Dictamen preliminar del Supervisor Europeo de Protección de Datos referido al acuerdo US-UE Privacy Shield

Ante el acuerdo al que llegaron los representantes de EE.UU. y la UE para la rápida aprobación de un marco legal que permita sustituir al anterior Safe-Harbor garantizando el respeto de las normas Europeas acerca de privacidad y protección de datos (US-EU Privacy Shield, en adelante, el Acuerdo), el Supervisor Europeo de Protección de Datos (SEPD) a emitido un Dictamen preliminar en el que analiza el Acuerdo, y emite su opinión acerca de medidas adicionales a tener en cuenta antes de la presentación de dicho Acuerdo al Parlamento y Consejo Europeos.

En este sentido, se han identificado tres puntos clave, o mejoras esenciales, que se recomiendan para dar correcto cumplimiento de la Carta de Derechos Fundamentales de la Unión Europea (la Carta) y el artículo 16 del Tratado de Funcionamiento de la Unión Europea (TFEU):

  • Las garantías deberán aplicarse a todas las personas, no sólo a los nacionales de la UE.
  • Las disposiciones de recurso jurisdiccional son eficaces en el sentido de la Carta.
  • Las transferencias de datos sensibles de forma masiva no están autorizadas.

A continuación hacemos un breve extracto de las conclusiones de dicho dictamen, cuyo texto íntegro (en inglés) puede consultarse aquí:

1) Se espera que las disposiciones sustantivas del Acuerdo se correspondan total o parcialmente con las garantías esenciales del derecho a la protección de datos de la UE, como por ejemplo los derechos de los interesados, la supervisión independiente o el derecho a la tutela judicial efectiva. (Recordemos que estos puntos son precisamente de los mas criticados del anterior Safe Harbor, y que por tanto entendemos que si el nuevo marco no los cumple, no prosperará).

2) El Acuerdo de momento no constituye, técnicamente, una decisión de adecuación per se, aunque crea una presunción de cumplimiento acerca de las transferencias soportado por una base jurídica concreta, por lo que es crucial que se refuercen todas las garantías necesarias para evitar nuevas vulneraciones de la Carta.

3) Con el propósito de garantizar la seguridad jurídica, el SEPD recomienda las siguientes mejoras o aclaraciones, que deberán incluirse en el Acuerdo en sí o durante la ejecución del mismo:

  • Deberá respetarse el papel de los supervisores para dar cumplimiento al artículo 8.3 de la Carta.
  • Las bases jurídicas para las transferencias deben cumplir con las garantías del Acuerdo, prevaleciendo éste ante disposiciones contradictorias respecto a una base jurídica concreta.
  • En caso de falta de protección para los datos transferidos a las autoridades a nivel de Estado, deberán incluirse las medidas relativas a los datos que ya se hubieran compartido.
  • Las definiciones acerca de las operaciones de tratamiento e información personal deberán alinearse para su comprensión en virtud de la Unión Europea. En cualquier caso, si no se alinearan totalmente, la aplicación de los conceptos de deberá diferir sustancialmente de lo que entienda la legislación Europea al respecto.
  • Deberá incluirse en la declaración explicativa las condiciones específicas para que los datos puedan ser transferidos de forma masiva.
  • Asimismo, deberá incluirse que las Partes tienen la intención de aplicar todo lo relativo a las notificaciones de violación de información para limitar la omisión o retrasos excesivos de las mismas.
  • En relación a la retención de datos, se complementa con la especificación para los fines específicos para los que fueron transferidos.
  • Las Partes deberán incrementar sus esfuerzos para asegurar que las restricciones al derecho de acceso se limitan a lo indispensable para preservar los intereses públicos y reforzar la obligación de transparencia.
  • Deberá incluirse una declaración explicativa detallada que enumere específicamente:
    • Las autoridades de control que tendrán competencia en materia de protección de datos y el mecanismo mediante el que las Partes se informarán mutuamente acerca de cambios futuros-
    • Los poderes efectivos que éstas pueden ejercer.
    • La identidad y datos del punto de contacto, que ayuden a la identificación del órgano de control competente.

Por último, el SEPD recuerda que cualquier interpretación, aplicación y medida de aplicación del Acuerdo se debe hacer de forma compatible con los principios constitucionales de la UE, independientemente de las mejoras que se puedan incorporar siguiendo las recomendaciones del Dictamen.

Las anteriores recomendaciones y comentarios se han realizado de acuerdo al texto preliminar del Acuerdo US-EU Privacy Shield, disponible aquí.

