Consecuencias de la suspensión de Safe Harbor

0
Oct 25, 2015 / por

Qué es Safe Harbor or Puerto Seguro

El nombre de «Puerto Seguro» se refiere a una ciudad y un puerto de Florida, que escapó de manera sistemática a los ataques de piratas en el siglo XVIII. De ahí toma su nombre la Directiva de la Comisión Europea que entró en vigor en 1998 impidiendo, desde ese momento, cualquier transferencia de datos personales fuera de los Estados del Espacio Económico Europeo (EEE). Inmediatamente el Departamento de Comercio de Estados Unidos y la Comisión Europea se pusieron de acuerdo para crear un espacio para las empresas estadounidenses, siempre que cumplieran con las normas relativas a la protección de datos personales.

El procedimiento previsto en Safe Harbor establece como condición que las empresas que almacenen y/o procesen en Estados Unidos datos de personas físicas o jurídicas europeas [es decir cualquier tuit, post, mensaje de correo o nóminas de una multinacional], deberán autocertificarse ante las autoridades federales, que cumplen con siete principios elementales, entre los que se encuentra la garantía de proteger su integridad y que no los transferirán a terceros.

La lista de empresas unidas a este acuerdo es publicada por el Departamento de Comercio de Estados Unidos. Por supuesto incluye a GAFA (Google, Apple Facebook, Amazon), pero también un cierto número de empresas que se especializan en inteligencia de «datos».

Sentencia del Tribunal de Justicia Europeo

Safe Harbor se empezó a cuestionar desde el momento en que Edward Snowden reveló que las empresas estadounidenses proporcionaron datos para las agencias de inteligencia de Estados Unidos. Tuvo un segundo y definitivo punto de inflexión, en la demanda EUROPE versus FACEBOOK liderada por el austriaco Max Schrems. Ésta demostró que las redes sociales hacen transferencias sustanciales de todos los datos de usuarios a servidores en Estados Unidos. Ante estas revelaciones, el 6 de Octubre de 2015, el Tribunal de Justicia de la Unión Europea (TJUE) ha invalidado el Safe Harbor.

Consecuencias

Para los servicios de inteligencia de Estados Unidos, esto no tendrá ninguna consecuencia a corto plazo. Los documentos de Snowden han demostrado la increíble capacidad de la NSA para obtener los datos en cualquier momento y lugar. La invalidez del acuerdo para GAFA puede parece un duro golpe, pero en realidad las empresas adheridas al mecanismo (unas 4.400) podrán seguir funcionando como hasta ahora, sólo que en caso de reclamación legal por parte de algún usuario o cliente, no podrán alegar que su actuación está amparada por un acuerdo que ya no está en vigor.

Actualmente, resulta precipitado realizar una valoración y hay que estar pendiente del análisis anunciado por parte de las Agencias de Protección de Datos europeas sobre las consecuencias de la sentencia. No obstante, al no existir un acuerdo entre la UE y EEUU que legitime las trasferencias de datos, las empresas españolas y europeas deben encontrar otro elemento que las legitime.

En general, la legitimidad para realizar transferencias a un tercer país, se halla en la obtención de una autorización por parte de la Agencia de Protección Datos. Sin embargo, hay una serie de supuestos en los cuales no es necesario solicitar una autorización, como por ejemplo cuando:

  1. la transferencia se realiza a una empresa situada en un país que ofrezca un nivel adecuado de protección.
  2. el usuario haya dado su consentimiento inequívoco e informado sobre la transferencia.
  3. la transferencia sea necesaria para la ejecución de un contrato entre el usuario y la empresa o para la adopción de medidas precontractuales.
  4. la transferencia sea necesaria para la celebración o ejecución de un contrato en interés del usuario por la empresa y un tercero como podrían ser los servicios de alojamiento de datos o aplicaciones cloud.

Tanto Facebook como Google, por ejemplo, se han apresurado a afirmar que existen y disponen de fórmulas alternativas y/o paralelas, como las Normas Corporativas Vinculantes (binding corporate rules) y un modelo de cláusulas contractuales; en ambos casos se trata esencialmente de seguir procedimientos de aprobación separados, que pueden ser comunitarios o, lo más frecuente, acogerse a las leyes nacionales de los países miembros.

Microsoft por su parte no se siente aludida por esta sentencia pues “nuestros términos de uso dejan claro que nuestro servicio consiste en transferir datos entre usuarios, y a eso se limita nuestro papel”. Salesforce se ha apresurado a declarar que “ha tomado medidas para asegurar a sus clientes del cumplimiento de la legislación vigente”. Amazon se ha limitado a informar de que sus servicios cloud en Europa han sido declarados conforme por el grupo de trabajo del artículo 29, órgano consultivo de la UE en materia de protección de datos. Por su parte Box, empresa de almacenamiento de ficheros en la nube, informó que utilizará la infraestructura de IBM en Europa para almacenar datos.

Agencia Española de Protección de Datos (AEPD)

Hasta aquí todas las reacciones a la sentencia parecen contenidas y sugieren la existencia tácita de un pacto de no agresión. Pero como destaca Hypertextual, la Agencia de Protección de Datos española es diferente. En un curioso giro del destino, el 13 de octubre (recordemos: 7 días después de la sentencia del TJE anulando Safe Harbor) el Ministerio de Educación y la Agencia Nacional de protección de datos, firmaron un convenio para abrir un canal de comunicación que ayude a preservar la identidad de los menores en Internet. Esta iniciativa tendrá como canales de comunicación un teléfono 901, una dirección de correo electrónico y un usuario de WhatsApp (616 172 204) mediante el que interactuar, según informa Efe.

El hecho relevante aquí es que sea precisamente la Agencia Nacional de Protección de Datos quien decida utilizar WhatsApp, un servicio que no está regulado en Europa, y que claramente no cumple los requisitos de contratación y manipulación de datos expuestos por Safe Harbor. Aunque se pueda afirmar que WhatsApp es seguro, en el Score Card que elaboró EFF en junio de este mismo año, WhatsApp no destaca precisamente por su seguridad (en este otro enlace se puede ver de manera más visual comparada con otros servicios).

Conclusiones

Aunque hay que celebrar que la Justicia Europea ponga el foco en cuestiones relativas al uso de los datos, el control de la privacidad y la seguridad de los ciudadanos europeos, esta sentencia destaca el desequilibrio existente entre las consecuencias para las empresas estadounidenses y las europeas. Mientras que aquellas han sabido captar la oportunidad que les brindó Safe Harbor, desarrollando productos y servicios basados en el cocinado de datos de europeos («Big data»), éstas parecen haber dejado pasar esta oportunidad. Esperemos que ésta sentencia haga reflexionar a las empresas europeas sobre los eventuales riesgos que asumen al transferir datos y aprovechar esta oportunidad para ofrecer soluciones legales y técnicas que cumplan los requisitos de protección de datos europeos para competir de igual a igual con las empresas estadounidenses.