Què és el Safe Harbor i què implica la seva anulació a les empreses?

Què és l’acord de Safe Harbor?

Al 1998, la Unió Europea va regular el dret a la intimitat dels europeus a Internet a través de la Directiva sobre protecció de dades de la UE, que a Espanya és la Llei Orgànica de Protecció de Dades. La legislació obliga a les empreses d’Internet a declarar les dades personals que emmagatzemen i prohibeix l’exportació d’aquestes dades entre països. Excepte entre països europeus perquè, al regir-se per la mateixa directiva, es consideren segurs.

D’altres països es van anar sumant a la llista de legislacions segures, però no va ser el cas d’Estats Units. El dret a la intimitat a Estats Units és bastant més “relaxat” que a Europa provocant que la transferència de dades a servidors americans està prohibida per defecte. Això era una mala noticia pels negocis d’Internet d’Estats Units a Europa, així que el 26 de juliol de 2000 la Comissió Europea va firmar un acord de Safe Harbor per no deixar fora les empreses tecnològiques importants.

Amb aquest tractat, Estats Units no va necessitar formalitzar cap canvi en el seu sistema legal, tan sols les seves empreses. Les companyies amb normes de privacitat equivalents a les europees van passar a considerar-se “ports segurs” en una llista que va pels 4.000 membres. Facebook, Google, Microsoft, Apple, Amazon, Dropbox estan a la llista de Safe Harbor.

Per què s’ha anul·lat?

Després d’estudiar la denuncia de Max Schrems, el Tribunal de la Unió Europea invalida el tractat de Safe Harbor amb Estats Units perquè no és un país segur per emmagatzemar dades personals. Luxemburg culpa a la Comissió Europea (Brussel·les) de no verificar amb l’acord de l’any 2000 que Estats Units garantís la protecció dels drets fonamentals de privacitat dels ciutadans europeus:

El règim estatunidenc de port segur possibilita d’aquesta forma ingerències per part de les autoritats públiques estatunidenques en els drets fonamentals de les persones, i la Decisió de la Comissió no posa de manifest que a Estats Units hi hagi regles destinades a limitar aquestes possibles ingerències ni que existeixi una protecció jurídica eficaç contra aquestes.

Els acords de Safe Harbor no eren protecció suficient pels europeus. Les filtracions de Edward Snowden van ser clau per determinar això. La secció 702 de l’acta de Vigilància d’Intel·ligència Exterior d’Estats Units (FAA 702) permetia a la NSA posar els nassos als servidors de Google, Yahoo, Microsoft i Facebook sense cap ordre judicial; gràcies a Safe Harbor, això permetia que la intel·ligència dels Estats Units interceptes el correu de Hotmail d’un ciutadà espanyol (per exemple) pel sol fet de ser sospitós.

Com afecta a les empreses?

La sentència publicada no fa res més que recollir aquesta preocupació, una cosa que des del punt de vista de la protecció dels drets fonamentals ha de ser qualificat com un èxit, però que complica immensament el comerç internacional i el funcionament del nostre teixit econòmic, tan dependent d’empreses com Amazon, Google, Facebook, Microsoft, Apple… El tribunal ha fet novament gala de la seva independència dels poders executius i legislatius, però les conseqüències poden ser tremendes, sobretot en el marc de la negociació del Tractat de Lliure Comerç (el famós TTIP).

Mentrestant, les empreses que transfereixen dades a Estats Units s’enfronten a un formidable dilema. Amb la declaració d’invalidesa de la Decisió, la nostra normativa de protecció de dades obliga a buscar una base jurídica alternativa per la transferència de dades a Estats Units. En ocasions, aquesta base jurídica es podrà trobar en alguna de moltes excepcions previstes per la Llei, per conseqüència uns petits canvis a la política de privacitat poden ser suficients. Però en altres, i en especial en aquells casos en que la transferència es sustenta en una simple prestació de serveis (per exemple per utilitzar cloud computing amb servidors a EE.UU.), pot ser necessari obtenir una autorització prèvia del Director de l’Agència Espanyola de Protecció de Dades. Un procés que pot endarrerir-se fins a tres mesos, ni més ni menys.

Probablement la Comissió Europea busqui una solució ràpida a aquest embolic però, mentrestant, les empreses estaran obligades a buscar-se la vida amb una normativa que, com dic sovint, no estava dissenyada per donar una resposta a situacions com aquesta. Consultors i assessors, tenim una gran tasca d’assessorament per davant!

Share on facebook
Share on twitter
Share on whatsapp
Share on linkedin

PROFESIONALES EN PROTECCIÓN DE DATOS

PROFESSIONALS EN PROTECCIÓ DE DADES