conocimiento acerca de su prácticas de recolección de datos personales, uso y revelación.
2)   Elección. Los titulares de los datos tienen la opción de exigir de excluir determinados usos de sus datos (opt out) y en el caso de datos sensibles requiere un consentimiento expreso del titular para su uso (opt in).
3)   Transferencias subsiguientes: Cualquier transferencia a terceras partes están permitidas sólo si se garantiza que esa tercera parte tiene un adecuado nivel de protección para el tratamiento de datos personales.
4)    Seguridad: Los datos personales deben ser protegidos con medidas de precaución razonable.
5)   Integridad: La información personal deberá ser relevante a los fines para los cuales se pretende utilizar, relevante para el uso comprometido, precisa, completa y actualizada.
6)   Acceso: Los titulares de los datos deben tener acceso a sus datos y la posibilidad de corregir errores.
7)  Cumplimiento: Se exige la existencia de criterios de aplicación de sanciones por incumplimiento independientes.
¿De qué se trató el caso de Schrems?
Max Schrems, es un abogado austriaco especialista en datos personales, que demandó a Facebook en Irlanda, lugar donde se encuentra su casa matriz.  Schrems consideró que su derecho de privacidad se encontraba violado por los programas de vigilancia de la NSA (National Security Agency) de los Estados Unidos, oportunamente denunciados por Snowden.  Y en relación a la temática en cuestión, alegó que Facebook transfería sus datos a sus servidores ubicados en los EEUU, y la ley de EEUU no brindaba suficientes garantías de protección para sus datos personales respecto a las autoridades de cumplimiento de dichos programas de vigilancia
En una primera instancia la autoridad  irlandesa encargada de velar por la protección de los datos personales se negó a investigar el caos porque consideró que existe un adecuado nivel de protección cuando los datos son transferidos a empresas americanas bajo el Acuerdo.  Ante lo cual dicho pronunciamiento fue apelado, sosteniendo la Corte de Irlanda que se debería solicitar opinión a la Corte de Justicia Europea si los países se encontraban imposibilitados de investigar reclamos respecto al nivel de protección brindada a los datos personales en caso que involucren transferencias de los mismos a los Estados Unidos.
En el referido caso el tribunal europeo consideró que cada país tiene el derecho a determinar por si mismo si existe en un tercer país un nivel adecuado de protección sobre los datos personales, y por ende si autoriza o no la transferencia de los datos de sus ciudadanos a dicho país. 
Sin embargo lo más trascendente de este pronunciamiento judicial pasa porque la Corte declaró al Acuerdo como inválido ya que Estados Unidos, a su entender, no brindaba un freno o límites a las tareas de investigación del gobierno sin que los tribunales americanos hayan podido otorgar una tutela judicial efectiva ante  dichas tareas gubernamentales, y en consecuencia viéndose comprometido el artículo 8 de la Carta Orgánica de la Unión Europea que protege los datos personales.
¿Cuáles serían las implicancias de este pronunciamiento?
 Se estima que existen 4500 compañías que se benefician de la utilización del Acuerdo para transferir sus datos de Europa a Estados Unidos, y que se verían afectadas debiendo proceder a buscar algún otro medio para transferir sus datos distinto al Acuerdo. Entre estos medios adicionales se encuentran las reglas vinculantes corporativas (Binding Corporate Rules), cláusulas contractuales modelo así como la obtención del consentimiento de los titulares para la transferencia de los datos. Sin embargo los modelos de contratos desarrollados por la Comisión Europea para proveedores de servicios de cloud computing y sus servicios son mucho más onerosas que la que regían con el Acuerdo.
La facultad para transferir datos en forma sencilla y efectiva entre la Unión Europea y Estados Unidos es crítico para el desarrollo de los negocios en una moderna economía digital comandada por los datos, y donde Internet se encuentra dominado por empresas americanas cuyos servidores se encuentran ubicados en territorio estadounidense. Sin duda que transferir datos a través del Atlántico resulta ser mucho más barato que tener presencia en Europa, principalmente en lo que respecta a las empresas más jóvenes.
Sin embargo las exigencias de la Unión Europea respecto al consentimiento para la transferencia de datos son mucho más estrictas que las aplicadas en EEUU. Bajo la Directiva Europea el consentimiento debe ser expreso y dado en forma libre, sin poder considerarse implícito ni sujeto a presiones y condicionamientos como sucede en algunos supuestos en los Estados Unidos.
Algunos también encuentran una significativa repercusión desde un punto de vista de política internacional, al estar próxima a sancionarse una nueva directiva europea sobre protección de datos personales, lo que implicará sin duda una nueva rueda de negociaciones entre la Unión Europea y Estados Unidos para ajustar el Acuerdo a los requisitos más exigentes de la nueva directiva a dictarse. Al decretarse nulo o inválido el Acuerdo las negociaciones deberán recomenzar de cero, y no utilizando al Acuerdo como punto de partida.
Este pronunciamiento va a venir a cambiar los parámetros a los cuales se deben sujetar las compañías en sus políticas internas de compliance en materia de privacidad puesto que deberán cumplimentar con los recaudos de los marcos jurídicos de privacidad de la Unión Europea.
Otra derivación interesante está dada por el conflicto judicial enteramente relacionado a esta temática, que se está desarrollando del otro lado del océano con Microsoft, que se opone la intento del gobierno de obtener información ubicada en servidores localizados en Irlanda. Sin dudas el criterio adoptado por el tribunal superior de la Unión Europea difiere ostensiblemente de lo decidido por la Corte Suprema de los Estados Unidos en el caso ACLU v. Clapper de mayo de 2015, donde consideró que la preocupación de los accionantes de estar sujetos a un plan de vigilancia a cargo de la NSA no les daba suficiente legitimación para iniciar una acción.

La situación que se origina con el fallo Schrems refleja las grandes diferencias culturales y políticas entre Europa y Estados Unidos respecto a la privacidad on line. Por un lado la Unión Europea la considera como un derecho humano fundamental; mientras que Estados Unidos la considera una cuestión de derechos del consumidor que admite excepciones cuando está en riesgo la seguridad nacional.

Este conflicto traerá aparejado que cada organismo regulador nacional de protección de datos personales defina los lineamientos a cumplimentar en materia de transferencia de datos a Estados Unidos. Resulta imprescindible que haya una coherencia y uniformidad en la aplicación de los criterios de los diferentes países, y evitando que la situación no se vuelva más engorrosa para las empresas americanas, y también para los consumidores europeos que desean contar con los servicios y contenidos ofrecidos on lime por las mismas, y que los puede llevar a resignar en el alcance de la garantía legal de su privacidad on line. Al fin y al cabo la privacidad está siendo la moneda de cambio que paga muchas de las prestaciones ofrecidas en Internet.

Pareciera ser que no son tiempos fáciles para las compañías de tecnologías americanas para sus actividades en Europa, este parece ser un capítulo relevante en esta historia de conflicto con las entidades reguladoras europeas que han incluido investigaciones por privacidad, manejo de datos y leyes de defensa de la competencia







Comentarios

Entradas populares de este blog

El Acuerdo de infraestructura de red celebrado entre Netflix y Comcast pese a no afectar directamente a la neutralidad de red demuestra la necesidad de extender el ámbito de aplicación de este principio.

Memo from European Commission regarding Net Neutrality and the regulatory proposal for a Connected Continent.