El Tribunal de Justicia de la UE ha dado un pasito más para proteger la privacidad de los usuarios y consumidores europeos con la anulación del conocido Safe Harbor -o puerto seguro-, que autorizaba a las compañías no europeas la transferencia de datos personales a un tercer país cuando garantizasen un nivel de protección adecuado y se respetase las disposiciones legales de los Estados miembros -aunque la en la práctica no se pudiese comprobarse el nivel de protección-.
La legislación sobre el Safe Harbor en aplicación se remonta a 1998, cuando los los Estados Unidos y la UE acordaron un marco de "puerto seguro" que permitía a las empresas firmantes de Estados Unidos, la transferencia de datos a través del Atlántico, siempre y cuando cumpliesen con una serie de principios de privacidad. Lógicamente, el nivel de datos transferidos en el 98 era bastante diferente al de hoy en día, cuando la mayoría de esos datos tiene su base e internet y muchas de las compañías basan su modelo de negocio, precisamente, en la transferencia, manejo y utilización de los datos.
Max Schrems es el punto de partida del cambio en la UE
El caso Schrems ha cambiado la normativa de toda la UE
La anulación del Safe Harbor llega como consecuencia directa de la revisión del caso presentado por un activista austríaco, Max Schrems, que presentó una demanda contra Facebook y otras compañías sobre la transferencia de sus datos a Irlanda y el manejo de los mismos, y con mayor interés tras las revelaciones de PRIMS que ponían en serias dudas lo que el primer acuerdo de Safe Harbor venía a proteger. El problema es que la demandas de Schrems cayeron en saco roto, y tras la negativa de los tribunales irlandeses de atender sus peticiones para que se cumpliesen las normas vigentes en la transferencia, uso de datos y protección de los mismos, Schrems llevó caso ante los tribunales irlandeses y posteriormente, ante la unión Europea.
El Sr. Schrems interpuso un recurso ante la High Court contra la decisión del comisario de archivar su denuncia. Tras haber examinado las pruebas aportadas en el procedimiento principal, dicho órgano jurisdiccional constató que la vigilancia electrónica y la interceptación de datos personales responden a finalidades necesarias e indispensables para el interés público, a saber, el mantenimiento de la seguridad nacional y la prevención de delitos graves. La High Court observó, a este respecto, que la vigilancia e interceptación de los datos personales transferidos desde la Unión a Estados Unidos sirven a objetivos legítimos relacionados con la lucha contra el terrorismo.
Ahora, la anulación del Safe Harbor implica directamente un cambio en la forma en la que los Estados Miembros actuan respecto a la protección de los datos de sus ciudadanos y por extensión, en la aplicación de normas que garantizan o permiten la transferencia fuera de la UE. En principal cambio que el TJUE ha sancionado en la anulación del puerto seguro es que cada país podrá establecer su propia regulación en materia de protección de datos respecto a su transferencia a empresas norteamericanas.
Adicionalmente, los países pueden optar por suspender la transferencia de datos a los EE.UU., obligando, y aquí viene lo interesante, a las empresas estadounidenses a tratar los datos dentro del país miembro, algo que afecta directamente a empresas cuyo negocio son de facto, los datos, como Facebook, Google o Amazon, entre otras.
En este sentido, la High Court estima que es dudoso que la Decisión 2000/520 cumpla, en la práctica, los requisitos previstos en los artículos 7 y 8 de la Carta, sobre todo a la luz de los principios formulados por el Tribunal de Justicia en su sentencia Digital Rights Ireland y otros. (21) En particular, la garantía consagrada en el artículo 7 de la Carta y que emana de los valores fundamentales presentes en las tradiciones constitucionales comunes a los Estados miembros se vería comprometida.
Implica cambios regulatorios y estructurales en el tratamiento de los datos
Lógicamente, no es oro todo lo que reluce, pues todas estas compañías todavía tienen alterativas para la transferencia de los datos sin que sea necesario tratarlos dentro del país miembro. La sentencia deja claro que las autoridades de protección de datos, ahora nacionales, pueden revisar las transferencias de datos a los EE.UU. para cada caso individual, por lo que muchas de grandes compañías con presencia importante en los países miembros pueden pasar de puntillas ante regulaciones más laxas de protección de datos, aunque de cualquier modo obligará a las empresas a repensar qué datos recogen y cómo los manejan.
Junto a las implicaciones para muchas compañías, la eliminación del Safe Harbor tiene un impacto directo y consecuencias económicas, regulatorias y de uso para los usuarios, pues en cierto modo implica cambiar parte de la estructura de recolección y transferencias de datos a nivel individual por compañía y país, aunque de momento estos cambios no serán inmediatos.