¿SON PRIVADAS NUESTRAS
COMUNICACIONES EN INTERNET?
Con motivo del Día Europeo de la Protección de Datos celebrado el pasado
jueves 28 de enero, han circulado por la red numerosas noticias que no hacen
sino poner de relieve la improrrogable necesidad de preocuparnos acerca del
destino y tratamiento de la información personal que día a día vamos
depositando en multitud de lugares y mediante los más variopintos canales.
Para comprender tan candente cuestión, retrocedamos un poco en el
tiempo, concretamente hasta el 6 de octubre del pasado año. El Tribunal de Justicia
de la Unión Europea, en el asunto C-362/14, anulaba la Decisión de la Comisión
2000/520 sobre la adecuación de la Directiva 95/46, de los principios de Puerto
Seguro. Y ahora les surgirán, como mínimo, cuatro preguntas: cuál era tal
Decisión; qué disponía la citada Directiva; qué es eso del Puerto Seguro; y,
por último, qué relevancia tiene dicha Sentencia.
Pero empecemos por explicar lo que se discutió en aquel pleito. Un
ciudadano austríaco, el Sr. Schrems, usuario de la red social Facebook, reclamó
ante el Data Protection Commissioner de Irlanda
que prohibiese a Facebook Ireland Ltd.(central europea de la compañía) transferir
sus datos personales a la central mundial Facebook Inc., en EE.UU. Su alegación
se basaba en la falta de garantía de protección de los datos personales contra
las actividades de vigilancia de las autoridades estadounidenses, en referencia
directa al caso Snowden y al espionaje masivo que sobre múltiples datos
personales lleva a cabo la National Security Agency (NSA).
Volviendo al anterior trabalenguas y por seguir un orden lógico,
empezaremos concretando que la Directiva dispone que, tanto las autoridades
nacionales como la Comisión Europea, deben prohibir la transmisión de datos
personales a un tercer país que no asegure un nivel adecuado de protección de
los mismos. Con esa base se dictó la antedicha Decisión de la Comisión europea,
que establecía cuál era el nivel adecuado de protección para las transferencias
internacionales de datos a EE.UU. Así, se había llegado al Acuerdo de Puerto
Seguro, con la finalidad de que las empresas norteamericanas que aplicasen sus
siete principios básicos evitaran las suspicacias de las autoridades europeas
de protección de datos, ya que tendrían una presunción de adecuación a la
normativa europea. Ahí radica la cuestión, en que se autocertificaban mediante
la adhesión voluntaria al mencionado Acuerdo, razón por la cual, de facto,
parece que no estaban obligadas al cumplimiento efectivo de los citados
principios.
En cuanto a la Sentencia comentada, su relevancia resulta por la
invalidación del Acuerdo de Puerto Seguro, principalmente por dos motivos:
porque entiende que prevalece incondicionalmente y sin limitación alguna “la
seguridad nacional y el interés público” sobre los derechos a la intimidad, sin
otorgar a los ciudadanos europeos ninguna vía para obtener la tutela efectiva
de esos derechos; y, en segundo lugar, debido a que no otorga a los Estados
Miembros de la UE un margen suficiente para suspender las transferencias en
caso de que éstos apreciasen una vulneración de los derechos de los ciudadanos
europeos. Y es que de nada sirve proteger los datos en Europa si pueden
transferirse sin control a otros países sin garantías donde podrían ser
reutilizados ignorando la protección que aquí se otorga. Dicho esto, es
necesario recalcar que la Sentencia no cuestiona la forma en que las empresas
multinacionales transfieren sus datos a EE.UU., sino la base legal en la que se
amparaban.
Pues bien, en este estado de la cuestión se preguntarán cuáles pueden
ser las soluciones más viables para resolver tamaña controversia internacional.
Tras arduas negociaciones entre la Comisión europea y las autoridades estadounidenses, al inicio del presente mes
llegaron a un principio de acuerdo, sustituir el desfasado Safe Harbor por un
nuevo y reluciente Privacy Shield (escudo de privacidad). Entonces, ¿está
solucionada la situación? Para nada, pues sólo se trata de un acuerdo político
que no adquirirá realmente el carácter vinculante hasta que se conozca al
detalle su contenido, lo cual, según dicen, ocurrirá antes de ponernos el bañador para ir a la
playa.
En síntesis, el nuevo acuerdo establece varias pautas a modo de piedras
angulares en torno a las que versará el marco definitivo. Se incrementan la
obligaciones para las empresas estadounidenses que trabajan con datos
personales de los ciudadanos europeos en cuanto a las formas de tratamiento y
las garantías de derechos individuales, teniendo que publicar sus compromisos de
cumplimiento de directrices de la UE para hacerlos ejecutables por la Comisión Federal
de Comercio; las autoridades de seguridad nacional estadounidenses renuncian a
la vigilancia masiva, encontrando limitaciones y salvaguardas en el acceso a la
información,con excepciones sólo para casos estrictamente necesarios y de forma
proporcionada; el Departamento de Comercio de EE.UU. y la Comisión europea
revisarán anualmente el cumplimiento fiel del citado Acuerdo; se crea un nuevo
mecanismo de protección mediante recurso cuya tramitación será gratuita y con
el compromiso por las empresas de responder a las reclamaciones en un plazo máximo
determinado; igualmente, las autoridades europeas de protección de datos podrán
remitir reclamaciones a las estadounidenses; finalmente y como elemento más curioso,
se introduce la figura del Defensor del Pueblo de los ciudadanos europeos en
materia de protección de datos de cara a las autoridades de seguridad nacional
estadounidenses, el Ombudsman, que hará las veces de defensor-mediador para
facilitar la resolución de conflictos.
