El Margen de la Ley :: El Blog de Audens
Audens
  1. Audens
  2. >
  3. Blog

Safe Harbor ha caído, ¿y ahora qué?

Puede que muchos de ustedes no hayan oído hablar nunca del «Acuerdo de Puerto Seguro» (Safe Harbor Agreement), pero es, probablemente, uno de los marcos internacionales que más influencia ha tenido en nuestras vidas. En esencia, simplificaba enormemente el flujo de datos personales entre Europa y los Estados Unidos, una necesidad incuestionable en la sociedad hipertecnificada y globalizada en la que vivimos. Y digo «simplificaba», en pasado, porque la Decisión de la Comisión que lo sostenía ha sido declarada inválida por el Tribunal de Justicia de la Unión Europea, retrotayendo las relaciones a ambos lados del Atlántico a los años 90, en lo que a tratamiento de datos se refiere.

Por ponerles en contexto, el Acuerdo de Puerto Seguro trae causa de la inflexibilidad de la normativa europea en lo que a enviar datos de carácter personal fuera de la Unión se refiere. La Directiva 95/46/CE, que armoniza la materia a nivel comunitario, no puede ser más clara al afirmar, en su considerando 58, que «cuando un país no ofrezca un nivel de protección adecuado debe prohibirse la transferencia al mismo de datos personales». Una afirmación categórica que, aplicada a los Estados Unidos, implica el veto al envío de datos a su territorio, porque su sistema jurídico (basado en el common law y firme partidario de la autorregulación) carece de una normativa unitaria de protección de la privacidad. Y no por descuido o dejadez, sino porque sus legisladores están convencidos de que las soluciones actuales funcionan, y no tienen intención alguna de cambiarlas. Algo que, por otra parte, es perfectamente lógico y legítimo.

La aprobación de la Directiva, sin embargo, trajo consigo un formidable problema: las multinacionales estadounidenses, con importantes intereses en Europa, se encontraban con que no podían utilizar los datos recabados en nuestro continente sin exponerse a graves sanciones (en nuestro país, de hasta 600.000 €), o someterse a largos procesos de autorización previa. Así, presionaron al Departamento de Comercio para que reclamase a sus colegas europeos alternativas viables, y la solución fueron los Principios de Puerto Seguro: un sistema de adhesión voluntaria por el que las empresas se comprometían a obedecer una serie de reglas en materia de privacidad, sometiéndose a la jurisdicción de la Federal Trade Commission para garantizar su cumplimiento. A pesar de la preocupación manifestada por el Grupo del Artículo 29 en varios de sus documentos, el interés político y económico en alcanzar un acuerdo en la materia dieron lugar al reconocimiento, por la Comisión Europea, de la adecuación de este sistema al derecho europeo. Dicho de otra manera: se admitió que las empresas adheridas a «Safe Harbor» ofrecían un nivel de protección adecuado, eliminando trabas burocráticas al flujo transatlántico de datos.

Cuando todo parecía solventado, gracias a una solución flexible e imaginativa venida de allende los mares, los atentados de las Torres Gemelas y la posterior guerra contra el terrorismo vinieron a complicar nuevamente el contexto normativo: los Estados Unidos comenzaron a generar normas y programas tendentes a vigilar de forma sistemática la información mantenida por sus empresas. Algo que, especialmente tras las revelaciones de Edward Snowden, puso en pie de guerra a activistas y defensores de los derechos humanos en todo el mundo, incluida Europa. ¿Cómo considerar «adecuado», desde el punto de vista de la privacidad, a un país que analiza sistemáticamente los datos personales de los europeos?

La sentencia publicada hoy no hace sino acoger esta preocupación, algo que desde el punto de vista de la protección de los derechos fundamentales debe ser calificado como un éxito, pero que complica inmensamente el comercio internacional y el funcionamiento de nuestro tejido económico, tan dependiente de empesas como Amazon, Google, Facebook, Microsoft, Apple… El Tribunal ha hecho nuevamente gala de su independencia de los poderes ejecutivo y legislativo, pero las consecuencias pueden ser tremendas, máxime en el marco de la negociación del Tratado de Libre Comercio (el famoso TTIP).

Entretanto, las empresas que transfieran datos a Estados Unidos se enfrentan a un formidable dilema. Con la declaración de invalidez de la Decisión, nuestra normativa de protección de datos obliga a buscar una base jurídica alternativa para la transferencia de datos a Estados Unidos. En ocasiones, esa base jurídica podrá encontrarse en alguna de las muchas excepciones previstas por la Ley, por lo que unos ligeros cambios en las políticas de privacidad pueden ser suficientes. Pero en otras, y en especial en aquellos casos en los que la transferencia se sustente en una simple prestación de servicios (por ejemplo, para utilizar cloud computing con servidores en EE.UU.), puede ser necesario obtener una autorización previa del Director de la Agencia Española de Protección de Datos. Un proceso que puede demorarse hasta tres meses, ni más ni menos.

