El día que se creyó que Trump había dinamitado la protección de datos
- Las AIE en los presupuestos: una oportunidad desaprovechada - 10 octubre, 2017
- Los ‘eSports’ o el futuro del entretenimiento: crecimiento y ausencia regulatoria - 21 septiembre, 2017
- El retorno del canon por copia privada - 12 julio, 2017
En estos días, se está hablando y mucho de las decisiones de gobierno que está adoptando Donald Trump y de los efectos que pueden tener para los ciudadanos y las empresas europeas. Una de ellas preocupa y mucho, ya que dificultaría la utilización por parte de empresas españolas de programas de uso diario y necesario para el día a día como su correo electrónico o los sistemas donde almacenan todos sus documentos.
Primero, un poco de historia que nos permitirá establecer el marco en el que nos encontrábamos: la Sentencia del Tribunal de Justicia de la Unión Europea de 6 de octubre de 2015, asunto C-362/14 Schrems, declaró inválida la Decisión de la Comisión que reconocía un nivel de protección de datos adecuado conforme a los estándares de la Directiva 95/46/CE [1] al acuerdo Safe Harbour suscrito entre Europa y Estados Unidos.
La consecuencia fue que se dificultó enormemente el uso de servicios básicos para las empresas españolas como Dropbox, por no cumplir con estos estándares de protección de datos. En el mejor de los casos se exigía un acuerdo entre la empresa y la multinacional americana en la que se reconociera que esta última cumplía con las políticas de protección de los datos exigidas por la directiva, en lo relativo a los datos enviados desde Europa, lo cual, en la práctica, era casi imposible de conseguir.
En cualquier caso y frente a esta situación y con el objetivo de facilitar las transferencias internacionales de datos entre EEUU y Europa, se negocio un nuevo acuerdo denominado Privacy Shield que, pese a la opinión escéptica del WP29 [2], obtuvo el reconocimiento de la Comisión Europea [3] al declarar en su Decisión de Ejecución de 12 de julio de 2016, que las entidades autocertificadas en el marco del Privacy Shield cumplen con un nivel adecuado de protección de los datos transferidos. Entre las empresas inscritas, porque son las mismas las que voluntariamente tienen que solicitar su inclusión, nos encontramos con Google Inc., Amazon.com Inc o la propia Dropbox Inc.
Después de casi un año de duras negociaciones y de alcanzar una solución satisfactoria para todas las partes llegó Trump quien, en cumplimento de su política de extranjería, dictó el 25 de enero una Orden Ejecutiva (OE) que lleva por título “Enhancing Public Safety in the Interior of the United States”, donde establece que “las agencias deberán, en la medida en que sea compatible con la legislación aplicable, garantizar que sus políticas de privacidad excluyan a personas que no sean ciudadanos estadounidenses o residentes legales permanentes de las protecciones de la Ley de Privacidad”.
Esta restricción de libertades generó una ola de reacciones alarmistas, en algunos medios de comunicación y figuras públicas, como fue el caso de Edward Snowden o del eurodiputado Jan Philipp Albrechice, presidente del Comité de Libertades Civiles y Justicia en el Parlamento Europeo, que advertía que la decisión adoptada mediante la OE podría significar el fin del acuerdo y de hecho debía significarlo [4]:
“If this is true @EU_Commisssion has to inmmediately suspend #PrivacyShield & sanction the US for breaking EU-US umbrela agreement #CPDP2017″
Pero lo cierto es que la decisión del presidente de los EE.UU. no lo afecta en absoluto.
En primer lugar porque las OE dictadas por el presidente no tienen capacidad para revocar los acuerdos adoptados en el Congreso en los que además se implican a terceros países. Por tanto la orden dictada por el presidente, de afectar al acuerdo, excedería de las competencias derivadas de la propia naturaleza de la decisión en la que se adopta.
Pero aunque tuviera esta facultad, que no la tiene, no deberíamos perder de vista el hecho de que tampoco afectaría en ningún caso al acuerdo desde el punto de vista de la materia afectada por la OE, ya que el acuerdo no obtiene su legitimación en la Ley de Privacidad, que es la afectada por la decisión del presidente, donde no se regula la transmisión de datos entre empresas privadas a nivel internacional.
En conclusión, parece que de momento podemos estar tranquilos, relativamente, porque aunque directamente no afecte a esta norma, la Unión Europea puede tomar medidas frente a la privación de derechos de sus ciudadanos, así que deberemos de estar más pendientes de las decisiones políticas que de un presidente que ya ha mostrado que no parece importarle mucho la protección de los datos de las personas que no son ciudadanos estadounidenses y de la cámara europea que tendrá que valorar por un lado, si quiere responder a esta privación de derechos y; por el otro y desde un punto de vista más técnico, los resultados de la revisión realizada por los controladores europeos que determinaran si después de un año, el acuerdo respeta la protección de los datos de carácter personal exigida por la normativa comunitaria.
[1] Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
[2] http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160726_wp29_wp_statement_eu_us_privacy_shield_en.pdf
[3] Aunque lo somete a un posterior sistema de evaluación de objetivos al igual que WP29, http://www.boe.es/doue/2016/207/L00001-00112.pdf.
[4] https://twitter.com/JanAlbrecht/status/824553962678390784