Estados Unidos es la primera potencia económica mundial y es un país pionero en diversos aspectos, sin embargo carece de un marco que regule adecuadamente y que proteja los datos personales tal y como se prevé en la Unión Europa.
Cuando la Unión Europea quiso asegurar la protección de los datos personales de los ciudadanos europeos mediante la aprobación de disposiciones normativas se encontró con el problema de que EEUU, país donde se encuentran las principales empresas de internet y por tanto se alojan la mayoría de datos personales del mundo (incluidos, los datos de los europeos), no disponía de un marco normativo que de facto permitiera transferir datos desde Europa a EEUU. El artículo 25 de la Directiva 95/46/CE lo deja bien claro: Si un tercer estado no cumple con los principios de protección de datos de la directiva, se considera que su legislación no es ‘adecuada’ y, por tanto, no se puede establecer ninguna transferencia de datos.
Resultaba imposible pensar que la UE pudiera denegar la transferencia de datos a EEUU porque ello conllevaría que los ciudadanos europeos renunciaran a servicios esenciales en el entorno comercial. Por ello, en aras de encontrar una solución a este paradigma, en el año 2000, a Comisión Europea se acogió a la posibilidad del artículo 25(6) de la Directiva 95/46 y aprobó una norma que se permitía la transferencia internacional de datos entre la UE y EEUU a las empresas adscritas al acuerdo denominado Safe Harbor (Puerto Seguro).
El acuerdo Safe Harbor costó mucho aprobarse por la multitud de disconformidades que hubo entre la UE y EEUU durante las negociaciones. Un año después de su aprobación, EEUU sufrió el ataque terrorista del 11S y ello conllevó que el mismo año 2001 se aprobara la ley ‘Patriot Act’, una ley que permitía un amplio acceso por parte de los servicios de inteligencia estadounidenses a datos personales por la lucha anti-terrorista, incluidos los datos almacenado por las empresas estadounidenses siempre que fueran necesarios por razones de seguridad nacional.
A partir de aquel momento, el acuerdo Safe Harbor presentó nuevos problemas ya que el acceso por parte de los cuerpos de inteligencia estadounidenses no se contempló cuando se aprobó el acuerdo. Lo cierto es que en 2013 salió a la luz lo que ya era presumible durante muchos años: La Agencia de Seguridad Nacional (NSA) accedía de forma masiva a datos personales de todo el mundo, incluidos los ciudadanos europeos. Ese mismo año la Comisión Europea alertó del “acceso a gran escala por parte de las agencias de inteligencia” a los datos transferidos a Estados Unidos por entidades con certificación de puerto seguro”.
La situación de las transferencias internacionales entre la UE y EEUU era cada vez más insostenible y todo ello conllevó a que en 2014 el Supervisor Europeo de Protección de Datos manifestara abiertamente que el acuerdo Safe Harbor debía ser modificado.
Recientemente, el pasado 23 de septiembre, el Abogado General del Tribunal de Justicia de la UE emitió un dictamen sobre las transferencias internacionales entre la UE y EEUU en el caso particular de los datos de ciudadanos europeos que recaba Facebook Ireland Ltd. y que luego transfiere a su central en EEUU (Facebook Inc.).
Este dictamen pone sobre la mesa diversas cuestiones que pueden tener importante relevancia sobre el futuro de internet. En particular, el Abogado General Bot dictamina que el acuerdo Safe Harbor no ofrece suficientes garantías y que las Autoridades de Protección de Datos de cada país deben poder suspender las transferencias internacionales entre la UE y EEUU cuando consideren que ello vulnera el derecho a la protección de datos.
El futuro de las transferencias internacionales a EEUU es todavía incierto y deberemos esperarnos a la sentencia del Tribunal de Justicia de la Unión Europea (TJUE), prevista para finales de año, que coincidirá posiblemente con la aprobación definitiva del Reglamento Europeo de Protección de Datos.
Sin embargo, cabe destacar que el Abogado General se ha mostrado muy crítico con el acuerdo Safe Harbor considerando que la Comisión Europea debería declararlo inválido (mucho más contundente que el Supervisor Europeo de Protección de Datos, que abogaba por la reforma).
No cabe duda de que nos encontramos en un contexto totalmente diferente. Han transcurrido más de 15 años desde la aprobación del acuerdo Safe Harbor y dicho acuerdo se encuentra totalmente obsoleto. Ante este paradigma, el futuro de las transferencias internacionales podría ser el siguiente:
- Anulación del acuerdo Safe Harbor por parte del TJUE: A raíz del caso C-362/14 no sería descabellado pensar que el TJUE acabara anulando el acuerdo en su sentencia, alegando que resulta contrario a la Carta de Derechos Fundamentales (arts. 7 y 8).
- Anulación del acuerdo Safe Harbor por parte de las instituciones europeas: la Comisión, el Consejo o el Parlamento Europeo podrían plantear un recurso de anulación del acuerdo Safe Harbor ante el TJUE. El procedimiento sería el mismo que el punto anterior.
- Reforma de acuerdo Safe Harbor por parte de la Comisión Europea: sería quizás lo más conveniente para que las empresas europeas pudieran transferir datos a EEUU sin riego de que una Autoridad de Protección de Datos las sancione. La reforma debería iniciarse cuanto antes, antes de que el TJUE se pronuncie. Sin embargo, las intenciones de la Comisión son inciertas, ya que esta institución ha manifestado que quiere evitar posicionarse antes de conocer la Sentencia del TJUE.
Si la Comisión Europea accede finalmente a la reforma del acuerdo, el nuevo texto debería incluir lo siguiente:
- Asegurar que un organismo de supervisión externo verificara que efectivamente se cumplen los principios de Safe Harbor y que los cuerpos de inteligencia de EEUU no acceden indiscriminadamente a datos de ciudadanos europeos.
- Definir y extralimitar el término “seguridad nacional” para obligar a que esta excepción sea utilizada por los cuerpos policiales y de inteligencia estadounidenses para acceder a datos personales cuando existe una necesidad real y legítima.