Una de las cosas que más nos afecta y, de hecho nos está afectando, son las sentencias que surgen del Tribunal de Justicia de la Unión Europea. Gracias a este tribunal, por ejemplo, se puso patas arriba todo el sistema de ejecución hipotecaria español, o al menos, aquel que impedía una defensa en igualdad al ciudadano frente a las entidades bancarias. En ese momento fue un letrado del Turno de Oficio que siguió hasta el final. ¡Cuánto imprime carácter el turno!, pues bien ahora nos encontramos con otra sentencia de gran repercusión aunque de forma mucho más silenciosa.

 

Nada más y nada menos que el 25/08 del año 2000 la Comisión europea  tomó la Decisión 2000/520 por la que se podía compartir datos siempre que se designara como “puerto seguro”. Puerto Seguro es un eufemismo dedicado a hacer saber a las personas que ceden datos a una empresa que esta velará por su correcto uso y que además, el país donde reside el servidor receptor dispone de leyes que velan por esa seguridad. El problema no es sobrevenido ya que es conocido que el comercio de datos tiene un marcado carácter autoregulador debido a que no existe una normativa estatal que afecte a todo el sector, lo único que alguna norma dispersa.

El tráfico de datos es uno de los negocios más importantes como tal no se tienen noticias exactas del valor en dólares que tiene pero se estima que hay empresas que tienen el 80% de los datos referidos a direcciones de correo. Por eso, cada vez que clikeas en Amazon para buscar algo, Google sabe luego qué es lo que buscas y te machaca a información referida a ese producto: las cookies .

Pues bien, llegados a este extremo llegamos al punto de la Sentencia del TJUE. En esta Sentencia el Tribunal de Justicia de la Unión Europea, entra a contestar la cuestión prejudicial emitida por la High Court  de Irlanda tras la demanda de presentada por Maximillian Schrens .

Schrens presentó  ante el Comisario de Protección de Datos una reclamación en la que le pedía que ejerciera su función de control prohibiendo a Facebook Ireland, filial de Facebook Inc. ( sita en EEUU), que le transmitiera datos a esta.

El Comisario entendía que no tenía facultades para ello puesto que la transferencia de datos estaba consentida por la Decisión 2000/520 donde se presumía que los EEUU eran un “safe harbor” , cuestión puesta en duda por el demandante tras el caso Snowden

La Sentencia contesta a dos preguntas; la primera viene a resolver que los Estados Miembros tienen capacidad para controlar y valorar si el Estado destino donde se encuentra el Safe Harbour realmente cumple con las regulación de protección nacional.

En España tenemos nuestra propia regulación que se encuentra en la Ley Orgánica de Protección de Datos.

“La LOPD en los artículos 33 y 34 regula la transferencia internacional de datos, exigiendo la autorización de la Agencia Española de Protección de Datos en aquellos casos en los que se produce una transferencia a un país que no tenga un nivel de protección equiparable. Como no hace falta que detallemos, obtener una autorización es un proceso lento que no responde a las necesidades de inmediatez de muchos casos de negocio.” 

Así lo  resume Jesús López Pelaz  compañero y amigo, gran conocedor de estas materias.

El TJUE resuelve que no es contrario a Derecho que una autoridad de control de un Estado miembro […], examine la solicitud de una persona relativa a la protección de sus derechos y libertades frente al tratamiento de los datos personales que la conciernen que se hayan transferido desde un Estado miembro a ese tercer país, cuando esa persona alega que el Derecho y las prácticas en vigor en éste no garantizan un nivel de protección adecuado.

La segunda pregunta contestada en la Sentencia  viene referida a si la Decisión 2000/254 es conforme a Derecho.

Hemos de recordar que esta Decisión consistía en decretar como Puerto Seguro a las empresas de Estados Unidos que cumplían con determinados requisitos de calidad tecnica y seguridad, es decir que las empresas de EEUU que tenían la calificación de Safe Harbour eran seguras para el tratamiento de los datos que,en el caso originario, transmitía Facebook en Irlanda a Facebook Inc. sita en el país norteamericano  

La sentencia hace un recorrido sobre lo que fija la Carta de Derechos de la UE y la Directiva 95/46 sobre protección de datos  al respecto de las enormes garantías que ofrece al ciudadano frente a la empresa que maneja datos personales.

En líneas generales dice que las FAQ que se adjuntaban a la Decisión en diversos anexos  no dejaban de ser una mera declaración de posibles imposibles para el ciudadano medio.

 

Sobre eso el TJUE es meridianamente claro, dice el Alto Tribunal: “según reiterada jurisprudencia del Tribunal de Justicia, una normativa de ésta que haga posible una injerencia en los derechos fundamentales garantizados por los artículos 7 y 8 de la Carta debe contener reglas claras y precisas que regulen el alcance y la aplicación de una medida e impongan unas exigencias mínimas, de modo que las personas cuyos datos personales resulten afectados dispongan de garantías suficientes que permitan proteger eficazmente sus datos personales contra los riesgos de abuso y contra cualquier acceso o utilización ilícitos de éstos. La necesidad de disponer de esas garantías es aún más importante cuando los datos personales se someten a un tratamiento automático y existe un riesgo elevado de acceso ilícito a ellos”

Con estos requisitos parece evidente que el Puerto Seguro no lo es tanto para el Tribunal y así sentencia :

92      Además, y sobre todo, la protección del derecho fundamental al respeto de la vida privada al nivel de la Unión exige que las excepciones a la protección de los datos personales y las limitaciones de esa protección no excedan de lo estrictamente necesario (sentencia Digital Rights Ireland y otros, C‑293/12 y C‑594/12, EU:C:2014:238, apartado 52 y la jurisprudencia citada).

93      Pues bien, no se limita a lo estrictamente necesario una normativa que autoriza de forma generalizada la conservación de la totalidad de los datos personales de todas las personas cuyos datos se hayan transferido desde la Unión a Estados Unidos, sin establecer ninguna diferenciación, limitación o excepción en función del objetivo perseguido y sin prever ningún criterio objetivo que permita circunscribir el acceso de las autoridades públicas a los datos y su utilización posterior a fines específicos, estrictamente limitados y propios para justificar la injerencia que constituyen tanto el acceso a esos datos como su utilización [véase en ese sentido, acerca de la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE (DO L 105, p. 54), la sentencia Digital Rights Ireland y otros, C‑293/12 y C‑594/12, EU:C:2014:238, apartados 57 a 61].

94      En particular, se debe considerar que una normativa que permite a las autoridades públicas acceder de forma generalizada al contenido de las comunicaciones electrónicas lesiona el contenido esencial del derecho fundamental al respeto de la vida privada garantizado por el artículo 7 de la Carta (véase, en ese sentido, la sentencia Digital Rights Ireland y otros, C‑293/12 y C‑594/12, EU:C:2014:238, apartado 39).

95    De igual manera, una normativa que no prevé posibilidad alguna de que el justiciable ejerza acciones en Derecho para acceder a los datos personales que le conciernen o para obtener su rectificación o supresión no respeta el contenido esencial del derecho fundamental a la tutela judicial efectiva que reconoce el artículo 47 de la Carta. En efecto, el artículo 47, párrafo primero, de ésta establece que toda persona cuyos derechos y libertades garantizados por el Derecho de la Unión hayan sido violados tiene derecho a la tutela judicial efectiva, respetando las condiciones establecidas en dicho artículo. En ese sentido, la existencia misma de un control jurisdiccional efectivo para garantizar el cumplimiento de las disposiciones del Derecho de la Unión es inherente a la existencia de un Estado de Derecho

 

Es decir que el sistema americano, como decíamos al principio, es muy poco garantista para los usuarios sin posibilidad de que estos  puedan acudir a una vía accesible y sencilla para el control de sus datos personales. El sistema estadounidense hace una excepción masiva sin concretar diferencia o límite para tratar los datos. Eso significa que todos los datos que Usted o yo hayamos transferido a una web o empresa cuya sede esté en EEUU ahora mismo están siendo manejados sin rigor, filtro, orden ni prioridad alguna por las agencias estatales estadounidenses cuando no, por empresas que hacen negocio con estos datos.

En Facebook podemos encontrar al respecto lo siguiente

 

 

 

“Facebook puede compartir información por vías internas en su grupo de empresas o con terceros con los fines que se describen en esta política” Pero sin concretar estos fines. Tampoco parece accesible de qué manera podemos ejercer nuestros derechos de acceso, rectificación, cancelación u oposición.

Parece evidente que Europa ha optado por la vía garantista en defensa de los derechos fundamentales de los ciudadanos europeos frente a la libertad que hay en EEUU. La eterna búsqueda del equilibrio entre la libertad y la justicia.

 

Finalmente el TJUE declara competente cualquier Estado Miembro para hacer valer el derecho estatal así como comunitario en materia de protección de datos frente a terceros países en defensa de un ciudadano que pertenece a la UE y declara nula la Decisión 2000/254 por la que se declaraba Safe Harbor a EEUU y por lo tanto, restringe el intercambio de datos y su comercio.

 

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies