viernes, 16 de octubre de 2015

Un par de reflexiones sobre la sentencia Schrems

                Ilustrativo de la ineficacia de la política de la UE en materia de protección de datos –tanto desde la perspectiva de la tutela de este derecho fundamental como de la protección de los intereses de las empresas y consumidores europeos en el ámbito de la sociedad de la información- es que la STJ de 6 de octubre de 2015, C-362/14, Schrems, funda en buena medida la declaración de invalidez de la Decisión 2000/520/CE de la Comisión relativa a los principios de puerto seguro, en las conclusiones alcanzadas por la propia Comisión hace ya un par de años -Comunicación COM(2013) 846 final, a la que me referí en esta entrada- acerca de la aplicación de esa Decisión, en el sentido de que el mecanismo por ella instaurado facilitaba la vulneración sistemática de los estándares de protección de la legislación europea con respecto a datos personales transferidos desde la UE a EEUU por empresas adheridas al sistema de los principios de puerto seguro, incluyendo a los principales prestadores de servicios de redes sociales, motores de búsqueda y correo electrónico. En el complejo y lento proceso de revisión de la legislación europea de protección de datos, es evidente que la sentencia presenta un gran interés, al tiempo que contribuye una vez más a poner de relieve cómo esos prestadores de servicios han venido tradicionalmente operando en la UE sin que el restrictivo marco formalmente instaurado en la UE les haya sido aplicado de manera efectiva.


Aunque el detonante en este caso que lleva a liquidar el sistema de los Principios de puerto seguro tal como fue instaurado por la Decisión 2000/520/CE es el que ésta ha permitido en la práctica una vía de acceso a las autoridades de inteligencia de EEUU para recopilar masivamente datos personales transferidos a EEUU desde la UE en virtud de tales Principios, lo cierto es que las constataciones de la propia Comisión pusieron de relieve que el sistema ha hecho posible el tratamiento en EEUU por esas mismas empresas de datos de sus usuarios en la UE sin controles efectivos de respeto a los estándares europeos de protección de datos, habiéndose comprobado que un número elevado de empresas participantes no respetaban en la práctica los principios de puerto seguro, lo que no impidió que el sistema siguiera funcionando (ap. 21 de la sentencia Schrems).

Como es sabido, en el marco de la Directiva 95/46 sobre protección de datos personales, el criterio de base es que las transferencias internacionales de datos personales desde la UE a terceros Estados que no garanticen un nivel de protección adecuado (art. 25) requieren autorización previa, salvo que concurra alguna de las excepciones previstas en el artículo 26.1 de la Directiva (consentimiento inequívoco del afectado a la transferencia; que la transferencia sea necesaria para la ejecución de un contrato entre interesado y responsable; que sea necesaria para la salvaguardia de un interés público importante o el ejercicio de un derecho en un proceso; que sea necesaria para la salvaguardia de un interés vital del interesado; o que la transferencia tenga lugar desde un registro público cuando concurran determinadas circunstancias). Habida cuenta de que la obtención de autorización constituye un obstáculo práctico relevante, que se subordina además a la prestación de garantías suficientes por parte del responsable –típicamente, mediante la inserción de ciertas cláusulas contractuales en sus relaciones con el destinatario de los datos-, el mecanismo de los principios de puerto seguro ha resultado fundamental para facilitar la transferencia de datos personales de la UE a EEUU.

Con respecto al funcionamiento de los artículos 25, 26 y concordantes de la Directiva, la principal aportación de la sentencia Schrems es que si bien cuando la Comisión ha adoptado una decisión que constata que un tercer país garantiza un nivel de protección adecuado –como sucede con la relativa al puerto seguro con respecto a EEUU- los Estados miembros y las autoridades nacionales de control no pueden adoptar medidas contrarias a la decisión, como establecer que el país en cuestión no garantiza un nivel de protección adecuado, sí cabe que la autoridad nacional de control conozca de reclamaciones relativas al tratamiento de datos transferidos con base en la decisión de la Comisión y que la validez de ésta sea revisada por el Tribunal de Justicia en el marco de una cuestión prejudicial planteada por un tribunal nacional derivada de una de esas reclamaciones, como sucede con los tribunales irlandeses en el asunto Schrems.

