Entre los documentos adoptados la
semana pasada por la Comisión Europea en el marco de su reacción frente a las
revelaciones acerca de la supervisión de datos personales de ciudadanos
europeos por parte de las autoridades de EEUU, dos presentan especial
relevancia para la actividad empresarial. Se trata, de una parte, de una
Comunicación sobre el funcionamiento delos Principios de Puerto Seguro desde la perspectiva de los ciudadanos y
empresas de la UE, y, de otra, de una Comunicación más general acerca del restablecimiento de la confianza en las
transferencias de datos entre la UE y EEUU. Cabe destacar la importancia
atribuida en estos documentos a la negativa repercusión de la situación actual
sobre la competitividad de las empresas europeas, la constatación de un
significativo nivel de incumplimiento de los Principios de Puerto Seguro, así
como la decidida voluntad de la Comisión de revisar el mecanismo de los
Principios para dotarlo de una mayor eficacia, como opción preferible frente a
la suspensión o revocación de este sistema,
habida cuenta de los perjuicios que de tal opción derivarían para los intereses
en EEUU y la UE de las empresas participantes en el mismo.
Más allá de su síntesis acerca del
extraordinario crecimiento de las transferencias transatlánticas de datos
personales en el contexto de Internet, así como de curiosas referencias como
las que cuantifican el valor estimado de los datos personales de los ciudadanos
de la UE (según parece 1 trillion –en
inglés- de euros en 2020), cabe reseñar cómo la comunicación de alcance más
general pone de relieve el impacto sobre la actividad de las empresas
estadounidenses de Internet de su eventual conexión con los programas de supervisión
del Gobierno de EEUU. La Comisión se refiere a esa circunstancia como un factor
que puede repercutir negativamente sobre la confianza en esos servicios de los
ciudadanos europeos (cuyas comunicaciones y datos no gozan en el ordenamiento
de EEUU de una protección frente a esas actividades de supervisión por las
autoridades de EEUU similar a la de los residentes en EEUU). En relación con lo
apuntado en una entrada previa de
este blog, reviste particular interés la constatación por parte de la Comisión
de que en la medida en que los programas de supervisión estadounidenses afecten
a datos almacenados en la nube a los que resulte de aplicación la legislación
europea sobre protección de datos personales, la facilitación a las autoridades
de EEUU -sin cumplir los requisitos previstos en la legislación europea y
nacional aplicable- del acceso a los datos ahí alojados, incluso por quienes
revistan la condición de meros encargados del tratamiento, supondrá típicamente
la infracción de la legislación europea de protección de datos –COM(2013) 846
final, p. 6-, sin que las excepciones previstas en el marco de los Principios
de Puerto Seguro permitan alcanzar normalmente una conclusión diferente
–COM(2013) 847 final, pp. 16-17-.
Con respecto a los Principios de
Puerto Seguro, cabe recordar, como punto de partida, que constituyen un
peculiar mecanismo, fruto de una prolongada negociación entre la Comisión y el
Gobierno de EEUU, recogido en la Decisión de la Comisión 2000/520/CE de 26 de
julio de 2000. Se trata de un instrumento singlar que, tomando en consideración
el contraste entre la autorregulación estadounidense y los estrictos criterios
legales en materia de protección de datos de la UE, permite a las entidades de
EEUU que lo deseen comprometerse a su cumplimiento, lo que tiene como
consecuencia fundamental que respecto de las transferencias de datos personales
dirigidas a esos concretos destinatarios se considera que EEUU es un país que
proporciona protección adecuada por lo que, desde la perspectiva española,
aunque no concurran las excepciones del artículo 34 LOPD, deja de ser necesaria
para esas transferencias internacionales de datos la previa autorización de la
Agencia Española de Protección de Datos, si bien será preciso acreditar ante la
AEPD que el destinatario se encuentra entre las entidades que se han adherido a
los Principios así como que se encuentra sometido a la jurisdicción de uno de
los organismos públicos de EEUU que figuran en la mencionada Decisión
2000/520/CE. Además, la AEPD tiene la facultad de suspender las transferencias
a empresas adheridas a los Principios en supuestos específicos, si bien la
Comisión manifiesta que hasta la fecha no le consta que ninguna autoridad de un
Estado miembro haya adoptado esa medida desde el inicio de la aplicación de los
Principios. En todo caso, resulta claro que es un mecanismo que facilita la
transferencias de datos a EEUU, en comparación con el resto de países del mundo
que no proporcionan un nivel adecuado de protección de datos personales para la
UE.
Tras poner de relieve el rápido
incremento del número de entidades adheridas a los Principios de Puerto Seguro,
que supera las 3.200, principalmente empresas de EEUU que prestan servicios en
la UE, la Comunicación relativa al funcionamiento de los Principios se centra
en destacar cómo el importante componente autorregulatorio y de compromisos
voluntarios en que se basa el modelo, unido a las dificultades prácticas de la
labor de supervisión de la Federal Trade
Commission y del Departamento de Comercio, se traducen en un elevado nivel
de incumplimiento de los Principios por parte de las empresas adheridas, que se
refleja en el contraste entre las Políticas de protección de datos de muchas de
las empresas adheridas y las obligaciones derivadas de los Principios, además
de un persistente problema de falsas adhesiones. La preocupación que genera
esta situación se ve acentuada por el acceso a gran escala por las autoridades
de EEUU a datos transferidos a los EEUU por empresas adheridas a los Principios
de Puerto Seguro. La Comisión menciona expresamente a Google, Facebook,
Microsoft, Apple y Yahoo, señalando cómo la circunstancia de que tengan cientos
de millones de usuarios, unido a las recientes revelaciones sobre los servicios
de inteligencia de EEUU, genera riesgos que no fueron tenidos en cuenta en el
año 2000 cuando se negoció el sistema de los Principios de Puerto Seguro.
La Comisión formula una serie de
recomendaciones para un mejor funcionamiento de los Principios, agrupadas en cuatro
ámbitos. En materia de transparencia, insta a las empresas adheridas a publicar
sus políticas de privacidad y las condiciones en la materia de sus relaciones
con subcontratistas, por ejemplo, los que prestan servicios de computación en
nube; así como a incluir un enlace a la páginas sobre los Principios del
Departamento de Comercio, en la que debería listarse a las empresas que en el
momento presente no cumplen los requisitos para permanecer en los Principios.
En lo que respecta a la reparación, considera que las empresas participantes
deberían un enlace al mecanismo alternativa de solución de controversias
específico, en cuyo funcionamiento reclama también mejoras. También se incluyen
recomendaciones tendentes a facilitar una más efectiva supervisión por las
autoridades de EEUU del cumplimiento de sus compromisos por las empresas
adheridas. Otras recomendaciones significativas se refieren a la conveniencia
de que las empresas informen si aplican excepciones a los Principios en
aplicación de medidas en materia de seguridad nacional.
En la medida en que la
Comisión considera la mejor opción un reforzamiento de los Principios, frente a
su suspensión o revocación, estas recomendaciones revisten especial interés
como elementos indicativos de la previsible evolución del sistema. No obstante,
el alcance de los riesgos generados, el menoscabo de la confianza de la UE, la
continuada desventaja competitiva de empresas que se ven forzadas a competir
con otras que no aplican los mismos estándares en materia de protección de
datos… reclaman una profunda revisión del conjunto de las relaciones entre la
UE y EEUU en este ámbito, vinculada también al actual proceso de reforma de la
legislación de la UE sobre protección de datos personales.