La transferencia internacional de datos: ¿se recupera un estándar europeo de protección de datos personales?, por Maria del Mar Pérez Velasco
Profesora asociada de Derecho Constitucional de la UB
En un reciente pronunciamiento, el Tribunal de Justicia de la Unión Europea (TJUE), mediante la Sentencia de 6 de octubre ha invalidado la Decisión de la Comisión Europea 200/520 / CE que declaraba que Estados Unidos era un «Puerto Seguro» que garantizaba un nivel adecuado de protección de los datos personales (http://www.export.gov/safeharbor). Por lo tanto, se anula el régimen que hasta ahora amparaba a las empresas para obtener datos de los usuarios europeos y transferirlos a servidores de Estados Unidos, sin tener que someterlos a las políticas de privacidad de la Unión Europea, mucho más estrictas. El TJUE considera, además, que esta Decisión de la Comisión no puede dejar sin efecto, ni limitar, las facultades de que disponen las autoridades nacionales de protección de datos sobre el control de las transferencias de datos personales a países terceros.
La sentencia del TJUE se dicta como consecuencia de una cuestión prejudicial planteada por el Tribunal Supremo irlandés, al resolver una denuncia interpuesta por un estudiante europeo (Max Schrems) que consideraba que la transferencia de datos de la filial irlandesa de la red social Facebook a servidores situados en territorio de Estados Unidos, donde son objeto de tratamiento, no disponía de las debidas garantías. Las revelaciones del ex-agente de la CIA Edward Snowden, sobre el acceso de la Agencia Nacional de Seguridad a todos los datos personales contenidos en los servidores asociados a la red social de Facebook, evidenciaba la falta de garantías en la seguridad de los datos.
El TJUE analiza en la Sentencia el régimen de protección de la Unión Europea sobre protección de datos (Directiva 95/46 / CE de 24 de octubre de 1995) y, concretamente, las condiciones en que se pueden realizar las transferencias de datos a países terceros. El Tribunal considera que únicamente se pueden autorizar transferencias internacionales de datos si se garantiza un nivel de protección adecuado (artículo 25.6 de la Directiva 95/46/CE) y concluye que la Decisión 2000/520/CE sobre Puerto Seguro en Estados Unidos no garantiza un nivel de protección equivalente al establecido en la directiva. Anteriormente, y en el mismo sentido, ya se había manifestado el Consejo Económico y Social, en su dictamen 2014 / C 424/02, de 4 de junio de 2014.
La sentencia del TJUE es relevante en relación al papel que el derecho a la protección de datos, en concreto, y los derechos fundamentales, en general, pueden desempeñar como límites a los intercambios comerciales y a la prestación de servicios y merece un análisis más detallado. Sin embargo, debe apuntarse, brevemente, tres aspectos sobre los que se proyectan sus efectos.
En primer lugar, se trata de una sentencia que, como se ha dicho, restablece el estándar de protección de los datos personales de los ciudadanos europeos en sus relaciones con Estados Unidos, que había quedado fuertemente desvirtuado con la Decisión 2000/520/CE que declaraba que los Estados Unidos era un «Puerto Seguro» ya que se garantizaba un nivel adecuado de protección de los datos personales.
En segundo lugar, la sentencia se inserta en el contexto de las negociaciones entre los Estados Unidos y la Unión Europea sobre el Tratado Transatlántico de Comercio y de Inversiones (TTIP) que, con el objetivo de crear uno de los mercados más amplios, pretende la liberalización recíproca del comercio de productos y servicios, eliminando las barreras arancelarias y otros tipos de obstáculos. Ello ha suscitado la correspondiente polémica y preocupación, precisamente en lo que atañe a la posible afectación de derechos fundamentales donde se encuentra el derecho a la protección de datos personales. Estos tipos de previsiones ya se intentaron adoptar en el Acuerdo Multilateral de Inversiones (AMI) y en el Acuerdo Comercial contra la Falsificación (ACTA) que no prosperaron precisamente por el grado de rechazo que suscitaron (Guamán A., TTIP. El asalto de las multinacionales a la democracia, Akal 2015).
A pesar de que la protección de datos, como derecho fundamental, parece que debería ser un ámbito excluido del objeto de negociación, y que la Comisión ha asegurado que no se encuentra dentro del objeto de negociación («Fact sheet on services»), la conexión material de la protección de datos con el desarrollo de los servicios económicos es evidente. La Coalición del Comercio Digital (DTC) que agrupa a industriales de Internet y de las altas tecnologías presiona a los negociadores del TTIP para que incluyan entre sus previsiones el levantamiento de las barreras que impiden que el flujo de datos personales se extienda libremente de la Unión Europea a los Estados Unidos (Wallach, L. Le Monde diplomatique, nº8, pag. 7-11).
Finalmente, y en tercer lugar, la importancia de la aparición de nuevas modalidades de prestación de servicios tecnológicos, como es el caso del «Cloud Computing», hace que cuestiones como la seguridad y la privacidad precisen de una nueva regulación común en el marco de la Unión Europea. Esta regulación debería establecer con claridad los derechos y obligaciones de los proveedores, usuarios y de los titulares de los datos. En este caso, como concluyeron las autoridades europeas de protección de datos, ni tan siquiera los principios de puerto seguro, por sí mismos, podrían ser considerados suficientes para garantizar la seguridad en la transferencia de los datos (Dictamen 5/2012, sobre computación en nube, del Grupo de trabajo del Artículo 29, de 1 de julio de 2012).