La reciente Sentencia del TJUE en el Caso “Maximilian Schrems vs Comisario para la Protección de Datos”, recaída en el procedimiento que el activista austriaco por la privacidad Max Schrems inició contra Facebook Irlanda, sigue dando mucho que hablar desde que se hizo pública el 6 de octubre de 2015, no tanto por el contenido del fallo, que es por todos conocido, sino por las consecuencias que ha conllevado, y conllevará, y que, además, no están plenamente identificadas.
© kranidi – Fotolia.com
Desbrozar la maraña de consecuencias de esta Sentencia del TJUE es una labor titánica no exenta de riesgos y que se está llevando a cabo a nivel europeo. A estos efectos, el Grupo de Trabajo constituido al amparo del art. 29 de la Directiva 95/26/CE, conocido como Grupo Europeo de Protección de Datos, se encuentra ya inmerso en la labor, tanto para facilitar un remedio como para preparar un “plan B” para el caso de que no se encuentre tal remedio.
El día 16 de octubre el Grupo de Trabajo emitió un comunicado intentando clarificar la situación y comprometiéndose a aportar soluciones a corto plazo.
En primer lugar, el Grupo de Trabajo dejó claro que toda transferencia internacional de datos con origen en un Estado miembro de la Unión Europea que tenga como destino EEUU y sea realizada en base a la anulada Declaración de Puerto Seguro es ilícita. Hasta 2013, se habían concedido 3.246 autorizaciones, tanto para empresas europeas como estadounidenses, para poder realizar este tipo de transferencias de datos; actualmente, estas autorizaciones pueden entenderse rescindidas y se deba cesar en las mismas. No obstante, y aunque pueda parecer una verdad de Perogrullo, Internet sigue funcionando, las aplicaciones siguen haciendo su trabajo y, creo, nadie se ha visto perjudicado. En consecuencia, todo sigue como antes aunque ahora no se pueda.
En segundo lugar, el Grupo de Trabajo recomendó a las empresas afectadas (las autorizadas) que implementasen las soluciones legales y técnicas que creyesen convenientes para evitar riesgos puesto que una de las consecuencias, que ha quedado clara tras la Sentencia del TJUE, es que las Autoridades nacionales de protección de datos pueden investigar cualquier reclamación que los consumidores les planteen y, por tanto, sancionar a esas empresas si se decide que su nivel de protección es inadecuado en relación con los estándares establecidos en la Unión Europea. Por decirlo más claro: si a cualquier Autoridad le llega una reclamación, la investigará y sancionará, llegado el caso.
Con ánimo de facilitar la comprensibilidad del fallo de la Sentencia del TJUE y potenciar la seguridad jurídica, el Grupo de Trabajo indicaba que las Autoridades nacionales de cada Estado miembro iban a realizar una campaña de información a nivel nacional. A día de hoy, por lo que incumbe a la Agencia Española de Protección de Datos, la información contenida en su página web es bastante parca, a mi entender, lo cual no ayuda a clarificar el panorama para que lo comprenda el Gran Público. Espero, sinceramente, que se mejore la información en breve puesto que si no lo hacen, se dará lugar a más confusiones como las referidas por ciertos medios de comunicación lo que ha llevado a la AEPD a tener que emitir un comunicado aclarando algunos extremos que han causado sensación a lo largo del pasado puente de la Constitución. En definitiva, peca la Administración de falta de transparencia con respecto al público en general.
El punto clave del Comunicado del Grupo de Trabajo está en el compromiso que adopta: se impone un plazo de 3 meses para encontrar una solución aceptable para todos y acorde con la normativa europea en materia de protección de datos. Este plazo de 3 meses expiraría a finales de enero de 2016; momento en el que la maquinaria administrativa sancionadora se pondría a trabajar de lleno para proteger los derechos de los ciudadanos europeos.
Mientras tanto, entre que se consigue negociar una solución aceptable tanto para la Unión Europea como para EEUU y no se haya acordado nada definitivamente, el Grupo de Trabajo ha señalado unas pautas de comportamiento, que podemos considerar como instrumentos alternativos a la cobertura que aportaba la Decisión de “Safe Harbor”, y que sirven de mínimo legal. Estos instrumentos legales alternativos son:
a. Cláusulas legales tipo
Es un contrato específico que ha sido preparado por las Autoridades de Protección de Datos y que cumple, en principio, con lo dispuesto en la legislación sobre protección de datos europea. Serían aplicables entre personas, físicas o jurídicas, de diferente nacionalidad que vayan a adoptar, cada una, un rol diferente en relación a la transferencia de datos.
Encontramos tres modelos generales de cláusulas tipo: entre responsables del tratamiento de los datos, entre responsable y encargado del tratamiento de datos, y entre el encargado y el subencargado del tratamiento de datos.
La ventaja de usar estas cláusulas tipo reside en el reconocimiento de las mismas por parte de todas las Autoridades nacionales de protección de datos.
b. Reglas corporativas vinculantes (BCR)
Son normas de comportamiento que se pueden establecer en empresas multinacionales en relación al tratamiento de la información. Sería el caso en el cual una empresa, o entidad, española tiene que remitir datos a otra empresa, o entidad, del mismo grupo.
Una de las desventajas que tienen es que hay que designar al responsable, al cabeza de turco, que se hará cargo de los incumplimientos en relación con la protección de datos y que ha de residir, necesariamente, en un país miembro de la UE.
Sin embargo, no terminan aquí las alternativas existentes. Hay que tener en cuenta que, en todo caso, la ley reconoce el efecto del consentimiento informado del ciudadano, de forma que, si autoriza la transferencia (y, además, sabe que está autorizando la transferencia de datos), la empresa tendría cubierta su responsabilidad. Asimismo, existen una serie de supuestos detallados en la ley en los que las transferencias de datos no están sujetas a responsabilidad como el supuesto en el que la transferencia de datos es necesaria para la conclusión de un contrato –si vais de vacaciones navideñas a EEUU, al realizar una reserva, estaréis transfiriendo datos personales a un país con nivel de seguridad inadecuado pero ello no comportará responsabilidad.
Así las cosas, en principio, los más afectados por la Sentencia del TJUE son empresas de renombre (Google, Yahoo, Facebook y otras muchas) que se ven obligadas a adoptar medidas en la prestación de sus servicios para garantizar los derechos fundamentales, concretamente el derecho fundamental a la intimidad y privacidad, de los ciudadanos europeos. En el hipotético caso de que no se llegase a un acuerdo entre la Unión Europea y EEUU, a finales de enero de 2016 habría problemas, sin perjuicio de que durante estos meses que faltan hasta el fin del plazo, las Autoridades nacionales puedan iniciar investigaciones por las quejas planteadas por los ciudadanos europeos.
José Hernández Director de Penal en Dyr Abogados , tutor en la UNED de Zamora y escritor en el blog de Te Lo Cuenta Tu Abogado, blog de divulgación del derecho que trata temas de actualidad jurídica, derecho cotidiano, derecho para estudiantes o derecho especializado.