SAFE HARBOR: Las Autoridades europeas de Protección de Datos publican una declaración conjunta en relación con la aplicación de la sentencia del TJUE.

El Grupo de Trabajo del Artículo 29 hace un llamamiento a los Estados miembros y a las Instituciones europeas para encontrar soluciones políticas, jurídicas y técnicas que permitan transferencias de datos a EEUU respetando los derechos fundamentales.

Las Autoridades de protección de datos de los Estados miembros de la UE, reunidas en el Grupo de Trabajo del Artículo 29, del que forma parte la Agencia Española de Protección de Datos, han publicado una declaración conjunta sobre las primeras consecuencias que se pueden extraer a nivel europeo y nacional tras el histórico fallo de la Corte de Justicia de la Unión Europea (TJUE) de 6 de octubre de 2015 en el caso Maximilian Schrems vs. Comisionado de Protección de Datos (C-362-14). Las Autoridades de protección de datos de la UE consideran que es absolutamente imprescindible contar con una posición sólida, colectiva y común sobre la aplicación de la sentencia. Por otra parte, el Grupo de Trabajo observará de cerca la evolución de los procedimientos pendientes ante el Tribunal Supremo de Irlanda.

En primer lugar, el Grupo de Trabajo subraya que la cuestión de la vigilancia masiva e indiscriminada es un elemento clave del análisis del Tribunal. El Grupo recuerda que ha declarado reiteradamente que dicha vigilancia es incompatible con el marco jurídico de la UE y que las herramientas de transferencia existentes no son la solución a este problema. Además, como ya ha manifestado, las transferencias a terceros países en los que los poderes de las autoridades estatales para acceder a información exceden de lo necesario en una sociedad democrática no serán consideradas como destinos seguros para las transferencias. En este sentido, la sentencia del Tribunal exige que cualquier decisión de adecuación implique un amplio análisis de las leyes nacionales del país destinatario de los datos, así como de sus compromisos.

Por lo tanto, el Grupo de Trabajo hace un llamamiento urgente a los Estados miembros y a las Instituciones europeas para iniciar conversaciones con las autoridades de EEUU a fin de encontrar soluciones políticas, jurídicas y técnicas que permitan transferencias de datos al territorio de EEUU respetando los derechos fundamentales. Estas soluciones se podrían encontrar a través de las negociaciones de un acuerdo intergubernamental que proporcione mayores garantías a los interesados en la UE. Las actuales negociaciones en torno a un nuevo Puerto Seguro podrían ser una parte de la solución. En cualquier caso, estas soluciones deberían ir siempre acompañadas por mecanismos claros y vinculantes e incluir, al menos, obligaciones sobre la necesaria supervisión del acceso por parte de las autoridades públicas, sobre transparencia, proporcionalidad, mecanismos de reparación y derechos recogidos en la legislación de protección de datos.

Mientras tanto, el Grupo de Trabajo continuará su análisis del impacto de la sentencia del TJUE en otras herramientas de transferencia. Durante este período, las Autoridades de protección de datos consideran que las Cláusulas Contractuales Tipo y las Normas Corporativas Vinculantes (BCRs) pueden seguir utilizándose. En cualquier caso, esto no impedirá que las Autoridades de protección de datos investiguen casos particulares, por ejemplo, a partir de denuncias, y ejerzan sus poderes con el fin de proteger a las personas.

Si a finales de enero de 2016 no se ha encontrado una solución adecuada con las autoridades estadounidenses, y en función de la evaluación de las herramientas de transferencia por parte del Grupo de Trabajo, las Autoridades de protección de datos de la UE se comprometen a adoptar todas las medidas necesarias y apropiadas, que pueden incluir acciones coordinadas de aplicación de la ley (enforcement).

En cuanto a las consecuencias prácticas de la sentencia del TJUE, el Grupo de Trabajo considera que está claro que las transferencias procedentes de la Unión Europea a EEUU ya no se pueden enmarcar en la Decisión de Adecuación de la Comisión Europea 2000/520/CE (la llamada “Decisión Puerto Seguro”). En cualquier caso, las transferencias que aún se estén llevando a cabo bajo la Decisión Puerto Seguro tras la sentencia del TJUE son ilegales.

Con el fin de garantizar que todos los actores están suficientemente informados, las Autoridades de protección de datos de la UE van a poner en marcha campañas de información adecuadas en sus respectivos países. Esto puede incluir información directa a todas las empresas respecto de las que conste que utilizaban la Decisión de Puerto Seguro, así como mensajes generales en los sitios web de las Autoridades.

