miércoles, 4 de diciembre de 2013

Transferencias de datos personales entre la UE y EEUU: el futuro de los Principios de Puerto Seguro

            Entre los documentos adoptados la semana pasada por la Comisión Europea en el marco de su reacción frente a las revelaciones acerca de la supervisión de datos personales de ciudadanos europeos por parte de las autoridades de EEUU, dos presentan especial relevancia para la actividad empresarial. Se trata, de una parte, de una Comunicación sobre el funcionamiento delos Principios de Puerto Seguro desde la perspectiva de los ciudadanos y empresas de la UE, y, de otra, de una Comunicación más general acerca del restablecimiento de la confianza en las transferencias de datos entre la UE y EEUU. Cabe destacar la importancia atribuida en estos documentos a la negativa repercusión de la situación actual sobre la competitividad de las empresas europeas, la constatación de un significativo nivel de incumplimiento de los Principios de Puerto Seguro, así como la decidida voluntad de la Comisión de revisar el mecanismo de los Principios para dotarlo de una mayor eficacia, como opción preferible frente a la  suspensión o revocación de este sistema, habida cuenta de los perjuicios que de tal opción derivarían para los intereses en EEUU y la UE de las empresas participantes en el mismo.


            Más allá de su síntesis acerca del extraordinario crecimiento de las transferencias transatlánticas de datos personales en el contexto de Internet, así como de curiosas referencias como las que cuantifican el valor estimado de los datos personales de los ciudadanos de la UE (según parece 1 trillion –en inglés- de euros en 2020), cabe reseñar cómo la comunicación de alcance más general pone de relieve el impacto sobre la actividad de las empresas estadounidenses de Internet de su eventual conexión con los programas de supervisión del Gobierno de EEUU. La Comisión se refiere a esa circunstancia como un factor que puede repercutir negativamente sobre la confianza en esos servicios de los ciudadanos europeos (cuyas comunicaciones y datos no gozan en el ordenamiento de EEUU de una protección frente a esas actividades de supervisión por las autoridades de EEUU similar a la de los residentes en EEUU). En relación con lo apuntado en una entrada previa de este blog, reviste particular interés la constatación por parte de la Comisión de que en la medida en que los programas de supervisión estadounidenses afecten a datos almacenados en la nube a los que resulte de aplicación la legislación europea sobre protección de datos personales, la facilitación a las autoridades de EEUU -sin cumplir los requisitos previstos en la legislación europea y nacional aplicable- del acceso a los datos ahí alojados, incluso por quienes revistan la condición de meros encargados del tratamiento, supondrá típicamente la infracción de la legislación europea de protección de datos –COM(2013) 846 final, p. 6-, sin que las excepciones previstas en el marco de los Principios de Puerto Seguro permitan alcanzar normalmente una conclusión diferente –COM(2013) 847 final, pp. 16-17-.
            Con respecto a los Principios de Puerto Seguro, cabe recordar, como punto de partida, que constituyen un peculiar mecanismo, fruto de una prolongada negociación entre la Comisión y el Gobierno de EEUU, recogido en la Decisión de la Comisión 2000/520/CE de 26 de julio de 2000. Se trata de un instrumento singlar que, tomando en consideración el contraste entre la autorregulación estadounidense y los estrictos criterios legales en materia de protección de datos de la UE, permite a las entidades de EEUU que lo deseen comprometerse a su cumplimiento, lo que tiene como consecuencia fundamental que respecto de las transferencias de datos personales dirigidas a esos concretos destinatarios se considera que EEUU es un país que proporciona protección adecuada por lo que, desde la perspectiva española, aunque no concurran las excepciones del artículo 34 LOPD, deja de ser necesaria para esas transferencias internacionales de datos la previa autorización de la Agencia Española de Protección de Datos, si bien será preciso acreditar ante la AEPD que el destinatario se encuentra entre las entidades que se han adherido a los Principios así como que se encuentra sometido a la jurisdicción de uno de los organismos públicos de EEUU que figuran en la mencionada Decisión 2000/520/CE. Además, la AEPD tiene la facultad de suspender las transferencias a empresas adheridas a los Principios en supuestos específicos, si bien la Comisión manifiesta que hasta la fecha no le consta que ninguna autoridad de un Estado miembro haya adoptado esa medida desde el inicio de la aplicación de los Principios. En todo caso, resulta claro que es un mecanismo que facilita la transferencias de datos a EEUU, en comparación con el resto de países del mundo que no proporcionan un nivel adecuado de protección de datos personales para la UE.
            Tras poner de relieve el rápido incremento del número de entidades adheridas a los Principios de Puerto Seguro, que supera las 3.200, principalmente empresas de EEUU que prestan servicios en la UE, la Comunicación relativa al funcionamiento de los Principios se centra en destacar cómo el importante componente autorregulatorio y de compromisos voluntarios en que se basa el modelo, unido a las dificultades prácticas de la labor de supervisión de la Federal Trade Commission y del Departamento de Comercio, se traducen en un elevado nivel de incumplimiento de los Principios por parte de las empresas adheridas, que se refleja en el contraste entre las Políticas de protección de datos de muchas de las empresas adheridas y las obligaciones derivadas de los Principios, además de un persistente problema de falsas adhesiones. La preocupación que genera esta situación se ve acentuada por el acceso a gran escala por las autoridades de EEUU a datos transferidos a los EEUU por empresas adheridas a los Principios de Puerto Seguro. La Comisión menciona expresamente a Google, Facebook, Microsoft, Apple y Yahoo, señalando cómo la circunstancia de que tengan cientos de millones de usuarios, unido a las recientes revelaciones sobre los servicios de inteligencia de EEUU, genera riesgos que no fueron tenidos en cuenta en el año 2000 cuando se negoció el sistema de los Principios de Puerto Seguro.
            La Comisión formula una serie de recomendaciones para un mejor funcionamiento de los Principios, agrupadas en cuatro ámbitos. En materia de transparencia, insta a las empresas adheridas a publicar sus políticas de privacidad y las condiciones en la materia de sus relaciones con subcontratistas, por ejemplo, los que prestan servicios de computación en nube; así como a incluir un enlace a la páginas sobre los Principios del Departamento de Comercio, en la que debería listarse a las empresas que en el momento presente no cumplen los requisitos para permanecer en los Principios. En lo que respecta a la reparación, considera que las empresas participantes deberían un enlace al mecanismo alternativa de solución de controversias específico, en cuyo funcionamiento reclama también mejoras. También se incluyen recomendaciones tendentes a facilitar una más efectiva supervisión por las autoridades de EEUU del cumplimiento de sus compromisos por las empresas adheridas. Otras recomendaciones significativas se refieren a la conveniencia de que las empresas informen si aplican excepciones a los Principios en aplicación de medidas en materia de seguridad nacional. 
            En la medida en que la Comisión considera la mejor opción un reforzamiento de los Principios, frente a su suspensión o revocación, estas recomendaciones revisten especial interés como elementos indicativos de la previsible evolución del sistema. No obstante, el alcance de los riesgos generados, el menoscabo de la confianza de la UE, la continuada desventaja competitiva de empresas que se ven forzadas a competir con otras que no aplican los mismos estándares en materia de protección de datos… reclaman una profunda revisión del conjunto de las relaciones entre la UE y EEUU en este ámbito, vinculada también al actual proceso de reforma de la legislación de la UE sobre protección de datos personales.