Así, tal cual se han
planteado las líneas del nuevo Acuerdo, si bien se apunta en la buena
dirección, realmente no se aclara demasiado. ¿Cuáles son esas excepciones a la
vigilancia masiva? ¿Cómo deberíamos entender los conceptos jurídicos
indeterminados "necesario" y "proporcionado"? Sólo hay que
detenerse un momento y plantearse si las autoridades de seguridad nacional
estadounidenses serán capaces de autocensurarse en una época de ciberterrorismo
galopante en la que incluso ciertos grupos al margen de la ley, como Anonymous,
se han llegado a convertir en una fuerza útil en la lucha contra la barbarie.
De igual forma, llama la atención la creación del Ombudsman y hasta qué punto
podría influir en el sistema para garantizar la privacidad de los datos
personales. En cualquier caso, confío en que todo esto se matizará pronto.
Por otra parte, esperemos que el nuevo Reglamento europeo de Protección
de Datos encauce este rompecabezas por la senda apropiada, arrojando luz y no
sombras a la problemática que nos ocupa y preocupa.
Entre tanto, para evitar multas desorbitadas a las empresas (en España
pueden ascender a 600.000€), las autoridades de protección de datos consideran
que las Cláusulas Tipo y las Normas Corporativas Vinculantes (BCRs) pueden
ayudar a solventar la disyuntiva, ya que ni la Sentencia ni el nuevo Privacy Shield
impiden expresamente que las empresas sigan transfiriendo datos de sus usuarios
a EE.UU. Por este motivo, se hace necesario el uso de los restantes mecanismos
existentes, tales como peticiones de autorización expresa a la Agencia Española
de Protección de Datos, lo cual, en el supuesto de sanción, constituiría una
considerable atenuante. Igualmente y como es lógico, se puede optar por la
solicitud directa de consentimiento a los usuarios, algo que por otra parte y si
se tiene en cuenta la inmensa cantidad de datos sometidos a tratamiento,
resultaría harto complejo. No olvidemos que hasta finales de enero, las
autoridades de protección de datos se comprometieron a no imponer sanciones, no
así a partir de entonces.
Llegados a este punto, quisiera aportar otras perspectivas desde las que
analizar la controvertida nebulosa existente en torno a la efectividad de los
medios de protección de datos personales
y las motivaciones subyacentes en la problemática planteada.
En cuanto a lo primero, no son escasos los expertos que aseguran que la
huella digital que dejamos en Internet es imborrable. Al mismo tiempo, van
apareciendo nuevas ideas, presentadas como soluciones reales, tales como la
denominada Privacy by design, es decir, la implementación de la privacidad y
encriptación en el diseño de los sistemas TIC y los negocios en lugar de
adicionarlos a posteriori. Actualmente, ya existen diversos gadgets que mejoran
sensiblemente la encriptación en la nube.
Por su parte, en cuanto a las motivaciones, surge la duda de si las
autoridades europeas tienen como único objetivo la protección de la privacidad
o, por decirlo claramente, pretenden principal o tangencialmente frenar la
expansión y el creciente poder que están adquiriendo las grandes
multinacionales TIC americanas, tales como Google, Facebook, Microsoft, etc. Aunque
tampoco sería descartable que lo segundo sea paso necesario para asegurar lo
primero. Y es que el pasado diciembre, la UE aprobó la Directiva relativa al
registro de los nombres de pasajeros (PNR) por la que las compañías aéreas
deberán facilitar datos personales de sus clientes a los Estados Miembros de la
UE. Por supuesto, aseguran que se respetarán plenamente los derechos y
libertades de los ciudadanos. En fin, doctores tiene la Iglesia.
Igualmente, al igual que ocurre con los paraísos fiscales, desconozco
hasta qué punto se podrían impedir los paraísos digitales, con una hipotética
estructura análoga al “doble irlandés” con países extracomunitarios en cuestiones
de tráfico de datos, pero en este caso para facilitar la llegada de los mismos
a EE.UU.
En resumidas cuentas y para concluir, parece que al menos de cara a la
galería, la todopoderosa “Inteligencia” americana va a encontrar mayores
dificultades para husmear en nuestras fotos de facebook. Por otra parte, me
surge la duda de si realmente así, interceptando determinadas comunicaciones,
podrían neutralizar determinadas amenazas globales, v. g. el terrorismo
islámico. Lo desconozco, aunque parece razonable que las autoridades deban estar presentes en la
Red para luchar contra la ciberdelincuencia y el ciberterrorismo. La cuestión
radica en determinar la línea divisoria entre protección civil y respeto de la
privacidad, con objeto de evitar que ciertos
países dispongan de cierta información que, en el ámbito comercial, puede implicar un agravio
comparativo con respecto a los demás. En cualquier caso, mientras tanto, salude
a la cámara, le están vigilando.
Cecilio Criado Ruz
Abogado
FERNÁNDEZ-PALACIOS ABOGADOS
No hay comentarios:
Publicar un comentario