Safe Harbour no lo es todo..

Hola de nuevo!

Hoy ha sido un día extraño: en twitter han sido TT dos cosas tan jurídicas como #BOE y #Safeharbour (bueno, más bien #Safeharbor). Tengo que confesar que he esbozado una sonrisa al ver ambos HT; este tipo de cosas no suelen ser temas de conversación fuera de los ámbitos estrictamente jurídicos, por lo que me alegra que por un día los TT hayan sido cosas que nos influyen a TOD@S y no sólo a l@s pobres abogad@s que aguantan como auténtic@s supervivientes la "creatividad" jurídica de este Gobierno.

Así que, con este panorama, el post estaba claro: Safe Harbour y la sentencia que le pega un zurriagazo. Lo primero de todo, hay que saber qué es eso de Safe Harbour, por lo que, para resumir y no complicar el post en exceso (la esencia de LOPDeando es hablar de protección de datos de forma sencilla y clara), diremos que esto del Puerto Seguro es como la puerta para niños de esa famosa tienda de juguetes que tod@s conocemos. Voy a explicarme un poco más: 

Partimos de una Directiva (la 95/46/CE) que, en su artículo 25, dice lo siguiente:

Artículo 25. Principios

1. Los Estados miembros dispondrán que la transferencia a un país tercero de datos personales que sean objeto de tratamiento o destinados a ser objeto de tratamiento con posterioridad a su transferencia, únicamente pueda efectuarse cuando, sin perjuicio del cumplimiento de las disposiciones de Derecho nacional adoptadas con arreglo a las demás disposiciones de la presente Directiva, el país tercero de que se trate garantice un nivel de protección adecuado.

2. Sin perjuicio de lo dispuesto en el apartado 1, los Estados miembros podrán autorizar una transferencia o una serie de transferencias de datos personales a un tercer país que no garantice un nivel de protección adecuado con arreglo al apartado 2 del artículo 25, cuando el responsable del tratamiento ofrezca garantías suficientes respecto de la protección de la vida privada, de los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los respectivos derechos; dichas garantías podrán derivarse, en particular, de cláusulas contractuales apropiadas.

Y de la Decisión 2000/520, que es la madre del cordero de eso llamado #SafeHarbour.

Así, por una parte lo que se está exigiendo en la Directiva es que para que los datos personales puedan pasar a un tercer país, éste debe tener unos estándares mínimos que garanticen la seguridad de esos datos y, si el país en cuestión no los cumple, al menos que lo haga el Responsable del Tratamiento que va a tratar los datos en el país cuestionado. Esto que dice la Directiva  más o menos se plasmó en nuestra LOPD, especialmente en lo que respecta a #SafeHarbour, que entra en el juego en el art.34.k de nuestra querida norma. 

Por otro lado, la Decisión establece en su Anexo I los principios de que deben cumplir las entidades que quieran "refugiarse" en #SafeHarbour (la puerta de la tienda de juguetes que decíamos antes). Porque #SafeHarbour no es más que una lista de entidades que, al menos en teoría, tienen unos estándares implantados que concuerdan con las normativas europeas de protección de datos cumpliendo con los principios que establece la Decisión en su Anexo I. Y estas entidades (entre las que está Facebook), las podéis consultar aquí.

Con este panorama general (muy muy muy simplificado), la cosa estaba clara: Si tú como país no ofreces garantías, al menos que lo hagan tus empresas y todo arreglado. Esto era así hasta ahora, que ha llegado un estudiante de Derecho y lo ha complicado todo (y olé por él).  Tras un periplo complicado, en el que se ha encontrado con varias trabas, llega hoy el Tribunal Europeo y declara que la Decisión 2000/52 es inválida y que este tipo de "acuerdos" no implican que los países miembros deban dejar sus deberes sin hacer (es decir, que  "acuerdos" como éste no impiden -o no deberían- que una autoridad de control de un Estado miembro (...) examine la solicitud de una persona relativa a la protección de sus derechos y libertades frente al tratamiento de los datos personales que la conciernen que se hayan transferido desde un Estado miembro a ese tercer país, cuando esa persona alega que el Derecho y las prácticas en vigor en éste no garantizan un nivel de protección adecuado). Y este es para mí, el meollo de la cuestión.

Aquí tenéis el link de la sentencia para entrar en vereda. 
 