En conclusión, el Grupo de Trabajo insiste en las responsabilidades compartidas entre las Autoridades de protección de datos, las Instituciones de la UE, los Estados miembros y las empresas para encontrar soluciones sostenibles para aplicar la sentencia del Tribunal. En particular, y en el contexto de la sentencia, las empresas deberían reflexionar sobre los eventuales riesgos que asumen al transferir datos y considerar la oportuna puesta en práctica de todas las soluciones legales y técnicas para mitigar esos riesgos y respetar el acervo comunitario de protección de datos.

(Nota de prensa de la AEPD)

SENTENCIA CASO SCHREMS: EL “SAFE HARBOR” Y LAS TRANSFERENCIAS INTERNACIONALES DE DATOS A EEUU

A tenor de las muchas informaciones publicadas al respecto de las transferencias internacionales de datos a EEUU, queremos hacerle algunas consideraciones:

  • Europa NO ha creado una prohibición para enviar datos hacia EEUU: ha declarado nula una decisión de la Comisión Europea que, básicamente, permitía la transferencia de datos personales desde Europa hacia EEUU sin necesidad de recurrir a autorizaciones especiales para llevarlas a cabo (adhiriéndose las empresas americanas al denominado “Safe Harbor”).
  • El resultado de la sentencia viene dado porque EEUU no protege adecuadamente los datos de ciudadanos europeos (como ha quedado demostrado cuando, autoridades como la NSA, acceden a estos datos sin que nadie pueda hacer nada al respecto). Y sí, es cierto que también las autoridades europeas lo hacen, pero en la mayoría de los casos se basan en órdenes judiciales para hacerlo.
  • ¿Es pues “legal” que empresas de EEUU sigan teniendo los datos de los europeos?. Es pronto para decirlo. Lo que es seguro es que harían bien en empezar a identificar -a nivel de las empresas que puedan tener subcontratadas y que tengan acceso a estos datos por el servicio que les prestan- los contratos que tienen suscritos con ellas, su vigencia y su posible revisión para adaptarlos al nuevo escenario.

Así pues, no había nada “ilegal” hasta la sentencia. Las idas y venidas de datos Europa-EEUU se iniciaron con el paraguas legal perfectamente válido; la nulidad del “Safe Harbor” es sobrevenida.

¿Qué convendría hacer si su empresa pertenece a Grupo Empresarial cuya matriz está en EEUU, o tiene proveedores encargados del tratamiento ubicados en EEUU?

  • Si en la actualidad está cediendo datos de sus empleados y/o clientes a la empresa matriz en EEUU, debería informar a aquéllos del cambio que se ha producido, solicitando su consentimiento para continuar tratando sus datos en EEUU.
  • Revisar los contratos con proveedores encargados del tratamiento ubicados en EEUU que tienen acceso a los datos de empleados y/o clientes, y adoptar unas “Cláusulas Tipo”, como las ya aprobadas por Europa para la transferencia de datos hacia países a los que la Comisión Europea no reconocía un nivel adecuado de protección. Y es que, desde ahora, Europa considera que EEUU es un país que no lo ofrece.
  • Solicitar información detallada a la matriz, o proveedores americanos, sobre sus sistemas y las medidas de seguridad que tiene implementadas, y probar que son sistemas son seguros, tener listos todos los procedimientos y políticas, y adoptar -en el Grupo de empresas- unas Normas Corporativas Vinculantes.

 Resumiendo: lo que se hacía hasta ahora tenía el amparo legal del “Safe Harbor”. Pero ahora la Unión Europea ha dictado sentencia, y las empresas en EEUU deberán adaptarse.

No obstante, la Unión Europea y  EEUU deben forjar un nuevo acuerdo de transferencia de datos transatlántico para ayudar a preservar los datos entre dos de los mayores socios comerciales del mundo.

La sentencia del Tribunal de Justicia de la Unión Europea crea nuevos riesgos legales para las empresas y dificulta crear un mercado único digital, ya que crea situaciones en las que el regulador en un país podría bloquear las transferencias de una empresa a los EEUU, mientras que el regulador en otro podría permitirlo.

La Comisión Europea ha dicho que está trabajando con las autoridades nacionales de protección de datos para asegurarse directrices claras para las empresas y para tratar de evitar un mosaico de contradecir las decisiones de los diferentes reguladores nacionales.

CASO SCHREMS: EUROPA HA DICTADO SENTENCIA.

Por su importancia y posible repercusión, ya nos hacíamos eco del “Caso Schrems” desde tiempo atrás (http://goo.gl/JifbDG  y  http://goo.gl/h7VqFr).

