La mayoría de las transferencias de datos desde Europa a EEUU, en el aire

Por José Luis Piñar Mañas, abogado y catedrático de Derecho Administrativo

El Tribunal de Justicia de la Unión Europea (TJUE) está decidido a situar la protección de datos en el lugar que merecidamente le corresponde entre los derechos fundamentales. Suele venirnos a la cabeza la Sentencia de 13 de mayo de 2014 sobre derecho al olvido frente a los buscadores y en particular frente a Google. Pero hay otras muchas sentencias de igual o mayor trascendencia. Por citar sólo las más recientes es capital la de 8 de abril de 2014, por la que se declara inválida la Directiva de retención de datos, o la más reciente de 1 de octubre de 2015, sobre un tema de tanta trascendencia en materia de protección de datos como es la aplicación territorial de la Directiva 95/46/CEE. Y apenas hace unos días ha dictado la de 6 de octubre de 2015, Maximillian Schrems, asunto C-362/14, por la que declara inválida la Decisión 2000/520/CE, de 26 de julio de 2000, sobre la adecuación a la Directiva 95/46 de los principios de puerto seguro. Sentencia histórica que se ha calificado de verdadera tormenta para la protección de datos y en particular para las transferencias de datos desde la Unión Europea a Estados Unidos.

Todo empezó cuando, el 25 de junio de 2013, el Sr. Schrems, nacional austriaco residente en Austria, usuario de Facebook, reclamó ante el Data Protection Commissioner Irlandés que prohibiese a Facebook transferir sus datos personales a Estados Unidos. Alegó que el derecho y las prácticas en vigor en este país no garantizan una protección suficiente de los datos contra las actividades de vigilancia practicadas por sus autoridades públicas, e hizo referencia al caso Snowden y al espionaje masivo que sobre múltiples datos personales lleva a cabo la National Security Agency (NSA). El Comisario irlandés consideró que no estaba obligado a investigar los hechos denunciados por cuanto no había pruebas de que la NSA hubiese accedido a sus datos y porque la cuestión debería resolverse conforme a la Decisión 2000/520. No satisfecho con la respuesta el Sr. Schrems interpuso recurso ante la High Court. El tribunal apreció que la vigilancia electrónica y la interceptación de los datos personales transferidos desde la Unión a Estados Unidos servían a finalidades necesarias e indispensables para el interés público. No obstante, añadió que las revelaciones del Sr. Snowden habían demostrado que la NSA y otros organismos federales habían cometido «importantes excesos». El tribunal irlandés, además, advirtió que “los ciudadanos de la Unión no disponen de ningún derecho efectivo a ser oídos. La supervisión de las acciones de los servicios de información se realiza a través de un procedimiento secreto y no contradictorio.

Una vez transferidos los datos personales a Estados Unidos, la NSA y otros organismos federales, como el Federal Bureau of Investigation (FBI), pueden acceder a ellos en el contexto de la vigilancia y de las interceptaciones indiferenciadas que ejecutan a gran escala”. Asimismo resaltó que “el Derecho irlandés prohíbe la transferencia de datos personales fuera del territorio nacional, excepto cuando el tercer país interesado asegura un nivel de protección adecuado de la vida privada y de los derechos y libertades fundamentales”. Y continuó afirmando que “el acceso masivo e indiferenciado a los datos personales es manifiestamente contrario al principio de proporcionalidad y a los valores fundamentales protegidos por la Constitución irlandesa”, por lo que en base sólo al derecho irlandés el Data Protection Commissioner debería haber investigado los hechos denunciados. No obstante la High Court estimó que el asunto atañe a la aplicación de la Directiva 95/46 y de la Decisión 2000/520 sobre puerto seguro. En realidad el Sr. Schrems impugna en su recurso la licitud del régimen de «puerto seguro», por lo que el Tribunal decidió suspender el procedimiento y plantear dos cuestiones prejudiciales: ¿está vinculado el Comisario irlandés en términos absolutos por la declaración comunitaria contenida en la Decisión 2000/520, habida cuenta de los artículos 7, 8 y 47 de la Carta Europea de los Derechos Fundamentales y no obstante lo dispuesto en la Directiva 95/46/CE?; en caso contrario, ¿puede o debe realizar dicho Comisario su propia investigación del asunto a la luz de la evolución de los hechos que han tenido lugar desde que se publicó por vez primera la Decisión 2000/520?.

