Safe Harbor ha muerto, ¿quién será su sustituto?

por Jorge Campanillas Ciaurriz

publicado el 7 octubre 2015

Categorías: Agencia Proteccion Datos / Derechos Fundamentales / Jurisprudencia / Noticias, Entrevistas, Opinión y Blogs / Privacidad / Protección de Datos / Tecnología

Adiós a Safe Harbor, para quien a estas alturas no lo conozca, decir que era un programa al que las empresas de EEUU se acogían diciendo que ellos cumplían con un nivel de seguridad semejante al exigido en Europa y que permitía que se pudiesen tratar los datos al otro lado del Atlántico. Este programa se basaba en la Directiva 95/46/CE de protección de datos que permite equiparar a países con nivel adecuado de protección (si se revisa la lista publicada en la web de la Agencia vemos que este nivel adecuado de protección lo tienen además de hasta ahora las empresas de EEUU acogidas a Safe Harbor, países como Andorra, Israel, Argentina o la Isla de Man) y aprobado por la comisión en la Decisión 2000/520/CE que ahora invalida la sentencia del TJUE. Sobre la sentencia se han publicado interesantes post como el del compañero David Maeztu o se analizan soluciones en el blog de la Asociación de Profesionales de la Privacidad.

Lo que pone de manifiesto la sentencia es algo que saltaba a la vista, esta «autodeclaración» de las empresas sobre el nivel de seguridad con el consentimiento de la decisión de la comisión europea era realmente una escapatoria para que las empresas pudieran actuar en Europa pero sin creerse realmente las implicaciones que generaba. Una forma de hacer «la vista gorda» puesto que ellos declaran que cumplen y todos tan contentos; exceptuando claro está las empresas europeas que realmente veían que el cumplimiento no era el mismo (con lo que ello supone en competitividad) y ciudadanos de la Unión Europea ( como el activista Maximillian Schrems) que, tras las filtraciones de Snowden, pudieron constatar el hecho de que los gobiernos entraban hasta la cocina gracias también a estas empresas, como pone de relieve la propia sentencia.

El problema que genera la sentencia es otra vez un monumental lío a las empresas europeas que tienen tratos con el otro lado del Atlántico y que basaban la transferencia de datos gracias a los acuerdos con las empresas de EEUU que se acogían a Safe Harbor. Cierto es que tampoco les va a resultar grato a las empresas de EEUU ver como pueden ser limitados los tratamientos, deber recabar consentimientos (el sacrosanto consentimiento que no permite tampoco todo y que puede ser rebocado por los ciudadanos) o utilizar otras herramientas jurídicas (BCRs, autorizaciones de la AGPD, etc.).

Veremos que respuesta da el Grupo del Artículo 29, o si realmente la Unión Europea se toma en serio el Reglamento de Protección de Datos y da la respuesta necesaria para proteger los datos personales en un mundo globalizado.

Lo que si queda claro es que realmente el TJUE se está tomando en serio la defensa de estos derechos fundamentales de los ciudadanos europeos tras las sentencias de google, directiva de retención de datos, etc. por encima de los Estados que la conforman, que si bien quieren que las empresas cumplan con la normativa de protección de datos mientras ellos continúan espiando a sus ciudadanos.