Marc Rius

Textos referidos:

 

El Safe Harbor y la hipocresía europea


La cultura norteamericana se está extendiendo como una mancha de aceite. Por imposición, ósmosis o mimetismo han llegado a nuestras vidas conceptos y costumbres que hace unos años sólo veíamos en las películas. Los términos Halloween, black friday, y el propio compliance han arraigado definitivamente en Europa. Pero lo que todavía no ha llegado, por ejemplo, es la confianza del legislador en el ciudadano, la eliminación de ciertas trabas legales que todavía existen para abrir una empresa y el justo equilibrio entre privacidad y negocio.

En mi opinión, al legislador europeo se le ha ido la mano al diseñar el modelo de protección de datos que actualmente tenemos y ello nos está pasando factura. Un ejemplo claro es la regulación de las cookies.

Es como si un legislador ocioso hubiese identificado un derecho a regular pero hubiese ampliado su alcance hasta crear en el ciudadano necesidades que antes no tenía, llevándonos todos a lo más alto de la pirámide de Maslow.

En el caso de la anulación de los acuerdos Safe Harbor, tengo una opinión que coincide con algunos de los criterios utilizados por el TJUE, pero no con la conclusión. Creo que al juzgador le ha faltado información y comprensión del verdadero problema que subyace en esta cuestión. Y si no es así, entonces le ha sobrado hipocresía al poner en la balanza valores que no son comparables.

Es evidente que la base de la Patriot Act es el miedo, y una persona no amenazada no puede criticar el miedo de la que sí lo está, salvo que el miedo sea excesivo. La causa o la provocación de la amenaza también deberían ser analizadas, pero en ese caso tendríamos que diferenciar entre gobernantes y gobernados.

Tras los atentados de París ya se está hablando de medidas restrictivas de la libertad de movimiento y del derecho a la intimidad que se acercan mucho a las contenidas en la Patriot Act y en normas posteriores. La pregunta es si estas medidas se intensificarán en el caso de que se produzcan más atentados, porque en tal caso las diferencias entre un Estado que espía y otro que está pensando en hacerlo serían meramente cuantitativas. Al final, la cruda realidad sería que el derecho a la intimidad depende exclusivamente del número de muertes y no de la diferencia de valores entre las dos culturas. No sería de extrañar, ya que la vida es más importante que la intimidad, pero en ese caso se produciría una homologación de facto entre la protección de la intimidad en Europa y en Estados Unidos.

Esperemos no tener que oír dentro de unos años la frase “Cómo se respetaba la intimidad en Europa hasta que llegó el miedo” igual que en su día oímos la frase “En España no había racismo, hasta que llegaron los inmigrantes”.

Hay que tener en cuenta también que no todo es blanco o negro. Ni unos son tan buenos ni otros tan malos. En Europa también ha habido gobiernos que han reconocido que espiaban a sus ciudadanos. Y también hay agencias que pueden realizar inspecciones y requerimientos de datos sin tutela judicial.

Ello nos lleva a la triste conclusión de que ni las cláusulas tipo, ni las normas corporativas vinculantes, ni siquiera un nuevo acuerdo Safe Harbor pueden impedir que un Estado espíe o requiera la entrega de datos a los encargados del tratamiento.

Tampoco sirve de nada que el servidor esté en Europa, ya que si el proveedor es norteamericano tendrá que suministrar igualmente a la agencia requirente los datos que gestiona, estén donde estén. Y si no lo es, seguramente subcontratará los servicios de una empresa norteamericana, aunque muy probablemente no lo sepa.

Como decía Manuel Castells en 2001, la información ya no es un activo a almacenar, sino un flujo a optimizar, y hoy más que nunca cobra sentido esta afirmación. Cada vez es más difícil, y a la vez irrelevante, saber dónde están realmente los datos. Cuando un Magistrado del TJUE envía un mail a su familia, es muy probable que los routers encuentren un camino más rápido por otros países que no protegen los datos como en Europa, porque a esa hora están menos activos.

Por todo ello, cuando Europa y EEUU se pongan en serio a negociar Safe Harbor 2, tal vez tengan en cuenta todos los factores que hacen que sus normas y su cultura estén cada vez más cerca, y recuerden que los datos no saben lo que son las fronteras.

ACTUALIZACIÓN:  “El Parlamento británico tramita un proyecto de ley que pretende facilitar a la policía acceso a los registros del uso de Internet de los ciudadanos, algo que el Gobierno considera esencial para combatir el crimen y la amenaza terrorista”.
Ver noticia completa

ACTUALIZACIÓN:  “Los ministros de Defensa presionan para imponer una nueva legislación (Francia quiere prohibir el acceso a TOR, según difundió Le Monde hace unos días) y los defensores de los derechos civiles empiezan a mostrar preocupación”.
Ver noticia completa