¿Qué es el Safe Harbour?
Bien, Safe Harbour significa literalmente puerto seguro como el título de este post, es una decisión de adecuación de carácter sectorial a la que pueden acogerse, exclusivamente, compañías establecidas en los EE.UU., por lo que no se puede extender su aplicación, como en algún momento se ha pretendido (e incluso se sigue pretendiendo) a compañías filiales de empresas americanas establecidas fuera de este país. El sistema de adhesión por parte de las empresas de manera voluntaria a los requisitos de Puerto Seguro, se fundamenta, exclusivamente, en una declaración unilateral de las compañías respecto de que cumplen los requisitos de Puerto Seguro y, posteriormente, el control de dicho cumplimiento se encomienda a una auditoría que se puede llevar a cabo por personal interno de la entidad. Es decir, es un esquema de auto certificación, autorregulación y auto evaluación en el que pueden no existir nunca controles externos respecto de las actividades y prácticas de protección de datos de las compañías adheridas a Puerto Seguro.
A esto se refiere la Decisión 2000/520/CE de 26 de julio con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la Protección conferida por los principios de Puerto Seguro para la Protección de la Vida Privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de EE.UU.
Cabe destacar que independientemente del Puerto Seguro o Safe Harbour, como regla general, en el caso de empresas transnacionales y al tratarse de empresas que disponen de servidores en diferentes Estados por todo el mundo, habrá que tener en cuenta donde se encuentran ubicados dichos servidores, es decir si hablamos de Estados miembros de la Unión Europea, será de aplicación la Directiva 95/46/CE y en su caso la normativa del Estado miembro que la desarrolle, pero en el caso de que los servidores se encuentren ubicados en Estados que no pertenezcan al espacio de la Unión Europea, se deberá observar si disponen de algún tipo de acuerdo, tratado o convenio en el que se establezcan las medidas de seguridad oportunas y por último en caso de no ser así se deberá solicitar autorización expresa para la cesión internacional de los datos personales al Director de la Agencia Española de Protección de Datos, tal y como se describe en la página web de la Agencia Española de Protección de Datos de Carácter Personal Transferencias internacionales de datos .
- En concreto, la sentencia proclama que la Decisión de Puerto Seguro es inválida por dos motivos:
- Porque entiende que prevalece incondicionalmente y sin ninguna limitación «la seguridad nacional, el interés público o el cumplimiento de la ley» sobre los derechos fundamentales a la intimidad y la protección de datos, sin otorgar a los ciudadanos europeos ningún medio para obtener la tutela efectiva de esos derechos.
- Porque no otorga a los Estados miembros un margen suficiente para suspender las transferencias en caso de que estos apreciaran una vulneración de los derechos de los ciudadanos europeos.
Es en este último caso en el que al tratarse de un Estado no miembro, le era de aplicación la Decisión 2000/520/CE de la Comisión Europea del 2000 de 26 de julio con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la Protección conferida por los principios de Puerto Seguro o Safe Harbour para la Protección de la Vida Privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de EE.UU. Por lo que para garantizar la efectividad de la decisión, el Departamento de Comercio de Estados Unidos de América, o su representante, debía mantener a disposición del público una lista de entidades que auto certificasen su adhesión a los principios y a su aplicación y quedasen sujetas a la jurisdicción de la Federal Trade Comission o FTC Comisión Federal de Comercio, con arreglo a la competencia que le confiere el Artículo 5 de la Ley de la Comisión Federal de Comercio, o del Departamento de Transporte de Estados Unidos, con arreglo a la competencia que le confiere el Artículo 41.712 del Título 49 de la United States Code, los cuales estarán facultados para investigar las quejas que se presenten y solicitar medidas provisionales contra las prácticas desleales o fraudulentas, así como reparaciones para los particulares que estén sujetos a esta jurisdicción, independientemente de su país de residencia o de su nacionalidad.
Se consideraba así, a tenor de los requisitos exigidos en la Directiva 95/46/CE, que los principios de puerto seguro garantizaban un nivel adecuado de protección de los datos personales transferidos desde la Comunidad Europea a entidades establecidas en Estados Unidos, siempre que la entidad receptora de los datos hubiese manifestado al Departamento de Comercio de Estados Unidos o a su representante, de forma inequívoca y pública, su compromiso de cumplir estos principios de puerto seguro y se sujetase a la jurisdicción a la que nos hemos referido aceptando lo siguiente: Do you agree to cooperate and comply with the European Data Protection Authorities? Yes.
Para la UE, la protección de datos personales es un derecho fundamental de los ciudadanos. Así lo reconocen explícitamente algunas constituciones de los Estados miembros (la española, entre ellas). Además, tanto la UE mediante diversas directivas como sus Estados miembros al transponer las mismas, han aprobado normas jurídicas de obligado cumplimiento y de carácter general en las que se establecen los principios y los derechos que los ciudadanos tienen respecto al tratamiento de sus datos personales. Finalmente, en todos los Estados miembros existen autoridades de control independientes encargadas de la supervisión del cumplimiento de la legislación en esta materia.
En este sentido, el pasado seis de octubre en el que el TJUE en su gran sala, declaró inválida la Decisión 2000/520/CE de la Comisión Europea del 2000 de 26 de julio con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, que declaraba el nivel adecuado de protección del Puerto Seguro o Safe Harbour.
Veremos que ocurre a partir de ahora, ya que no sólo afecta a los responsables de ficheros (entidades en su gran mayoría y sus proveedores) si no que también afectará a millones de usuarios de servicios en la Red. De igual modo, habrá que ver que ocurre con con el no muy conocido TTIP o Transatlantic Trade and Investment Partnership, el cual es una propuesta de tratado de libre comercio (TLC) entre la Unión Europea y Estados Unidos. Actualmente se encuentra en negociaciones y previsiblemente dotará de poder a las grandes empresas y desregularizaría los mercados, por lo que en el caso de las empresas tecnológicas la cuestión de la privacidad será un escollo a salvar y a tener en cuenta.
Cabe destacar que esta sentencia del TJUE, sigue la línea de reforzar el Derecho Fundamental a la protección de datos de carácter personal, tal y como ya ocurriera el 13 de mayo de 2014 con la Sentencia del denominado Derecho al Olvido en el caso de Google y Costeja.
No obstante a todo lo anterior, es importante recalcar que también se deberá cumplir con la normativa Española en materia de protección de datos, en concreto con la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento que la desarrolla.
Por todo ello muchos de los proveedores de servicios en la nube tales como gestores documentales o de correo electrónico quedarán automáticamente fuera del Safe Harbour o puerto seguro, desde Biantik ya estamos trabajando para adecuar de la mejor manera posible a nuestros clientes e interesados con cuestiones en este sentido.
Documentación y entradas de interés:
1.- Sentencia TJUE.
2.- Decisión 2000/520/CE.
3.- Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
4.- Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento que la desarrolla.
5.- Directiva 95/46/CE.
6.- Nota de prensa de la AEPD.
7.- Blog Jon Turrillas, Datos Personales y Cloud Computing.