Safe Harbor ha caído, ¿y ahora qué?

Puede que muchos de ustedes no hayan oído hablar nunca del «Acuerdo de Puerto Seguro» (Safe Harbor Agreement), pero es, probablemente, uno de los marcos internacionales que más influencia ha tenido en nuestras vidas. En esencia, simplificaba enormemente el flujo de datos personales entre Europa y los Estados Unidos, una necesidad incuestionable en la sociedad hipertecnificada y globalizada en la que vivimos. Y digo «simplificaba», en pasado, porque la Decisión de la Comisión que lo sostenía ha sido declarada inválida por el Tribunal de Justicia de la Unión Europea, retrotayendo las relaciones a ambos lados del Atlántico a los años 90, en lo que a tratamiento de datos se refiere.

Por ponerles en contexto, el Acuerdo de Puerto Seguro trae causa de la inflexibilidad de la normativa europea en lo que a enviar datos de carácter personal fuera de la Unión se refiere. La Directiva 95/46/CE, que armoniza la materia a nivel comunitario, no puede ser más clara al afirmar, en su considerando 58, que «cuando un país no ofrezca un nivel de protección adecuado debe prohibirse la transferencia al mismo de datos personales». Una afirmación categórica que, aplicada a los Estados Unidos, implica el veto al envío de datos a su territorio, porque su sistema jurídico (basado en el common law y firme partidario de la autorregulación) carece de una normativa unitaria de protección de la privacidad. Y no por descuido o dejadez, sino porque sus legisladores están convencidos de que las soluciones actuales funcionan, y no tienen intención alguna de cambiarlas. Algo que, por otra parte, es perfectamente lógico y legítimo.

La aprobación de la Directiva, sin embargo, trajo consigo un formidable problema: las multinacionales estadounidenses, con importantes intereses en Europa, se encontraban con que no podían utilizar los datos recabados en nuestro continente sin exponerse a graves sanciones (en nuestro país, de hasta 600.000 €), o someterse a largos procesos de autorización previa. Así, presionaron al Departamento de Comercio para que reclamase a sus colegas europeos alternativas viables, y la solución fueron los Principios de Puerto Seguro: un sistema de adhesión voluntaria por el que las empresas se comprometían a obedecer una serie de reglas en materia de privacidad, sometiéndose a la jurisdicción de la Federal Trade Commission para garantizar su cumplimiento. A pesar de la preocupación manifestada por el Grupo del Artículo 29 en varios de sus documentos, el interés político y económico en alcanzar un acuerdo en la materia dieron lugar al reconocimiento, por la Comisión Europea, de la adecuación de este sistema al derecho europeo. Dicho de otra manera: se admitió que las empresas adheridas a «Safe Harbor» ofrecían un nivel de protección adecuado, eliminando trabas burocráticas al flujo transatlántico de datos.

Cuando todo parecía solventado, gracias a una solución flexible e imaginativa venida de allende los mares, los atentados de las Torres Gemelas y la posterior guerra contra el terrorismo vinieron a complicar nuevamente el contexto normativo: los Estados Unidos comenzaron a generar normas y programas tendentes a vigilar de forma sistemática la información mantenida por sus empresas. Algo que, especialmente tras las revelaciones de Edward Snowden, puso en pie de guerra a activistas y defensores de los derechos humanos en todo el mundo, incluida Europa. ¿Cómo considerar «adecuado», desde el punto de vista de la privacidad, a un país que analiza sistemáticamente los datos personales de los europeos?

La sentencia publicada hoy no hace sino acoger esta preocupación, algo que desde el punto de vista de la protección de los derechos fundamentales debe ser calificado como un éxito, pero que complica inmensamente el comercio internacional y el funcionamiento de nuestro tejido económico, tan dependiente de empesas como Amazon, Google, Facebook, Microsoft, Apple… El Tribunal ha hecho nuevamente gala de su independencia de los poderes ejecutivo y legislativo, pero las consecuencias pueden ser tremendas, máxime en el marco de la negociación del Tratado de Libre Comercio (el famoso TTIP).

Entretanto, las empresas que transfieran datos a Estados Unidos se enfrentan a un formidable dilema. Con la declaración de invalidez de la Decisión, nuestra normativa de protección de datos obliga a buscar una base jurídica alternativa para la transferencia de datos a Estados Unidos. En ocasiones, esa base jurídica podrá encontrarse en alguna de las muchas excepciones previstas por la Ley, por lo que unos ligeros cambios en las políticas de privacidad pueden ser suficientes. Pero en otras, y en especial en aquellos casos en los que la transferencia se sustente en una simple prestación de servicios (por ejemplo, para utilizar cloud computing con servidores en EE.UU.), puede ser necesario obtener una autorización previa del Director de la Agencia Española de Protección de Datos. Un proceso que puede demorarse hasta tres meses, ni más ni menos.

Lo más probable es que la Comisión Europea busque una solución rápida a este entuerto pero, entretanto, las empresas se verán obligadas a buscarse la vida con una normativa que, como digo a menudo, no estaba diseñada para dar respuesta a situaciones como esta. ¡Abogados y asesores tenemos una ardua tarea de asesoramiento por delante!