12 oct 2015

Safe Harbour








 










¿Qué es el Safe Harbour?

Bien, Safe Harbour significa literalmente puerto seguro como el título de este post. Y en concreto, es una decisión de adecuación de carácter sectorial a la que pueden acogerse, exclusivamente, compañías establecidas en los EEUU, por lo que no se puede extender su aplicación, como en algún momento se ha pretendido a compañías filiales de empresas americanas establecidas fuera de este país. El sistema de adhesión por parte de las empresas de manera voluntaria a los requisitos de Puerto Seguro, se fundamenta, exclusivamente, en una declaración unilateral de las compañías respecto de que cumplen los requisitos de Puerto Seguro y, posteriormente, el control de dicho cumplimiento se encomienda a una auditoría que se puede llevar a cabo por personal interno de la entidad. Es decir, es un esquema de auto certificación, auto regulación y auto evaluación en el que pueden no existir nunca controles externos respecto de las actividades y prácticas de protección de datos de las compañías adheridas a Puerto Seguro.

A esto se refiere la Decisión 2000/520/CE de 26 de julio con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la Protección conferida por los principios de Puerto Seguro para la Protección de la Vida Privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de EEUU.



















Cabe destacar que independientemente del Puerto Seguro o Safe Harbour, como regla general, en el caso de empresas transnacionales y al tratarse de empresas que disponen de servidores en diferentes Estados por todo el mundo, habrá que tener en cuenta donde se encuentran ubicados dichos servidores, es decir si hablamos de Estados miembros de la Unión Europea, será de aplicación la Directiva 95/46/CE y en su caso la normativa del Estado miembro que la desarrolle, pero en el caso de que los servidores se encuentren ubicados en Estados que no pertenezcan al espacio de la Unión Europea, se deberá observar si disponen de algún tipo de acuerdo, tratado o convenio en el que se establezcan las medidas de seguridad oportunas y por último en caso de no ser así se deberá solicitar autorización expresa para la cesión internacional de los datos personales al Director de la Agencia Española de Protección de Datos, tal y como se describe en la página web de la Agencia Española de Protección de Datos de Carácter Personal Transferencias internacionales de datos.

En muchos de los supuestos de los proveedores de Cloud Computing o servicios en la nube más importantes del mundo, la recepción de los datos y la cesión de los mismos suele darse a dos o más países, Irlanda por poner un ejemplo de país Europeo en el que grandes empresas tecnológicas disponen de una sede, es miembro de la Unión Europea, por lo que será de aplicación la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Mientras que en terceros países no miembros de la UE, se deberá estudiar si existe algún tipo de convenio o acuerdo o como ocurría con EEUU y el puerto seguro.

Es en este último caso en el que al tratarse de un Estado no miembro, le era de aplicación la Decisión 2000/520/CE de la Comisión Europea del 2000 de 26 de julio con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la Protección conferida por los principios de Puerto Seguro. Por lo que para garantizar la efectividad de la decisión, el Departamento de Comercio de Estados Unidos de América, o su representante, debía mantener a disposición del público una lista de entidades que tal y como se ha citado antes, se auto certificasen su adhesión a los principios así como su aplicación y quedasen sujetas a la jurisdicción de la Federal Trade Comission o FTC Comisión Federal de Comercio, con arreglo a la competencia que le confiere el Artículo 5 de la Ley de la Comisión Federal de Comercio, o del Departamento de Transporte de Estados Unidos, con arreglo a la competencia que le confiere el Artículo 41.712 del Título 49 de la United States Code, los cuales estarán facultados para investigar las quejas que se presenten y solicitar medidas provisionales contra las prácticas desleales o fraudulentas, así como reparaciones para los particulares que estén sujetos a esta jurisdicción, independientemente de su país de residencia o de su nacionalidad.

Se consideraba así, siempre que la entidad receptora de los datos hubiese manifestado al citado Departamento de Comercio de Estados Unidos o a su representante, de forma inequívoca y pública, su compromiso de cumplir con estos principios de puerto seguro y se sujetase a la jurisdicción a la que nos hemos referido en el párrafo anterior, aceptando literalmente lo siguiente: Do you agree to cooperate and comply with the European Data Protection Authorities? Yes.

Para la UE, la protección de datos personales es un derecho fundamental de los ciudadanos. Así lo reconocen explícitamente algunas constituciones de los Estados miembros (la española, entre ellas, tal y como estableció y reconoció el TCE en su sentecia 292/2000, de 30 de noviembre de 2000). Además, tanto la UE mediante diversas directivas como sus Estados miembros al transponer las mismas, han aprobado normas jurídicas de obligado cumplimiento y de carácter general en las que se establecen los principios y los derechos de los que los ciudadanos disponen respecto al tratamiento de sus datos personales. Finalmente, en todos los Estados miembros existen autoridades de control independientes encargadas de la supervisión del cumplimiento de la legislación en esta materia.

En este sentido, el pasado seis de octubre el TJUE en su gran sala, declaró inválida la Decisión 2000/520/CE de la Comisión Europea del 2000 de 26 de julio con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, que declaraba el nivel adecuado de protección del Puerto Seguro o Safe Harbour. En concreto, tal y como recoge la nota de prensa de la AEPD, la sentencia proclama que la Decisión de Puerto Seguro es inválida por dos motivos:
  • Porque entiende que prevalece incondicionalmente y sin ninguna limitación “la seguridad nacional, el interés público o el cumplimiento de la ley” sobre los derechos fundamentales a la intimidad y la protección de datos, sin otorgar a los ciudadanos europeos ningún medio para obtener la tutela efectiva de esos derechos.
  • Porque no otorga a los Estados miembros un margen suficiente para suspender las transferencias en caso de que estos apreciaran una vulneración de los derechos de los ciudadanos europeos.

Veremos que ocurre a partir de ahora, ya que no sólo afecta a los responsables de ficheros (entidades en su gran mayoría y sus proveedores) si no que también afectará a millones de usuarios de servicios en la Red. De igual modo, habrá que ver que ocurre con el no muy conocido TTIP o Transatlantic Trade and Investment Partnership, el cual es una propuesta de tratado de libre comercio (TLC) entre la Unión Europea y Estados Unidos. Actualmente se encuentra en negociaciones y previsiblemente dotará de poder a las grandes empresas y desregularizaría los mercados, por lo que en el caso de las empresas tecnológicas la cuestión de la privacidad será un escollo a salvar y a tener en cuenta. 

Cabe destacar que esta sentencia del TJUE, sigue la línea de reforzar el Derecho Fundamental a la protección de datos de carácter personal, tal y como ya ocurriera el 13 de mayo de 2014 con la Sentencia del denominado Derecho al Olvido en el caso de Google y Costeja.

No obstante a todo lo anterior, es importante recalcar que también se deberá cumplir con la normativa Española en materia de protección de datos, en concreto con la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento que la desarrolla.

Por todo ello muchos de los proveedores de servicios en la nube tales como gestores documentales o de correo electrónico quedarán automáticamente fuera del Safe Harbour o puerto seguro.

Documentación y entradas de interés:

1.- Sentencia TJUE.
2.- Decisión 2000/520/CE.
3.- Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
4.- Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento que la desarrolla.
5.- Directiva 95/46/CE.
6.- Nota de prensa de la AEPD.
7.- Datos Personales y Cloud Computing

No hay comentarios: