Safe Harbor: retos para el modelo europeo de la privacidad (II). El marco jurídico básico.

Viene de Safe Harbor: retos para el modelo europeo de la privacidad (I).

Para entender el significado último tanto de Safe Harbor como de la sentencia resulta indispensable definir el marco de referencia normativo. El Capítulo IV de la Directiva 95/46/CE regula la transferencia internacional de datos a países terceros e impone a los Estados miembros el deber de que «el país tercero de que se trate garantice un nivel de protección adecuado». Esa adecuación se suele traducir en la existencia de una protección equiparable y se fijan por el artículo 25.2 ciertos criterios para verificarla:

  • la naturaleza de los datos;

  • la finalidad y la duración del tratamiento o de los tratamientos previstos;

  • el país de origen y el país de destino final;

  • las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate;

  • las normas profesionales y las medidas de seguridad en vigor en dichos países.

Por tanto, no es lo mismo contratar un Cloud para tratar los datos para la gestión del envío de paquetes de un comercio electrónico que la de una clínica odontológica. En lo que aquí interesa es fundamental atender a las condiciones jurídicas del país de destino y a las garantías y protección que ofrece. Muy resumidamente deberían ser dos: 1) que las reglas básicas del Estado de Derecho garanticen límites y garantías frente a la intervención del estado cuando limita la privacidad en sus investigaciones, -Due Process of Law-, y; 2) que el marco de tutela garantice que los ciudadanos podrán obtener protección frente a cualquier lesión de su derecho fundamental a la protección de datos ya provenga de un particular, ya de un poder público.

El sistema no descansa sólo en la Comisión. La Institución posee competencia para declarar que un país tercero garantiza un nivel de protección adecuado y los Estados miembros adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión. No obstante, declarar un nivel adecuado de protección también es una competencia estatal, y así lo prevén de un modo un tanto confuso el artículo 33 LOPD, -que tan sólo se refiere a la autorización previa del Director de la Agencia de Protección de Datos-, y el artículo 67.1 RLOPD que exime de esa autorización «cuando las normas aplicables al Estado en que se encontrase el importador ofrezcan dicho nivel adecuado de protección a juicio del Director de la Agencia Española de Protección de Datos», y le faculta para «la publicación de la relación de países cuyo nivel de protección haya sido considerado equiparable».

Por otra parte, la regulación incorpora reglas de actuación cuando un país no garantiza un nivel de protección adecuado. Si así lo declarase la Comisión, los Estados miembros adoptarán las medidas necesarias para impedir cualquier transferencia de datos personales al tercer país de que se trate, y aquella iniciará en el momento oportuno las negociaciones destinadas a remediar la situación.

En casos graves la regulación española prevé la posibilidad de una suspensión temporal de las transferencias en casos tasados:

  1. a) Que las autoridades de Protección de Datos del Estado importador o cualquier otra competente, en caso de no existir las primeras, resuelvan que el importador ha vulnerado las normas de protección de datos establecidas en su derecho interno.

  2. b) Que existan indicios racionales de que se estén vulnerando las normas o, en su caso, los principios de protección de datos por la entidad importadora de la transferencia y que las autoridades competentes en el Estado en que se encuentre el importador no han adoptado o no van a adoptar en el futuro las medidas oportunas para resolver el caso en cuestión, habiendo sido advertidas de la situación por la Agencia Española de Protección de Datos. En este caso se podrá suspender la transferencia cuando su continuación pudiera generar un riesgo inminente de grave perjuicio a los afectados.

Puesto que la autorización para la transferencia puede ser singular en el marco de una relación contractual concreta autorizada, en el de una BCR o en el del uso del modelo de Decisión Contractual Tipo de la Comisión, también se prevé una facultad de suspensión para la Agencia Española de Protección de Datos bajo las siguientes circunstancias:

  1. a) Que la situación de protección de los derechos fundamentales y libertades públicas en el país de destino o su legislación impidan garantizar el íntegro cumplimiento del contrato y el ejercicio por los afectados de los derechos que el contrato garantiza.

