La transferència internacional de dades: es recupera un estàndard europeu de protecció de dades personals?, per Maria del Mar Pérez Velasco

(English version).

En un recent pronunciament, el Tribunal de Justícia de la Unió Europea (TJUE), mitjançant la Sentència de 6 d’octubre ha invalidat la Decisió de la Comissió Europea 200/520/CE que declarava que els Estats Units era un “Port Segur” que garantia un nivell adequat de protecció de les dades personals (http://www.export.gov/safeharbor).

Per tant, s’anul·la el règim que fins ara emparava a les empreses per obtenir dades dels usuaris europeus i transferir-les a servidors dels Estats Units sense haver-les de sotmetre a les polítiques de privacitat de la Unió Europea, molt més estrictes. El TJUE considera, a més, que aquesta Decisió de la Comissió no pot deixar sense efecte, ni limitar, les facultats de què disposen les autoritats nacionals de protecció de dades sobre el control de les transferències de dades personals a països tercers.

La sentència del TJUE es dicta com a conseqüència d’una qüestió prejudicial plantejada pel Tribunal Suprem irlandès, en resoldre una denuncia interposada per un estudiant europeu (Max Schrems) que considerava que la transferència de dades de la filial irlandesa de la xarxa social Facebook a servidors situats en territori dels Estats Units, on són objecte de tractament, no disposava de les degudes garanties. Les revelacions de l’ex-agent de la CIA Edward Snowden, sobre l’accés de de l’Agència Nacional de Seguretat a totes les dades personals contingudes en els servidors associats a la xarxa social de Facebook, evidenciaven la manca de garanties en la seguretat de les dades.

El TJUE analitza a la Sentencia el regim de protecció de la Unió Europea sobre protecció de dades (Directiva 95/46/CE de 24 d’octubre de 1995) i, concretament, les condicions en que es poden realitzar les transferències de dades a països tercers. El Tribunal considera que únicament es poden autoritzar transferències internacionals de dades si es garanteix un nivell de protecció adequat (article 25.6 de la Directiva 95/46/CE) i conclou que la Decisió 2000/520/CE sobre Port Segur als Estats Units no garanteix un nivell de protecció equivalent a l’establert a la directiva. Anteriorment, i en el mateix sentit, ja s’havia manifestat el Consell Econòmic i Social, en el seu dictamen 2014/C 424/02, de 4 de juny de 2014.

La sentència del TJUE esdevé rellevant en relació al paper que el dret a la protecció de dades, en concret, i que els drets fonamentals, en general, poden exercir com a límits als intercanvis comercials i a la prestació de serveis i mereix una anàlisi més detallada. No obstant això, cal apuntar, breument, tres aspectes sobre els quals es projecten els seus
efectes.

En primer lloc, es tracta d’una sentencia que, com s’ha dit, restableix l’estàndard de protecció de les dades personals dels ciutadans europeus en les seves relacions amb els Estats Units, que havia quedat fortament desvirtuat amb la Decisió 2000/520/CE que declarava que els Estats Units era un “Port Segur” perquè es garantia un nivell adequat de protecció de les dades personals.

En segon lloc, la sentència s’insereix en el context de les negociacions entre els Estats Units i la Unió Europea sobre el Tractat Transatlàntic de Comerç i d’Inversions (TTIP) que, amb l’objectiu de crear un dels mercats més amplis, pretén la liberalització recíproca del comerç de productes i serveis, eliminant les barreres aranzelàries i altres tipus d’obstacles. Això ha suscitat la corresponent polèmica i preocupació, precisament pel que fa referencia a la possible afectació de drets fonamentals on es troba el dret a la protecció de dades personals.

Aquests tipus de previsions ja es van intentar adoptar en l’Acord Multilateral d’Inversions (AMI) i en l’Acord Comercial contra la Falsificació (ACTA) però no van prosperar pel grau de rebuig que varen suscitar (Guamán A., TTIP. El asalto de las multinacionales a la democracia, Akal 2015).

Malgrat que la protecció de dades, com a dret fonamental, sembla que hauria de ser un àmbit exclòs de l’objecte de negociació, i que la Comissió ha assegurat que no és dins l’objecte de negociació (“Fact sheet on services”), la connexió material de la protecció de dades amb el desenvolupament dels serveis econòmics és evident. La Coalició del Comerç Digital (DTC) que agrupa a industrials d’Internet i de les altes tecnologies pressiona als negociadors del TTIP per a que incloguin entre les seves previsions l’aixecament de les barreres que impedeixen que el flux de dades personals s’estengui lliurement de la Unió Europea als Estats Units (Wallach,L. Le Monde diplomatique, num.8, pag. 7-11).

Finalment, i en tercer lloc, la importància de l’aparició de noves modalitats de prestació de serveis tecnològics, com és el cas del “Cloud Computing”, fa que qüestions com la seguretat i la privacitat precisin d’una nova regulació comuna en el marc de la Unió Europea. Aquesta regulació hauria d’establir amb claredat els drets i obligacions dels proveïdors, usuaris i dels titulars de les dades. En aquest cas, tal com varen concloure les autoritats europees de protecció de dades, ni tant sols els principis de port segur, per si mateixos, podrien ser  considerats suficients per garantir la seguretat en la transferència de les dades (Dictamen 5/2012, sobre computación en nube, del Grupo de trabajo del articulo 29, d’1 de juliol de 2012).