Lo más probable es que la Comisión Europea busque una solución rápida a este entuerto pero, entretanto, las empresas se verán obligadas a buscarse la vida con una normativa que, como digo a menudo, no estaba diseñada para dar respuesta a situaciones como esta. ¡Abogados y asesores tenemos una ardua tarea de asesoramiento por delante!

Emails, publicidad, datos personales…

¡Buen viaje (combinado)!

Se acercan las vacaciones y, un año más, Internet es nuestra mejor aliada para encontrar la escapada de rigor. Entramos en nuestra web favorita y compramos un pack que incluye el billete de AVE, el hotel y una excursión en catamarán que nos han ofertado. Lo más probable es que, sin saberlo, hayamos contratado un viaje combinado, una categoría legal que ofrece múltiples ventajas a los consumidores, pero que trae de cabeza a los titulares de las webs de reservas.

Frecuentemente tendemos a pensar que, cuando actuamos como intermediarios en Internet e incluimos las suficientes cláusulas de exclusión de responsabilidad, a cual más original, podemos descansar tranquilos, que nadie nos va a reclamar nada. Nada más lejos de la realidad en el caso de los viajes combinados.

Por viaje combinado se entiende, según la normativa de consumidores y usuarios, el viaje que incluya, al menos, dos de estos elementos:

  • transporte
  • alojamiento
  • otros servicios turísticos (excluyendo los accesorios a alguno de los anteriores, como el desayuno en un hotel)

Ello, cuando la actividad sobrepase las 24 horas o incluya una noche de estancia, y se oferte con un precio global. Ejemplo típico donde los haya es el viaje a Disneyland que incluye vuelo, hotel y entradas al parque.

La contratación de viajes combinados cuentan con una regulación específica que se aplica incluso cuando la compra se realiza a través de Internet. La principal diferencia con la contratación de cualquier servicio turístico “sencillo”, o que no constituya un viaje combinado, es fundamentalmente que se amplía el abanico de responsables frente a los consumidores, que disfrutan así de una mayor protección, al poder dirigirse contra más personas en caso de daño o perjuicio.

Como decíamos al principio, cuando quien ofrece un servicio en Internet no es el prestador del mismo sino un intermediario, éste tiende a declinar cualquier responsabilidad relacionada con su efectiva y correcta prestación. De esta forma, lo normal es que si, por ejemplo, un consumidor quiere plantear algún tipo de reclamación contra un hotel que reservó a través de una página web, se pueda dirigir contra el hotel pero no contra el intermediario titular de la página a través de la que se realizó la reserva.

El proceso de contratación de viajes combinados, incluso a través de Internet, no se regula de la misma manera, como veremos. Antes, deberá diferenciarse entre los organizadores (que organizan el viaje combinado), y los detallistas (que lo comercializan u ofrecen). En este sentido, cabría incluir en la categoría de detallista al titular de una web en Internet quien, sin prestar directamente servicios turísticos, permite la reserva de viajes combinados.

Pues bien, la norma impone no sólo a los organizadores, sino también a los detallistas, configurarse como agencia de viajes conforme a la normativa autonómica que les sea de aplicación, con todas las obligaciones que ello conlleva (obtención de licencias y permisos, contratación de seguros, etc.); pero es que, además, los detallistas, sin ser organizadores, asumen casi las mismas responsabilidades que éstos frente a los consumidores.

Por ejemplo, cuando el organizador de un viaje combinado no pudiera prestar el servicio tal y como fue contratado, no sólo el organizador, sino también el detallista, deberán buscar las soluciones adecuadas para compensar a los consumidores. Igualmente, si ante un viaje cancelado se debe indemnizar al consumidor conforme a la legislación aplicable, éste podrá reclamar tanto al organizador como al detallista, indistintamente.

Como nuestra intención no es asustar a nadie, es importante aclarar que, aunque el consumidor puede ir contra el organizador o contra el detallista (pues su responsabilidad es solidaria), aquél contra quien se hubiera dirigido podrá luego repetir contra los demás, a efectos de repartir la cuantía de las indemnizaciones en función de la culpabilidad de cada uno en el perjuicio causado al consumidor.

Por otro lado, actuando el detallista a través de Internet, además de las consideraciones que cualquier prestador de servicios de la sociedad de la información debe tener en cuenta, deberá dar cumplimiento a las obligaciones en cuanto a información y ejercicio de los derechos de los consumidores que resultan aplicables en relación a la oferta de viajes combinados. Por ejemplo, se habrá de ofrecer información sobre los seguros opcionales o, si el viaje incluye vuelos, deberán indicarse oportunamente las escalas.