SISTEMA DE TRANSFERENCIAS INTERNACIONALES DE DATOS

Antes de continuar quizá merezca la pena dar dos pinceladas sobre el sistema de transferencias internacionales de datos diseñado por el derecho comunitario europeo. La Directiva 95/46/CE -en vías de ser sustituida por el nuevo Reglamento europeo de protección de datos que seguramente será aprobado antes de fin del presente año 2015, que en materia de transferencias internacionales incorpora alguna novedad que no afecta esencialmente a lo que en este momento nos interesa- regula un régimen de protección de datos como derecho fundamental más garantista que otros sistemas jurídicos. Al objeto de evitar que los datos estén correctamente protegidos en la Unión Europea pero no fuera de ella (lo que es muy posible dado el escenario global del tratamiento de datos y las constantes transferencias de datos que continuamente están produciéndose) la Directiva es muy rigurosa al regular las transferencias internacionales de datos (arts. 25 y 26). El objetivo es claro: de nada sirve proteger los datos en Europa si pueden transferirse sin control a otros países sin garantías donde podrían ser utilizados ignorando la protección de que disfrutan aquí. A tal fin la regla general es que –salvo algunas excepciones- no es posible transferir datos a terceros países salvo autorización de las Autoridades nacionales de Protección de Datos o salvo que dichos países ofrezcan un nivel de protección adecuado de acuerdo a los estándares de la Unión Europea. En este sentido, bien la Comisión Europea bien dichas Autoridades nacionales podrán considerar que un país garantiza tal nivel, en cuyo caso no será necesaria autorización previa. Estados Unidos no está entre los países que cuenten con un modelo de protección de datos semejante al europeo, por lo que fue necesario que, tras largas y a veces tensas negociaciones, la Comisión adoptase la Decisión 2000/520/CE, de 26 de julio, sobre la protección conferida por los llamados “principios de puerto seguro”. Este complicado régimen permite que las empresas estadounidenses que cumplan tales principios puedan solicitar (tras un sistema de autocertificación) a la Federal Trade Commission (FTC) adherirse al sistema de puerto seguro, de modo que podrían transferir datos desde Europa a Estados Unidos sin que para ello sea necesaria autorización. La lista de las empresas adheridas  puede consultarse en https://safeharbor.export.gov/list.aspx y entre ellas está Facebook, Inc.

Dicho lo anterior, el TJUE, en la Sentencia de 6 de octubre de 2015 que ahora analizo, ha puesto en jaque el entero sistema de puerto seguro y con ello el actual sistema de transferencia internacional de datos desde Europa a Estados Unidos cuando las transferencias se  basen en dicho sistema.

Por un lado, el Tribunal considera que pese a que la Comisión haya adoptado la Decisión 2000/520, esto no implica que las Autoridades de Protección de Datos no puedan apreciar, con toda independencia, si la transferencia cumple con las exigencias de la Directiva 95/46 (apartado 57 de la Sentencia). Para llegar a tal conclusión el Tribunal destaca las importantes funciones de tales autoridades, que constituyen “un elemento esencial de la protección de las personas frente al tratamiento de datos personales”. Por tanto, el Comisario irlandés debería haber examinado la denuncia presentada por el Sr. Schrems contra Facebook, pese a que esta empresa sea de las adheridas al sistema de puerto seguro. Ahora bien, esto no supone que sea posible inaplicar la Decisión de 2000. Lo que deberá hacerse es que, en caso de que el particular no vea atendida su denuncia pueda acudir a los tribunales nacionales para que éstos en su caso planteen la cuestión prejudicial (como ha ocurrido en nuestro caso); y si la Autoridad considera que la Decisión no es compatible con la Directiva, deberá tener acción ante tales tribunales para que planteen la referida cuestión (apartado 65 de la Sentencia). Este planteamiento fortalece sin duda la posición de las Autoridades de Protección de Datos, que pasan a tener un papel aún más relevante, en línea con lo establecido por el art. 8.3 de la Carta Europea de Derechos Humanos, y ya desde antes, por el artículo 28 de la Directiva 95/46.

