Safe harbour y USA: ¿Miedo ante la Sentencia del TJUE?

Varios han sido los clientes que se han puesto en contacto con nosotros en estas dos semanas debido a la publicación de la Sentencia del TJUE por la cual los acuerdos de Safe Harbour entre la UE y los USA han quedado en nada. Todo debido a una demanda que un ciudadano austriaco presentó en su día, alegando que tenía dudas sobre si en el momento en que Facebook, con sede en Irlanda, cediera sus datos a los servidores de la Red de redes en América, lugar en el que estos datos son tratados, éstos, serían tratados de forma segura. En principio, no debería haber ninguna duda respecto de este tratamiento de datos puesto que  Estados Unidos garantiza un nivel adecuado de protección de los datos personales transferidos siguiendo el régimen del puerto seguro, o safe harbour.

Veamos primero qué supone tener un puerto seguro o safe harbour en relación al tratamiento de datos personales. El Departamento de Comercio de los Estados Unidos y la Comisión Europea para la protección de datos han acordado un conjunto de normativas de protección de datos y de preguntas frecuentes («Normativa Safe Harbor») para permitir que las empresas de los Estados Unidos cumplan con el requisito, según la normativa de la UE, de proporcionar una protección adecuada a la información personal que se transfiera desde la Unión Europea a los Estados Unidos. Si estas medidas se cumplen por las empresas, el Safe Harbour estaría garantizado.

Pero ahora, esta sentencia, lo que viene a decir es que una Decisión de la Comisión Europea «que declara que un país tercero garantiza un nivel de protección adecuado de los datos personales transferidos no puede dejar sin efecto ni limitar las facultades de las que disponen las autoridades nacionales de control»(Tribunal de Justicia de la Unión Europea COMUNICADO DE PRENSA nº 117/15)

En ese sentido, el Tribunal de Justicia recuerda que la Comisión estaba obligada a comprobar si Estados Unidos garantiza efectivamente, en razón de su legislación interna o de sus compromisos internacionales, un nivel de protección de los derechos fundamentales sustancialmente equivalente al garantizado en la Unión en virtud de la Directiva, interpretada a la luz de la Carta. El Tribunal de Justicia observa que la Comisión no llevó a cabo ese examen, sino que se limitó a analizar el régimen de puerto seguro.

Así pues, al no estar garantizado este control de protección de datos y la posibilidad que las empresas estadounidenses cedan datos a su administración, como es demostrado y sabido, el Tribunal decide invalidar los acuerdos sobre puerto seguro que la UE y los USA tenían reconocidos. Ahora son las Agencias nacionales de cada uno de los estados miembros las que tienen que pronunciarse.

Pero, ¿nosotros debemos temer por algo? Pensar que no estamos monitorizados, sea entregando datos a empresas con sede en EEUU (Facebook o Google…) o a empresas con sede en la UE, es de ilusos. Claro que estamos permanentemente revisados, claro que sí. No son paranoias o «conspiranoias». Además, si no quieres que tus datos circulen de una parte a otradel gobo, no vuelques información en internet, pero ninguna, eh!!?? ¿O te crees que internet es un circuito cerrado de información que no sale de tu escalera de vecinos?  Las Condiciones de Uso de todas las empreas de servicios en red son muy claras. Leerlas es pesado, pero si tú clikas directamente al ACEPTO… Si no quieres mojarte, no te bañes. Así que,¿ miedo?…

Y dejadme hacer un comentario sobre los requisitos que a las supuestamente «poco diligentes» empresas americanas que tratan nuestros datos se les exige en EEUU. Deberíamos saber la infinidad de controles que para cumplir con las normativas de Protección de Datos se exigen en los USA. Para poder acreditar que cumples con la norma, es la Agencia Estatal de Protección de Datos la que te envía auditores a tu empresa para comprobar que realmente se implementan las medidas oportunas para cumplir con el Safe Harbour. No es un profesional «privado», es «un funcionario»!! Ojo!  Las exigencias no son pocas y los controles muy estrictos. Implantar la LOPD o auditar una empresa española en base a la LOPD, no tiene nada que ver con lo que se les exige a las empresas americanas. Os lo pueden decir algunos de nuestros clientes con sede en EEUU…

Así que, miedos, los justos!