En conclusión, la intermediación en la contratación de viajes combinados a través de Internet no es una cuestión sencilla y tiene más implicaciones de lo que, a primera vista, parece. Por ello, a la hora de montar una plataforma de reservas es importante, sobre todo al principio, valorar el desembolso y el riesgo que supone ofrecer viajes combinados en Internet.

Un nuevo Código Penal más tecnológico

Proporcionalidad y datos personales

Una de las vertientes que más me fascinan de trabajar con derechos fundamentales es la regla de la ponderación, que permite encontrar soluciones a aquellos casos en los que chocan varios principios constitucionales. Es, posiblemente, el ámbito donde los abogados logramos sentirnos más creativos, rompiendo los corsés a los que la rigidez de la norma nos tiene acostumbrados. Y también es, probablemente, una de las grandes olvidadas en el ejercicio diario de derechos tan tasados como la protección de datos personales.

La pasada semana tuve el honor de participar como ponente en el III Congreso Nacional de Privacidad, organizado con gran éxito por APEP, a quienes aprovecho para agradecer nuevamente su amable invitación. Nuestra labor era debatir sobre el desarrollo de la privacidad en España y, con el permiso de Paula Ortiz y de Lorenzo Cotino (que estuvieron fantásticos), aprovechamos para hablar de esta regla y de la importancia del principio de proporcionalidad en el tratamiento de datos.

Como es sabido, la doctrina de nuestro Tribunal Constitucional entiende la proporcionalidad desde tres puntos de vista: idoneidad (la medida es susceptible de alcanzar el objetivo propuesto), necesidad (no existe otra medida más moderada para la consecución del propósito con igual eficacia), y ponderación o equilibrio (de ella se derivan más beneficios que perjuicios para otros bienes o valores en conflicto). Esta aproximación debe ser, en mi opinión, el eje de todo análisis de legalidad a la hora de tratar datos de carácter personal; y así debía considerarlo el legislador al configurarla como el primero de los límites fijados en la Ley Orgánica de Protección de Datos:

«Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.»

Llevada a la práctica, esta regla genera una repercusión tremenda sobre la utilización de información personal: para tratar datos no basta el consentimiento del usuario, ni tampoco una habilitación legal. Si nos excedemos, ese simple error puede hacer que nos enfrentemos a una sanción grave por parte de la Agencia Española de Protección de Datos, aunque nos hayamos preocupado de redactar una larga política de privacidad que, por supuesto (faltaría más), todos los visitantes de nuestro sitio web hayan leído, comprendido y aceptado.

En una época en la que consideramos el análisis de datos como el nuevo maná, la tensión entre este principio y el legítimo interés de las empresas por maximizar sus resultados es inmensa. Y nuestro trabajo consiste, en esencia, en ayudarles a buscar soluciones que den respuesta a sus necesidades.

En algunos casos (los menos), la propia norma nos allana el camino: artículos como el 2.2 y el 2.3 del Reglamento de la LOPD sirven de ejemplo, permitiendo tratar determinados datos de autónomos y trabajadores dentro de un ámbito estrictamente profesional. Pero en otros, no queda más remedio que esforzanos en encontrar el equilibrio. Y, para ello, no nos podemos quedar en la pregunta típica de: ¿qué datos tratas? Se hace vital ir más allá: ¿con qué medios? ¿Durante cuánto tiempo? ¿Para qué finalidades? ¿Generando qué consecuencias al usuario? ¿Ofreciéndole qué herramientas para que pueda controlar sus datos?

Partiendo de esta reflexión, llegar a la conclusión que les quería transmitir con este post (y que tratamos de exponer en el Congreso) se hace más sencillo: creo firmemente que la proporcionalidad debe analizarse no sólo desde el punto de vista cuantitativo (volumen de información tratado), sino también, y especialemnte, desde el cualitativo. Lo contrario nos llevaría a defenestrar tecnologías como el big data, y me resisto a pensar que la intención del legislador al regular los tratamientos de datos es poner trabas a los avances tecnológicos.

Llevar a cabo un análisis de proporcionalidad no es complicado; implementarlo, tampoco, pero puede ser costoso si se pretende realizarlo una vez que un proyecto está en fase de producción. Abordarlo en su etapa de desarrollo es mucho más recomendable, como recuerda la AEPD en su Guía para la evaluación de impacto sobre los datos personales, que les recomiendo. Y permite crecer mucho más tranquilo. ¡Ténganlo en cuenta!