Personalmente, me parece más un tirón de orejas a los países miembros y sus autoridades de control, que al propio #SafeHarbour. Y me baso tanto en la parte en negrita que acabo de poner (extraída de la propia sentencia), como en estos otros puntos que también leo en la misma y que voy a exponer ahora mismo:

Primero: No es un litigio entre Facebook y el usuario; es un litigio entre el usuario y el Data Protection Commissioner (el equivalente irlandés a nuestra AEPD), con intervención además de Digital Rights Ireland Ltd, que es una organización que, según su propia web, se dedica entre otras cosas a defender los DDHH en la era digital. Facebook no es más que el origen del conflicto y uno de los que sufrirá los efectos (al menos de momento).

 

Segundo: El quid de la cuestión del litigio es que el Data Protection Commissioner se niega a instruir una reclamación presentada por el usuario, basada en que Facebook  transfiere a Estados Unidos los datos personales de sus usuarios y los conserva en sus servidores situados en ese país. Y se niega porque, entre otras cosas, consideraba que.."no estaba obligado a investigar sobre los hechos denunciados por el usuario, (..) ya que cualquier cuestión referida al carácter adecuado de la protección de los datos personales en Estados Unidos debía resolverse conforme a la Decisión 2000/520". Por cierto, que el usuario cabreado también hizo referencia a lo denunciado por Snowden. 

El usuario no acepta la respuesta y se va a la High Court que, entre otras lindezas, le dice que "los ciudadanos de la Unión no disponen de ningún derecho efectivo a ser oídos". Pero la High Court sí que entra en el tema Snowden que aduce el usuario y considera que "el acceso masivo e indiferenciado a los datos personales es manifiestamente contrario al principio de proporcionalidad y a los valores fundamentales protegidos por la Constitución irlandesa. Para que las interceptaciones de comunicaciones electrónicas puedan ser consideradas conformes con esa Constitución, debe aportarse la prueba de que esas interceptaciones tienen carácter selectivo, de que la vigilancia de determinadas personas o de determinados grupos de personas está objetivamente justificada en interés de la seguridad nacional o de la represión de la delincuencia y de que existen garantías adecuadas y comprobables". (Ya es más de lo que he oído por aquí). Así, si sólo hay que analizar el caso sobre el propio Derecho Irlandés, según la High Court "existen serias dudas de que Estados Unidos garantice un nivel adecuado de protección de los datos personales, y el comisario habría debido llevar a cabo una investigación sobre los hechos denunciados por el Sr. Schrems en su reclamación, y que la desestimó indebidamente". (zascas). A pesar de esto, la High Court considera que el tema toca también  Derecho Europeo y "lo manda" (cuestiones prejudiciales mediante), al Tribunal de Justicia de la UE, que termina invalidando la Decisión 2000/520 (y generando los titulares con los que nos quedamos, tristemente).   

 

Tercero: La sentencia echa mano del marco jurídico aplicable al caso y, entre otros, recuerda artículos como el 62 de la Directiva 95/46 (la creación de una autoridad de control que ejerza sus funciones con plena independencia en cada uno de los Estados miembros constituye un elemento esencial de la protección de las personas en lo que respecta al tratamiento de datos personales), el 63 (dicha autoridad debe disponer de los medios necesarios para cumplir su función, ya se trate de poderes de investigación o de intervención, en particular en casos de reclamaciones presentadas a la autoridad o de poder comparecer en juicio), el 28 (Los Estados miembros dispondrán que una o más autoridades públicas se encarguen de vigilar la aplicación en su territorio de las disposiciones adoptadas por ellos en aplicación de la presente Directiva. Estas autoridades ejercerán las funciones que les son atribuidas con total independencia).  Por cierto: si el Tribunal viera los medios de los Juzgados españoles, le daría un parraque FIJO! ;-) 

Y por estos motivos, creo que el zascas a #SafeHarbour es importante, pero no debemos olvidar el fondo de la cuestión: HAY QUE LUCHAR POR NUESTROS DERECHOS Y NO DEBEMOS DEJAR QUE LAS INSTITUCIONES SE OLVIDEN DE SUS DEBERES. Y hablando de lucha: seguro que ya los conoces  pero te invito a dar una vuelta por  la web de BRIGADA TUITERA quienes de lucha por los derechos de tod@s, saben latín, y de medios en los Juzgados, y tasas judiciales, y lucha por la independencia judicial, ni te cuento. ;-)

Y finalizando con el tema LOPD..a ver qué pasa ahora con el misterioso TTIP..

Y hasta aquí llega el megapost de hoy; espero que os haya gustado y gracias por pasar un ratito por aquí ;-)