Elementos determinantes para la declaración de invalidez de la Decisión 2000/520/CE por el Tribunal de Justicia, en gran medida en línea con la propuesta del Abogado General son los siguientes. El sistema de autocertificación instaurado carece de la necesaria fiabilidad, en la medida en que los principios de puerto seguro son aplicables únicamente a las entidades estadounidenses autocertificadas pero las autoridades de EEUU no quedan sometidas a esos principios, sin que la Decisión establezca cómo los EEUU a la luz de su legislación interna o sus compromisos internacionales garantizan esos principios (aps. 82-83 de la sentencia). La Decisión 2000/520/CE reconoce la primacía de las “exigencias de seguridad nacional, interés público y cumplimiento de la ley [de Estados Unidos]” sobre los principios de puerto seguro (ap. 84) en términos que facilitan la injerencia en el derecho fundamental a la protección de datos personales sin las debidas garantías (aps. 86), lo que se ve confirmado por el análisis de la Comisión acerca de la aplicación de los principios de puerto seguro (ap. 90). En palabras del Tribunal, “la protección del derecho fundamental al respeto de la vida privada al nivel de la Unión [art. 7 de la Carta] exige que las excepciones a la protección de los datos personales y las limitaciones de esa protección no excedan de lo estrictamente necesario”, considerando que “no se limita a lo estrictamente necesario una normativa que autoriza de forma generalizada la conservación de la totalidad de los datos personales de todas las personas cuyos datos se hayan transferido desde la Unión a Estados Unidos, sin establecer ninguna diferenciación, limitación o excepción en función del objetivo perseguido y sin prever ningún criterio objetivo que permita circunscribir el acceso de las autoridades públicas a los datos y su utilización posterior a fines específicos, estrictamente limitados y propios para justificar la injerencia que constituyen tanto el acceso a esos datos como su utilización” (aps. 92 y 93). Además, destaca el Tribunal que “una normativa que no prevé posibilidad alguna de que el justiciable ejerza acciones en Derecho para acceder a los datos personales que le conciernen o para obtener su rectificación o supresión no respeta el contenido esencial del derecho fundamental a la tutela judicial efectiva que reconoce el artículo 47 de la Carta” (ap. 95).

En consecuencia, el Tribunal concluye que la Comisión no llevó a cabo una constatación debidamente motivada de que EEUU “garantiza efectivamente, por su legislación interna o sus compromisos internacionales, un nivel de protección de los derechos fundamentales sustancialmente equivalente al garantizado en el ordenamiento jurídico de la Unión”. Además, destaca la sentencia que el artículo 3.1 de la Decisión  priva a las autoridades nacionales de las facultades de control previstas en la Directiva, lo que determina que la Decisión 2000/520/CE vulnere las exigencias del artículo 25.6 de la Directiva y deba ser declarada inválida.

Tras la sentencia Schrems se abre un incierto futuro, vinculado a las significativas diferencias entre los modelos de protección de datos prevalentes en EEUU y la UE, cuya coordinación se ve dificultada por las revelaciones relativas a las actividades de supervisión llevadas a cabo por las autoridades de EEUU. La inexistencia de un marco como el establecido en los principios de puerto seguro puede afectar de manera significativa a la prestación de muchos servicios, que cada vez más se basan en la computación en nube. Desde la perspectiva europea, resulta clave la concreta localización de dónde se produce el tratamiento de datos personales en los servicios de computación en nube, así como en el control de que las transferencias internacionales inherentes al funcionamiento de esos servicios no hacen posible el acceso a los datos por autoridades de terceros Estados sin las garantías adecuadas, como ha puesto de relieve nuevamente el Dictamen 02/2015 del llamado Grupo de Trabajo del artículo 29 (“Opinion 02/2015 on C-SIG Code of Conduct on CloudComputing” de 22, de septiembre de 2015, pp. 6-8). En el nuevo contexto, a falta de un sistema que sustituya a los Principios de puerto seguro, se verá dificultada la prestación de tales servicios mediante el tratamiento de datos en EEUU. 

          En todo caso, la sentencia Schrems debería representar un punto de inflexión que permita superar la situación tradicional en la que un marco muy estricto en materia de protección de datos ha ido unido a una aplicación muy deficiente también a las actividades en Europa de algunas de las principales entidades que se han beneficiado de los principios de puerto seguro, en perjuicio no sólo de los afectados sino también de las empresas de la UE cuya competitividad se ha visto menoscabada. Precisamente, es muy ilustrativa a este respecto la limitada (y muy tardía) efectividad de los controles de las autoridades nacionales en relación con la política de protección de datos de Facebook, red social a la que va referida el litigio principal. Esa deficiente aplicación se ve favorecida por el carácter gratuito -no sujeto al pago de una contraprestación monetaria- de muchos de los servicios que va unida a una menor exigencia por parte de los usuarios que no son conscientes del valor que tiene la información personal que de ellos se utiliza (también sin retribución económica). 

Desde la perspectiva de esa deficiente aplicación -como reflejan también las circunstancias del litigio principal en el asunto Schrems- interesa hacer una última referencia a la posición de las autoridades de control. Aunque se trata de una cuestión llamada a evolucionar en el proyectado reglamento general sobre protección de datos de la UE, la reciente sentencia Weltimmo refuerza la posibilidad de actuación por parte de las diversas autoridades nacionales de control (así como facilita el acceso por los afectados a la de su propio Estado) en situaciones en las que prestadores de servicios en principio establecidos en un único Estado miembro (o en un tercer Estado, como EEUU) tienen un gran número de usuarios en diversos Estados miembros en los que además cuentan con algún tipo de presencia, como una mera oficina de representación, de modo que a efectos de la aplicación de la legislación de protección de datos (y de la determinación de la autoridad de control) se les puede considerar establecidos en más de un Estado miembro.