El Tribunal de Justicia de la Unión Europea ha dado la razón a Schrems, cuestionando la vigilancia de las instituciones europeas a las empresas estadounidenses y anula, en la práctica, el acuerdo Safe Harbour o “puerto seguro” que, desde el 2000 servía como marco para regular la transferencia de datos personales entre Europa y EEUU.

La sentencia abre la puerta a que las agencias de protección de datos nacionales (de los distintos países de la UE) puedan investigar si las empresas estadounidense ofrecen suficientes garantías. Habrá que ver las repercusiones inmediatas que tendrá esta sentencia en la práctica.

“CASO SCHREMS”

El Abogado General del Tribunal de Justicia de la UE ha dictado sentencia: Un Estado miembro de la Unión Europea podrá suspender la transferencia de datos de abonados a Facebook a los servidores de EEUU (bajo la premisa de que la supervisión al servicio de inteligencia extranjero es “masiva, no directa”). Las opiniones de los abogados generales de la UE son orientativas pero no vinculantes para la resolución del tribunal.

A raíz del caso Snowden, el austriaco Maximilian Schrems, con presencia en Facebook desde 2008, presentó una denuncia ante la autoridad irlandesa de protección de datos al considerar que la normativa y la práctica de EEUU no ofrecía protección real alguna frente a la supervisión, por parte del Estado americano, de los datos transferidos a ese país (sus datos se transfieren de la filial irlandesa de Facebook a servidores de EEUU). Pero la autoridad irlandesa desestimó la denuncia al haber considerado la Comisión (en julio de 2000) que, en el marco del denominado de “puerto seguro” (safe harbor), Estados Unidos garantizaba un nivel adecuado de protección de los datos personales transferidos,

El Abogado General del Tribunal de Justicia de la UE, Yves Bot, ha considerado que la existencia de una decisión de la Comisión (que declara que un país tercero garantiza un nivel de protección adecuado de los datos personales transferidos) no puede anular, ni tan siquiera reducir, las facultades que tienen las autoridades nacionales de control en virtud de la Directiva sobre el tratamiento de datos personales. Así, considera que la decisión de 2000 de la Comisión Europea es nula. Bot afirma que dada la importancia de su función en materia de protección de datos, las facultades de intervención de las autoridades nacionales deben permanecer íntegras.

El Abogado General concluye a partir de ello que, si una autoridad de control nacional considera que una transferencia de datos socava la protección de los ciudadanos de la UE en relación con el tratamiento de sus datos personales, puede suspender esta transferencia, con independencia de la evaluación general que haya realizado la Comisión en su decisión y valora que la Comisión no dispone del poder de restringir las facultades de las autoridades de control nacionales. También considera que, en caso de que se detecten deficiencias sistemáticas en el país tercero al que se transfieren los datos personales, los Estados miembros deben poder adoptar las medidas necesarias para proteger los derechos fundamentales protegidos por la Carta de los Derechos Fundamentales de la UE (entre ellos, el derecho al respeto de la vida privada y familiar y el derecho a la protección de los datos personales). Bot asegura que el acceso de que disponen los servicios de información estadounidenses a los datos transferidos constituye una injerencia en el derecho al respeto de la vida privada y en el derecho a la protección de los datos personales garantizados por la Carta.

MAXIMILLIAN SCHREMS y su demanda contra FACEBOOK

¿Recordáis la conocida como “ley Bosman”?. Fue un “David contra Goliat”, versión años 90.

Bosman era un modesto jugador de la Primera División de la Liga belga de fútbol, cuya demanda originó la sentencia del Tribunal de Justicia de la Unión Europea, el ya lejano 15 de diciembre de 1995, que declaraba ilegales las indemnizaciones por traspaso y los cupos de extranjeros de jugadores nacionales de estados miembros de la Unión Europea (UE).

Pues bien… ¿veremos pronto una futura “Ley Schrems”?.

Éste es el nombre de este joven abogado austriaco que ayer, 9-4-2014, interpuso -y fue aceptada por el Tribunal de Viena- una demanda colectiva contra Facebook en la que acusa al gigante estadounidense de vulnerar el derecho europeo de protección de datos y de no proteger la privacidad de los usuarios ante la Agencia Nacional de Seguridad de Estados Unidos (NSA).

A través de su plataforma Facebook claim, él y otros 25.000 usuarios (limitó él mismo el número) reclaman el cese de la vigilancia masiva que ejerce.

Schrems también creó el proyecto Europe vs. Facebook a favor de la revisión del acuerdo Safe Harbor, el pacto de intercambio de datos que firmaron Estados Unidos y la Unión Europea en el año 2000.