  2. b) Que la entidad destinataria haya incumplido previamente las garantías establecidas en cláusulas contractuales de este tipo.

  3. c) Que existan indicios racionales de que las garantías ofrecidas por el contrato no están siendo o no serán respetadas por el importador.

  4. d) Que existan indicios racionales de que los mecanismos de aplicación del contrato no son o no serán efectivos.

  5. e) Que la transferencia, o su continuación, en caso de haberse iniciado, pudiera crear una situación de riesgo de daño efectivo a los afectados.

La integración de la Directiva y su transposición permiten identificar así un criterio básico de decisiva influencia en el caso Safe Harbor desde un punto de vista dogmático. Si la legislación del Estado tercero resultase lesiva respecto de la concepción de los derechos fundamentales en la Unión Europea se darían las circunstancias determinantes para una suspensión individual de las transferencias por un Estado miembro, lo que debería suponer un trámite previo de información recíproca con la Comisión y con el conjunto de los Estados. En tal esquema la Comisión podría suspender con carácter general las transferencias.

Desde el punto de vista de los hechos, la tormenta derivada del caso Snowden, la constatación material por la Comisión LIBE de las circunstancias de la aplicación de la Ley FISA, e incluso la propia posición del TJUE respecto de la propia regulación europea en el caso Digital Rights Ireland, sólo podían conducir a una conclusión: el modelo europeo de garantía de los derechos al secreto de las comunicaciones y el derecho fundamental a la protección de datos no se respetaba en los tratamientos de datos realizados en suelo norteamericano o sujetos a las potestades de investigación de su Gobierno.

Como veremos al entrar en el detalle del caso el TJUE no abre la puerta a la adopción de una decisión unilateral por parte del Comisionado Irlandés de Protección de Datos. Sin embargo, desde un punto de vista de la mera hipótesis y aunque el Tribunal de hecho afirme lo contrario subsisten dudas. Primero, y no nos cansaremos de decirlo, porque el valor jurídico de la Carta Europea de Derechos no confiere necesariamente competencia a la Unión, y desde luego no convierte a los Tratados en una Constitución. Una prueba, material y muy visual de ello es que mientras un tribunal no diga lo contrario la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones sigue plenamente vigente en nuestro país. Aunque miremos para otro lado tarde o temprano deberemos decidir si la Primacía de un Reglamento, o de una Directiva, opera en nuestro sistema constitucional cuando entra en la esfera que los artículos 53 y 81 reservan a la Ley nacional, incluso orgánico, y cuando el artículo 10.2 CE sólo se refiere a los Tratados Internacionales como referente de interpretación del ordenamiento nacional.

Por otra parte, el sistema se completa con un conjunto de excepciones a la regla general de autorización previa global o particular:

  1. a) el interesado haya dado su consentimiento inequívocamente a la transferencia prevista, o

  2. b) la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales tomadas a petición del interesado, o

  3. c) la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar en interés del interesado, entre el responsable del tratamiento y un tercero, o

  4. d) La transferencia sea necesaria o legalmente exigida para la salvaguardia de un interés público importante, o para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial, o

  5. e) la transferencia sea necesaria para la salvaguardia del interés vital del interesado, o

  6. f) la transferencia tenga lugar desde un registro público que, en virtud de disposiciones legales o reglamentarias, esté concebido para facilitar información al público y esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legítimo, siempre que se cumplan, en cada caso particular, las condiciones que establece la ley para la consulta.

Algunas de estas excepciones han sido concretadas en la regulación española de modo específico cuando se refiere a la aplicación de tratados o convenios en los que sea parte España, al auxilio judicial internacional, la prevención o para el diagnóstico médicos, o a la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.

Por tanto, y es un elemento relevante, habrá que distinguir a partir de estas excepciones aquellos casos en los que la relación jurídica no es el de tipo responsable-encargado, responsable-cesionario o encargado-encargado, sino una relación directa responsable-afectado titular de los datos.

Continua en Safe Harbor: retos para el modelo europeo de la privacidad (III). Las condiciones del tratamiento.