Pero lo realmente relevante de la Sentencia es que el Tribunal, nada más y nada menos, declara inválida la repetida Decisión 2000/520 sobre puerto seguro. Y con ello deja literalmente en el aire la inmensa mayoría de transferencias internacionales de datos desde Europa a Estados Unidos.

El Tribunal insiste en que lo importante es “asegurar la continuidad del elevado nivel de protección en caso de transferencia de datos personales a un tercer país” (apartado 72). Para ello éste debe a su vez garantizar al menos un nivel adecuado de protección. Es verdad, dice el Tribunal, que “el término «adecuado» que figura en el artículo 25, apartado 6, de la Directiva 95/46 significa que no cabe exigir que un tercer país garantice un nivel de protección idéntico al garantizado en el ordenamiento jurídico de la Unión. Sin embargo…, debe entenderse la expresión «nivel de protección adecuado» en el sentido de que exige que ese tercer país garantice efectivamente, por su legislación interna o sus compromisos internacionales, un nivel de protección de las libertades y derechos fundamentales sustancialmente equivalente al garantizado en la Unión por la Directiva 95/46, entendida a la luz de la Carta” (apartado 73). Esto implica que los medios de garantía sean eficaces en la práctica  y que la Comisión compruebe periódicamente si el nivel de protección es adecuado teniendo en cuenta también las circunstancias sobrevenidas tras la adopción de la Decisión.

CONTRARIO AL DERECHO COMUNITARIO

Dicho esto, el Tribunal considera que la Decisión 2000/520 –sin necesidad de analizar posibles circunstancias sobrevenidas- incumple por sí sola el derecho comunitario. Así, su artículo 1º descansa en un sistema de autorcertificación de las propias empresas, que si bien no es en sí mismo contrario a la Directiva sí requiere que existan mecanismos eficaces de detección y control que permitan identificar y sancionar las posibles violaciones del derecho a la protección de datos en Estados Unidos. Y el caso es que tales mecanismos no existen. Por un lado porque los principios de puerto seguro no se aplican a las autoridades públicas estadounidenses. Por otro, porque la propia Decisión prevé que la aplicación de los principios de puerto seguro “puede limitarse, en especial, por «las exigencias de seguridad nacional, interés público y cumplimiento de la ley [de Estados Unidos]», así como por «disposición legal o reglamentaria, o jurisprudencia, que originen conflictos de obligaciones o autorizaciones [explícitas]” (ap. 84) y, aún más, “pone de relieve, respecto a los límites a los que está sometida la aplicabilidad de los principios de puerto seguro, que «es evidente que, si la legislación estadounidense establece una obligación en contrario, las entidades deben cumplirla, dentro o fuera del ámbito de los principios de puerto seguro»” (ap. 85). Así pues, “la Decisión 2000/520 reconoce la primacía de las «exigencias de seguridad nacional, interés público y cumplimiento de la ley [de Estados Unidos]» sobre los principios de puerto seguro, primacía en virtud de la cual las entidades estadounidenses autocertificadas que reciban datos personales desde la Unión están obligadas sin limitación a dejar de aplicar esos principios cuando éstos entren en conflicto con esas exigencias y se manifiesten por tanto incompatibles con ellas” (ap. 86). Esta situación, nada halagüeña, se agrava aún más por el hecho de que las excepciones a la aplicación del puerto seguro tienen carácter general, sin exceder de lo estrictamente necesario; la normativa estadounidense permite a sus autoridades públicas acceder de forma generalizada al contenido de las comunicaciones electrónicas; y por el hecho de que en Estados Unidos no se prevé posibilidad alguna de que el justiciable ejerza acciones en Derecho para acceder a los datos personales que le conciernen o para obtener su rectificación o supresión. Lo que implica una violación de los derechos a la protección de datos, al respeto a la vida privada y a la tutela judicial efectiva, reconocidos respectivamente en los artículos 7, 8 y 47 de la Carta Europea de Derechos Fundamentales (apartados 87 a 95 de la Sentencia).

Todo lo anterior, unido al hecho de que la tan repetida Decisión 2000/520 limita las facultades de las Autoridades nacionales de Protección de Datos pues les impide tomar medidas para asegurar el cumplimiento de la Directiva, lleva a una conclusión radical: el Tribunal declara que la Decisión es inválida.

