El Tribunal de Justicia de la Unión Europea declara inválido el acuerdo de “Puerto Seguro” en virtud del cual se facilitaba el envío de datos personales de Europa a empresas estadounidenses.

Si utilizas servicios como los de Mailchimp, Dropbox, Google, Shopify o cualquiera suministrado por las más de 4.500 empresas de esta lista (abajo del todo en la página) o tu empresa envía información a compañías, tanto del mismo grupo como ajenas, radicadas en Estados Unidos, podrías encontrarte en riesgo de incumplimiento en materia de protección de datos.

En relación con esta noticia, los amigos de Computerworld nos han hecho una entrevista para explicar muy resumidamente lo sucedido y sus implicaciones. Puedes ver aquí dicha entrevista.

Actualmente parece impensable un mundo sin flujo de información entre distintos países. No sólo las multinacionales y las grandes empresas necesitan enviar de forma periódica información entre filiales, filial y matriz o hacia proveedores de servicios y otras empresas con las que desarrollen sus negocios. Hoy en día muchas pymes, micro-pymes y autónomos utilizan servicios de empresas radicadas en Estados Unidos, como por ejemplo, los ya citados.

Raro es que entre dicha información no viajen datos de carácter personal (recordemos que por tal se entiende “cualquier información concerniente a personas físicas identificadas o identificables” (nombre y apellidos, correo electrónico, teléfono, imagen, dirección postal, número de identificación, y un larguísimo etcétera), y aquí es cuando entra en juego la normativa europea, y en nuestro caso española, sobre protección de datos.

Según dicha normativa, sólo pueden enviarse datos de carácter personal (ya sea solos o junto con otro tipo de datos o información) a destinos ubicados fuera del Espacio Económico Europeo, bajo alguna de las siguientes premisas:

1. Si el país de destino tiene reconocido un nivel de protección adecuado.
2. Consiguiendo previamente la autorización del Director de la Agencia Española de Protección de Datos (AEPD), lo que requiere una solicitud que ha de reunir varios requisitos y el tiempo de la tramitación, durante el cual no se puede llevar a cabo la transferencia de datos para la que se solicita tal autorización.
3. Si concurre alguna de las excepciones previstas en la ley.

Pues bien, desde el año 2000 y hasta ayer mismo un acuerdo entre EU y EEUU facilitaba las transferencias de datos a este país bajo un sistema de adhesión a los llamados Principios de Puerto Seguro (Safe Harbor). Era sencillo: la empresa americana se adhería a dichos principios y así pasaba a ser automáticamente reconocida como destino con nivel adecuado de protección. De esta forma, no era necesario tener que solicitar y conseguir (que no siempre se consigue) la previa autorización de la AEPD, y se agilizaban enormemente las operaciones comerciales transatlánticas.

Con este sistema nos la prometíamos todos tan felices. Hasta que saltó el escándalo del espionaje masivo de la NSA, revelado por Snowden en junio de 2013. En ese momento, Maximillian Schrems, un joven austriaco pide que se prohíba a Facebook Ireland transferir sus datos personales a Facebook en Estados Unidos, porque allí no se garantiza una protección mínima suficiente de sus datos personales debido a la vigilancia practicada por las autoridades públicas.

Muy resumidamente, el caso terminó en el Tribunal de Justicia de la Unión Europea, que ayer, 6 de octubre de 2015, ha dictado su sentencia y ha invalidado el sistema de Puerto Seguro para las transferencias de datos personales a Estados Unidos. No le falta razón y le da un buen tirón de orejas a la Comisión Europea, con pronunciamientos tales como “una normativa que permite a las autoridades públicas acceder de forma generalizada al contenido de las comunicaciones electrónicas lesiona el contenido esencial del derecho fundamental al respeto de la vida privada garantizado por el artículo 7 de la Carta [de Derechos Fundamentales de la Unión Europea]”.

¿Y qué pasa ahora?

La consecuencia inmediata de esta sentencia es que a partir de ahora aquellas transferencias de datos personales a los EEUU que se realizaban bajo la cobertura del Safe Harbor se peuden considerar ilícitas, lo que pone en situación de incumplimiento a muchas grandes empresas estadounidenses (como es muy posible que hayáis escuchado o leído en las noticias), pero también a muchos negocios europeos que utilizan servicios de empresas estadounidenses alojando en sus servidores en dicho territorio su información y los datos personales de los que son responsables.

Tanto unos como otros deben revisar su situación cuanto antes y analizar los mecanismos alternativos vigentes en la actualidad, a fin de poder seguir manteniendo tales flujos de datos y utilizando los servicios de estas empresas americanas. Habrá que optar por proveedores europeos o acudir al resto de opciones que permiten tales transferencias, bien aplicando, si es posible, una de las excepciones contempladas en el art. 34 de nuestra LOPD, bien obteniendo la autorización del Director de la AEPD conforme al art. 33 de nuestra LOPD y art. 66 de nuestro Reglamento.

Para información más detallada, lee el artículo publicado por Ruth Benito para Computerworld.

Créditos
Imagen: Bandera EU en Flickr, por Rock Cohen. Bandera USA en Flickr por Mike Mozart.