La sentencia anula el acuerdo de “Puerto Seguro” para datos personales entre la Unión Europea y los Estados Unidos. ¿En qué consiste este acuerdo? Básicamente son una serie de medidas mediante las cuales, EEUU se compromete a que los datos personales cedidos a empresas estadounidenses tengan una protección equivalente a la europea. La sentencia deja claro que esto no es así y anula dicho acuerdo, adoptado en 1998,  dado que hoy en día no protege los datos de los usuarios de injerencias de las empresas y de las autoridades estadounidenses.

En Estados Unidos no hay leyes equivalentes a las leyes europeas de protección de datos

Mientras que en España los datos personales están protegidos por una ley orgánica y en Europa los protegen la Directiva 95/46 de la Unión Europea y el Convenio nº 108 adoptado en 1981 por el Consejo de Europa, en Estados Unidos no hay leyes equivalentes. Como mucho, un Acta que regulaba el uso de la información personal de los ciudadanos por parte del Gobierno… en 1977. Nada protege a los ciudadanos europeos del acceso arbitrario a sus datos si se almacenan en EEUU. Las autoridades estadounidenses ni necesitan orden judicial para consultarlos, copiarlos o tratarlos, debido a leyes como la “Patriot Act”.

Ya no decide Europa, sino cada país

Al anularse el “puerto seguro”, la decisión de si  los datos personales de los ciudadanos europeos pueden estar en servidores de EEUU, pasaría a ser competencia de las autoridades nacionales de cada Estado de la UE. Empresas y gobiernos contienen el aliento al saberse la sentencia, dado que multitud de servicios esenciales para usuarios y empresas dependían del "Puerto Seguro". Por poner algunos ejemplos: Gmail y Google Docs se verían afectadas, al igual que iCloud, One Drive y Amazon. Lo mismo ocurriría con bancos y empresas a los que empresas de EEUU gestionan los datos de sus clientes o empleados. Más allá de los inconvenientes para los particulares, esto puede suponer graves prejuicios económicos a ambos lados del Atlántico. Esa es precisamente la preocupación de la Casa Blanca, que mostró su decepción con la sentencia y defendió el “Safe harbor” como crucial para el crecimiento económico.

La Comisión Europea es muy consciente de todo esto. Su Vicepresidente, Frans Timmermans, dijo que las tres prioridades de la comisión eran: la protección de los datos personales que se transfieren a través del Atlántico, la continuidad de esos flujos de datos “importantes para nuestra economía” con las adecuadas salvaguardas y la aplicación uniforme de la legislación europea en el mercado interior. Tanto el Comisario Timmermans, como su colega Vera Jourova pasaron por alto el reproche que el TJUE lanzaba en su sentencia a la Comisión: que ésta no ha sido diligente comprobando que los datos de los europeos no estén sometidos a injerencias en los EEUU y, por tanto, corresponde a las autoridades nacionales determinarlo.

Buscando soluciones contrarreloj

Dado que esta sentencia deja en el aire importantes contratos transatlánticos y afecta a un flujo de datos vital para la economía, se están estudiando posibles soluciones y excepciones a las normas europeas de protección de datos.

La propia Comisión adelantó cuatro excepciones a la regulación europea:

- cuando los datos son necesarios para la realización de un contrato. Como, por ejemplo, una reserva hotelera o un billete de avión.

- cuando son de vital importancia para el interés público. Como la lucha contra el terrorismo, el narcotráfico o los cárteles comerciales.

- cuando son de vital importancia para el titular de esos datos. Como en el caso de los datos médicos u otras situaciones de vida o muerte.

- cuando la persona titular de los datos da su consentimiento libre e informado. 

Empresas preparadas para esta sentencia, están sujetas a la decisión de las autoridades locales

Mientras, no queda otra que revisar la regulación europea, llegar a otro acuerdo de “Puerto Seguro” con los EEUU y que los estadounidenses se planteen también cambios en su regulación. Algo que han encomendado estudiar a su Departamento de Comercio. Sin embargo, todas estas cláusulas tienen sus complicaciones legales y, aunque muchas empresas ya tenían nuevos acuerdos con la UE en previsión de esta sentencia, siguen estando sujetas a la decisión de las autoridades de protección de datos de cada uno de los países de la Unión.

¿Quedará esto en nada, como en el caso de las cookies?

En temas de privacidad, por ejemplo, muchos usuarios recuerdan lo que pasó con la regulación de las “cookies”, que de defensa de la privacidad pasó a ser una molesta ventana que aparece cada vez que abrimos una web y que nos pide el consentimiento con un click.

“Esto tiene implicaciones mucho más serias que lo de las cookies” –explica la abogada Paloma Llaneza- “Aquí hace falta que esa transferencia de datos esté sometida a una autorizacion previa por parte de las autoridades nacionales.

Y no basta con que Facebook haga su enésimo cambio de los Términos y Condiciones, sino que debería lanzar una ventana emergente en su página, donde explique la clase de minería de datos que hace, todos los datos personales que posee y cómo los vende a terceros o los cede a las autoridades estadounidenses. Si los usuarios vieran la clase de dossier personal que estas empresas tienen sobre ellos, seguro que se replanteaban su consentimiento”.

La legislación española es mucho más garantista que la de otros países

Además, la legislación española es mucho más garantista que la de otros países, por lo que empresas estadounidenses deberían registrar y “legalizar” sus bases de datos en la Agencia Española de Protección de Datos. Y necesitarían su autorización previa para poder realizar la transferencia de datos. En la AEPD se limitan a remitirse al comunicado en el que hacen acuse de recibo de la sentencia y, en declaraciones a bez.es, afirman estar esperando a una postura común europea antes de actuar.