Es decir, dado que Estados Unidos no es un país con nivel adecuado de protección de datos y el sistema de puerto seguro no es válido, las transferencias de datos a Estados Unidos deben basarse necesariamente en alguna de las excepciones previstas en el artículo 26 de la Directiva. Y dado a su vez que estas excepciones no amparan la inmensa mayoría de las transferencias que se producen a Estados Unidos desde Europa, dichas transferencias en estos momentos no son posibles.

BASE LEGAL CUESTIONADA

Hay que decir que la Sentencia no cuestiona el modo en que las grandes multinacionales venían transfiriendo sus datos a Estados Unidos, sino la base legal en que se amparaban, que deja de ser válida. Lo que exige la adopción de medidas urgentes que afronten la situación. En este sentido, el Grupo Europeo de Autoridades de Protección de Datos (el llamado Grupo del Artículo 29) ha hecho pública el pasado día 16 de octubre una declaración sobre la Sentencia en la que reitera que el tratamiento masivo e indiscriminado de datos personales es inadmisible, insta a Estados Unidos y la Unión Europea a iniciar urgentemente negociaciones para alcanzar una solución (el sistema de puerto seguro ya se estaba renegociando desde hace años) y hace una consideración de extraordinaria importancia: el Grupo continuará su análisis de la Sentencia, si bien las cláusulas contractuales tipo y las Binding Corporate Rules pueden ser una vía para las transferencias, sin perjuicio de la facultad de las Autoridades nacionales de investigar casos concretos y adoptar las medias de control y sanción que sean necesarias. Como recuerda la Agencia Española de Protección de Datos, “en cuanto a las consecuencias prácticas de la sentencia del TJUE, el Grupo de Trabajo considera que está claro que las transferencias procedentes de la Unión Europea a EEUU ya no se pueden enmarcar en la Decisión de Adecuación de la Comisión Europea 2000/520/CE….. En cualquier caso, las transferencias que aún se estén llevando a cabo bajo la Decisión Puerto Seguro tras la sentencia del TJUE son ilegales” (http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2015/notas_prensa/news/2015_10_19-ides-idphp.php). En todo caso, advierten que si para finales de enero de 2016 no se ha alcanzado una solución adecuada con las autoridades de Estados Unidos las autoridades europeas de protección de datos tomarán todas las medidas que sean necesarias y apropiadas, incluidas acciones coordinadas de enforcement. (El Grupo de Trabajo del Artículo 29 se ha ocupado del sistema de puerto seguro en numerosas ocasiones: así en sus Documentos WP 19, 21, 23, 27, 31, 32 y 66. Pueden consultarse en http://ec.europa.eu/justice/data-protection/article-29/index_en.htm).

Por su parte la Federal Trade Commission de Estados Unidos (recordemos que es la autoridad competente para supervisar el cumplimiento del puerto seguro) ha declarado que tras la Sentencia seguirá administrando el sistema y tramitando las solicitudes de autocertificación, advirtiendo que si bien Estados Unidos y la Unión Europea comparten el objetivo de mejorar la protección de la privacidad de sus ciudadanos, uno y otra no tienen el mismo enfoque sobre la privacidad (http://www.export.gov/safeharbor/). En fin, el Comisario de Protección de Datos de Irlanda acoge con enorme satisfacción la Sentencia, pero reconoce la complejidad de su aplicación y declara que se pondrá en contacto inmediato con sus colegas europeos para acordar cómo puede implementarse la sentencia en la práctica, con rapidez y eficacia (https://www.dataprotection.ie/docs/06-10-2015-Statement-by-Data-Protection-Commissioner-Helen-Dixon-in-respect-of-the-Judgement-in-Case-C-362-14-Schrems/1497.htm).

Por el momento poco más cabe decir, sobre todo tras una rápida y urgente lectura de la Sentencia. Lo que sí debe señalarse es que el Tribunal de Justicia no impide de forma absoluta la transferencia de datos a Estados Unidos. Anula con razón la Decisión de la Comisión sobre puerto seguro y con ello el principal instrumento para las transferencias. Pero no impide otros supuestos habilitantes que por vía de excepción puedan permitirlas. Supuestos que en cualquier caso habrán de ser analizados con el máximo de los rigores dadas las severas críticas que el Tribunal de Justicia hace del entorno estadounidense en materia de tratamiento de datos personales.