¿Qué es el Safe Harbor y qué implica su anulación a las empresas?

¿Qué es el acuerdo de Safe Harbor?

En 1998, la Unión Europea reguló el derecho a la intimidad de los europeos en Internet a través de la Directiva sobre protección de datos de la UE, que en España es la Ley Orgánica de Protección de Datos. La legislación obliga a las empresas de Internet a declarar los datos personales que almacenan y prohíbe la exportación de estos datos entre países. Excepto entre países europeos porque, al regirse por la misma directiva, se consideran seguros.

Otros países se fueron sumando a la lista de legislaciones seguras, pero no fue el caso de Estados Unidos. El derecho a la intimidad en Estados Unidos es bastante más “relajado” que en Europa por lo que la transferencia de datos a servidores americanos está prohibida por defecto. Esto era una mala noticia para los negocios de Internet de Estados Unidos en Europa, así que el 26 de julio de 2000 la Comisión Europea firmó un acuerdo de Safe Harbor para no dejar fuera a las empresas tecnológicas importantes.

Con este trato, Estados Unidos no necesitó formalizar ningún cambio en su sistema legal, solamente sus empresas. Las compañías con normas de privacidad equivalentes a las europeas pasaron a considerarse “puertos seguros” en una lista que va por 4.000 miembros. Facebook, Google, Microsoft, Apple, Amazon, Dropbox están en la lista de Safe Harbor.

¿Por qué se ha anulado?

Tras estudiar la denuncia de Max Schrems, el Tribunal de Justicia de la Unión Europea invalida el tratado de Safe Harbor con Estados Unidos porque no es un país seguro para almacenar datos personales. Luxemburgo culpa a la Comisión Europea (Bruselas) de no verificar con el acuerdo del año 2000 que Estados Unidos garantizase la protección de los derechos fundamentales de privacidad de los ciudadanos europeos:

El régimen estadounidense de puerto seguro posibilita de ese modo injerencias por parte de las autoridades públicas estadounidenses en los derechos fundamentales de las personas, y la Decisión de la Comisión no pone de manifiesto que en Estados Unidos haya reglas destinadas a limitar esas posibles injerencias ni que exista una protección jurídica eficaz contra éstas.

Los acuerdos de Safe Harbor no eran protección suficiente para los europeos. Las filtraciones de Edward Snowden fueron claves para determinar esto. La sección 702 del Acta de Vigilancia de Inteligencia Exterior de Estados Unidos (FAA 702) permitía a la NSA meter las narices en los servidores de Google, Yahoo, Microsoft y Facebook sin ninguna orden judicial; gracias a Safe Harbor, esto permitía que la inteligencia de Estados Unidos interceptar el correo de Hotmail de un ciudadano español (por ejemplo) por el mero hecho de ser sospechoso.

¿Cómo afecta a las empresas?

La sentencia publicada  no hace sino recoger esta preocupación, algo que desde el punto de vista de la protección de los derechos fundamentales debe ser calificado como un éxito, pero que complica inmensamente el comercio internacional y el funcionamiento de nuestro tejido económico, tan dependiente de empresas como Amazon, Google, Facebook, Microsoft, Apple… El Tribunal ha hecho nuevamente gala de su independencia de los poderes ejecutivo y legislativo, pero las consecuencias pueden ser tremendas, máxime en el marco de la negociación del Tratado de Libre Comercio (el famoso TTIP).

Entretanto, las empresas que transfieran datos a Estados Unidos se enfrentan a un formidable dilema. Con la declaración de invalidez de la Decisión, nuestra normativa de protección de datos obliga a buscar una base jurídica alternativa para la transferencia de datos a Estados Unidos. En ocasiones, esa base jurídica podrá encontrarse en alguna de las muchas excepciones previstas por la Ley, por lo que unos ligeros cambios en las políticas de privacidad pueden ser suficientes. Pero en otras, y en especial en aquellos casos en los que la transferencia se sustente en una simple prestación de servicios (por ejemplo, para utilizar cloud computing con servidores en EE.UU.), puede ser necesario obtener una autorización previa del Director de la Agencia Española de Protección de Datos. Un proceso que puede demorarse hasta tres meses, ni más ni menos.

Lo más probable es que la Comisión Europea busque una solución rápida a este entuerto pero, entretanto, las empresas se verán obligadas a buscarse la vida con una normativa que, como digo a menudo, no estaba diseñada para dar respuesta a situaciones como esta. ¡Consultores y asesores tenemos una ardua tarea de asesoramiento por delante!

Share on facebook
Share on twitter
Share on whatsapp
Share on linkedin

PROFESIONALES EN PROTECCIÓN DE DATOS