Estats Units és la primera potència econòmica mundial i és un país capdavanter en diversos aspectes, no obstant no disposa d’un marc que reguli adequadament i que protegeixi les dades personals tal com es preveu a la Unió Europea.
Quan la Unió Europea va assegurar la protecció de les dades personals dels ciudatans europeus mitjançant l’aprovació de disposicions normatives es va trobar amb el problema de que EEUU, país on es troben les principals empreses d’internet i en conseqüència s’allotgen la majoria de dades personals del món (inclusos, les dades dels europeus), no disposava d’un marc normatiu que deixes transferir dades des d’Europa a EEUU. L’article 25 de la Directiva 95/46/CE ho deixa ben clar: si un tercer estat no compleix amb els principis de protecció de dades de la directiva, es considera que la seva legislació no es “adequada” i, en conseqüència, no es pot establir cap transferència de dades.
Era impossible pensar que la UE pogués denegar la transferència de dades a EEUU perquè això comportaria que els ciutadans europeus renunciessin a serveis essencials en l’entorn comercial. Per aquest motiu, en procés de trobar una solució a aquest paradigma, a l’any 2000, la Comissió Europea es va acollir a la possibilitat de l’article 25(6) de la Directiva 96/46 i va aprovar una norma que deixava la transferència internacional de dades entre la UE i EEUU a les empreses inscrites a l’acord anomenat Safe Harbor (Port Segur).
Va costar molt aprovar l’acord Safe Harbor per la multitud de disconformitats que hi va haver entre la UE i els EEUU durant les negociacions. Un any després de la seva aprovació, EEUU va sofrir l’atac terrorista del 11S i això va comportar que el mateix any 2001 s’aprovés la llei “Patriot Act”, una llei que va permetre un ampli accés per part dels serveis d’intel·ligència estatunidencs a dades personals per la lluita anti-terrorista, inclús a les dades emmagatzemades per les empreses estatunidenques sempre que fos necessari per raons de seguretat nacional.
A partir d’aquell moment, l’acord Safe Harbor va presentar nous problemes ja que l’accés per part dels cossos d’intel·ligència estatunidencs no es va tenir en compte quan es va aprovar l’acord. El cert és que al 2013 va sortir a la llum el que es sospitava durant molts anys: L’Agència de Seguretat Nacional (NSA) accedia de forma massiva a dades personals de tot el món, incloses a les dels ciutadans europeus. Aquell mateix any la Comissió Europea va alertar del “accés a gran escala per part de les agències d’intel·ligència” a les dades transferides a Estats Units per entitats amb certificació de port segur”.
La situació de les transferències internacionals entre la UE i els EEUU era cada vegada més insostenible i aquest motiu va comportar que al 2014 el Supervisor Europeu de Protecció de Dades manifestés obertament que l’acord Safe Harbor hauria de ser modificat.
Recentment, el passat 23 de setembre, l’Advocat General del Tribunal de Justícia de la UE va emetre un dictamen sobre la transferència internacional entre la UE i els EEUU al cas particular de les dades de ciutadans europeus que tipificava Facebook Ireland Ltd. I que després transfereix la seva central a EEUU (Facebook Inc.).
Aquest dictamen posa a sobre la de la taula diverses qüestions que poden tindre important rellevància sobre el futur d’internet. En particular, l’Advocat General Bot dictamina que l’acord Safe Harbor no ofereix suficients garanties i que les autoritats de Protecció de Dades de cada país han de poder suspendre les transferències internacionals entre la UE i EEUU quan considerin que això vulneri el dret a la protecció de dades.
El futur de les transferències internacionals a EEUU encara es incert i hem d’esperar-nos a la sentència del Tribunal de Justícia de la Unió Europea (TJUE), prevista per finals d’any, que possiblement coincidirà amb l’aprovació definitiva del Reglament Europeu de Protecció de Dades.
No obstant, s’ha de destacar que l’Advocat General s’ha mostrat molt crític amb l’acord Safe Harbor considerant que la Comissió Europea hauria de declarar-lo invàlid (molt més contundent que el Supervisor Europeu de Protecció de Dades, que advocava per la reforma).
Queda clar que ens trobem en un context totalment diferent. Han passat més de 15 anys des de l’aprovació de l’acord Safe Harbor i aquest acord es troba totalment obsolet. Davant d’aquest paradigma, el futur de les transferències internacional pot ser el següent:
- Anul·lació de l’acord Safe Harbor per part del TJUE: veient el cas C-362/14 no seria estrany pensar que el TJUE acabés anul·lant l’acord en la seva sentència, al·legant que resulta contrari a la Carta de Drets Fonamentals (arts. 7 i 8).
- Anul·lació de l’acord Safe Harbor per part de les institucions europees: la Comissió, el Consell o el Parlament Europeu podrien plantejar un recurs d’anul·lació de l’acord Safe Harbor davant el TJUE. El procediment seria el mateix que el punt anterior.
- Reforma d’acord Safe Harbor per part de la Comissió Europea: potser seria el més convenient perquè les empreses europees poguessin dades a EEUU sense el risc que una Autoritat de Protecció de Dades les sancioni. La reforma hauria d’iniciar-se el més aviat possible, abans que el TJUE es pronuncio. No obstant, les intencions de la Comissió són incertes, perquè aquesta institució ha manifestat que vol evitar posicionar-se abans de conèixer la Sentència del TJUE.
Si la Comissió Europea finalment accedeix a la reforma de l’acord, el nou text hauria d’incloure el següent:
- Assegurar que un organisme de supervisió extern verifiques que efectivament es compleixen els principis de Safe Harbor i que els cossos d’intel·ligència d’EEUU no accedeixin indiscriminadament a dades de ciutadans europeus.
- Definir i extralimitar el terme “seguretat nacional” per obligar a que aquesta excepció sigui utilitzada pels cossos policials i d’intel·ligència estatunidencs per accedir a dades personals quan existeix una necessitat real i legítima.