La Sentencia Facebook y la transferencia internacional de datos.

En el conocido como “caso Facebook“, el Tribunal de Justicia de la Unión Europea ha dictado una importante sentencia que afecta al régimen europeo de protección de datos personales y, más concretamente, a las “transferencias internacionales” desde cualquier territorio de la Unión Europea hacia Estados Unidos, donde tienen su sede muchas de las principales empresas de internet.

La legislación europea es especialmente protectora de los derechos de las personas físicas en lo que respecta al uso de sus datos personales por terceros, buscando como objetivo primordial garantizar y proteger las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.

Sin embargo, no todos los países del mundo cuentan con un nivel de protección equivalente al europeo, por lo que nuestra legislación regula y limita la posibilidad de transferir datos personales hacía terceros países.

Lo que comento en este post es de aplicación para las personas o entidades sometidas a las exigencias de Ley Orgánica de Protección de Datos Personales (LOPD). Las persona física que mantengan datos personales de terceros en el ejercicio de actividades exclusivamente personales o domésticas no tienen que cumplir con las exigencias de la Ley.

Sentencia Facebook

Vector de negocios diseñado por Freepik.

¿Qué es una transferencia internacional de datos personales?

La trasferencia internacional de datos consiste en un tratamiento de datos que supone una transmisión de los mismos fuera del Espacio Económico Europeo (compuesto por los 28 estados de la UE más Noruega, Liechtenstein e Islandia).

La LOPD establece como regla general la prohibición de transferir datos personales con destino a países que no proporcionen un nivel de protección adecuado, salvo que obtengamos una autorización del Director de la Agencia de Protección de datos o que concurran algunas de las excepciones previstas en la norma.

Art. 33 LOPD
1. No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.
2. El carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por la Agencia de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.

Una transferencia internacional puede consistir en subir archivos, que contengan datos de nuestros clientes, desde el ordenador de la empresa (que físicamente está en España), a un servicio de en la nube o Cloud Computing, ofrecido por empresas que tengan sus servidores fuera de la UE o los países del Espacio Económico Europeo.

Por tanto, al utilizar un servicio como Google drive o Dropbox (donde los archivos se almacenan en servidores situados en terceros países), estamos efectuando una transferencia internacional de los datos, normalmente hacia ordenadores en Estados Unidos. Para cumplir con las exigencias de la LOPD, tendríamos que solicitar autorización al Director de la Agencia Española de Protección de Datos.

Ahora bien, si el estado donde se encuentra el servidor tiene un nivel de protección adecuado (equiparable al que presta la LOPD) no será necesario solicitar dicha autorización al Director de la Agencia.

La problemática se centra entonces en determinar qué países de fuera de la UE tienen un nivel de protección adecuado y cuáles no. A este respecto, la Comisión Europea (organismo de la UE), tiene la posibilidad de declarar que un tercer país cuenta con un nivel de protección adecuado, como por ejemplo ya ha hecho respecto a Suiza, Argentina, el Principado de Andorra…

Estados Unidos y el Acuerdo de Pueto Seguro (Safe Harbor).

El caso de Estados Unidos es paradigmático. Como país no se le reconoce un nivel de protección adecuado, pero la Comisión Europea en su decisión 2000/520, de 26 de julio de 2000, sí se lo reconoció respecto a las empresas norteamericanas que voluntariamente se adhiriesen y cumpliesen con los principios del denominado “Acuerdo de Puerto Seguro” (o Safe Harbor), promovido por el Departamento de Comercio de Estados Unidos.

Teóricamente, si usamos un servicio en la nube como Google drive o Dropbox, y dichas empresas están adheridas al citado Acuerdo de Puerto Seguro, podríamos utilizarlo (transfiriendo internacionalmente los datos hacia servidores de Estados Unidos), sin necesidad de recabar la autorización del Director de la Agencia.

El problema es que el usuario que utiliza tales servicios no tiene la posibilidad real de controlar si los datos subidos a la nube son realmente transferidos hacía servidores de Estados Unidos, o si una vez allí, esos datos no son transferidos por el proveedor del servicio hacía otros servidores situados en otros países que no cuente con un nivel de protección adecuado.

Con la Sentencia Facebook el Tribunal de Justicia de la Unión Europea (TJUE) ha declarado inválida la decisión 2000/520 de la Comisión Europea (relativa al Acuerdo de Puerto Seguro), generando aún más incertidumbre a la cuestión, y deja la puerta abierta a que sean las autoridades de control de cada país de la UE la que determine si estas empresas, radicadas en Estados Unidos, garantizan un nivel de protección adecuado.

El caso Facebook

El caso se inicia como consecuencia de la reclamación que un ciudadano austrico, Maximilliam Schrems, presentó contra la filial europea que Facebook tiene en Irlanda.

Para entender la controversia, debemos explicar que cuando un usuario europeo se da de alta en la red social Facebook, en realidad está suscribiendo un contrato con la filial europea situada en Irlanda (denominada Facebook Irland), y sus datos personales son transferidos (internacionalmente), en todo o en parte, hacia los servidores de la empresa matriz, Facebook, Inc, en Estados Unidos.

En la reclamación formulada por el Sr. Schrems ante la autoridad irlandesa de protección de datos, se solicitaba que se prohibiese a Facebook Irland transferir sus datos personales a la empresa matriz en Estados Unidos. El Sr. Schrens alegaba que el derecho y las practicas en vigor en dicho país no garantizan una protección suficiente de los datos personales conservados en su territorio contra las actividades de vigilancia practicadas en él por las autoridades públicas.

La autoriad irlandesa desestimó la reclamación al considerar que cualquier cuestión referida al carácter adecuado de la protección de los datos personales en Estados Unidos debía resolverse conforme a la decisión 2000/520, en la que la Comisión había constatado que Estados Unidos garantizaba un nivel adecuado de protección.

Como hemos dicho la Sentencia invalida la decisión de la Comisión y deja la puerta abierta al control por parte de las entidades de cada estado.

 El TJUE declara que:

1) El artículo 25, apartado 6, de la de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en su versión modificada por el Reglamento (CE) no882/2003 del Parlamento Europeo y del Consejo, de 29 de septiembre de 2003, entendido a la luz de los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales de la Unión Europea, debe interpretarse en el sentido de que una Decisión adoptada en virtud de la referida disposición, como la Decisión 2000/520/CE de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América, por la que la Comisión Europea constata que un tercer país garantiza un nivel de protección adecuado, no impide que una autoridad de control de un Estado miembro, a la que se refiere el artículo 28 de esa Directiva, en su versión modificada, examine la solicitud de una persona relativa a la protección de sus derechos y libertades frente al tratamiento de los datos personales que la conciernen que se hayan transferido desde un Estado miembro a ese tercer país, cuando esa persona alega que el Derecho y las prácticas en vigor en éste no garantizan un nivel de protección adecuado.

2) La Decisión 2000/520 es inválida

Deja una respuesta

Tu dirección de correo electrónico no será publicada.