Safe Harbor: retos para el modelo europeo de la privacidad: final. ¿Y ahora qué?

Comenzar la lectura: Safe Harbor: retos para el modelo europeo de la privacidad (I)

Viene de Safe Harbor: retos para el modelo europeo de la privacidad (V). La nulidad de la Decisión.

En bez-lo que debes saber publicaba hace unos días un resumen apresurado de situación con una valoración de índole más política o práctica que jurídica. La sentencia Safe Harbor va a plantear más de un quebradero de cabeza y obligará a las autoridades nacionales de protección de datos a operar usando todos los registros disponibles. En este sentido, y como se expondrá a continuación, los problemas más urgentes obligan a dibujar con trazo grueso. Urge adoptar decisiones inmediatas que proporcionen seguridad al sistema y ofrezcan una tranquilidad absolutamente necesaria. En este sentido, disculpe el lector que en esta fase de conclusiones no sea capaz de ofrecer más que unas líneas generales que apuntan más a intuiciones que a un mínimo rigor jurídico.

¿Es válido mi contrato? ¿Incumplo la LOPD?

Esta es sin duda la primera y crucial cuestión. El responsable que contrató una empresa Safe Harbor se ha quedado sin base jurídica, el suelo se ha movido bajo sus pies. Y nada en la nota de prensa de la Agencia Española de Protección de Datos ofrece pista alguna más allá de constatar que “ya lo advertimos” y que las autoridades «han planificado actuaciones para coordinarse en el análisis de las implicaciones de la sentencia y en las actuaciones nacionales que deban llevarse a cabo, garantizando una aplicación consistente de la misma en todos los países de la UE».

Pues bien, desde el respeto no cabe sino reivindicar que ninguna de esas “actuaciones nacionales” pueda consistir en aplicar el derecho sancionador. No existiría no ya dolo por parte de los responsables, sino ni siquiera el menor atisbo de culpa, ni siquiera objetiva. Es más, el responsable confío en lo legítimo de su acción y como señala el Expediente Nº: E/00390/2013 actuó «en base al principio de “confianza legítima” al ser la conducta exigida por la Administración y como recoge la SAN, de fecha 29/10/2009, recurso 313/2009, en su Fundamento de Derecho Sexto “ …..sería absurdo sancionar una conducta que la propia Administración sancionadora aconseja”».

Otra cosa será, qué hacer a partir de ahora. Del regulador cabe esperar la generosidad y comprensión que aplicó no hace tanto cuando exoneraba de graves responsabilidades a quienes no leían el correo electrónico. En tal sentido, podría ser más que razonable establecer una suerte de moratoria que permita reajustar los contratos cuya nulidad sobrevenida parece evidente. Probablemente recurrir a dictar una Instrucción que aclaré las cosas pudiera ser una primera salida. Por otra parte, ofrecer algún modelo de cláusula contractual modificativa de los contratos preexistentes no sea una petición descabellada.

Pero aun así, la Ley FISA existe…

Puede que incluso con las medidas anteriormente descritas no resolviéramos el problema. La sentencia Safe Harbor no sólo señala que la Decisión es nula, incluye un elemento de índole material: el sistema jurídico norteamericano no garantiza la tutela de los derechos a la intimidad, el secreto de las comunicaciones ni el derecho fundamental a la protección de datos en el contexto de los poderes que otorga la Ley FISA.

El RLOPD es claro en la materia, es necesario denegar o suspender la transferencia cuando «la situación de protección de los derechos fundamentales y libertades públicas en el país de destino o su legislación impidan garantizar el íntegro cumplimiento del contrato y el ejercicio por los afectados de los derechos que el contrato garantiza». Y por mucho que se esté trabajando en modificar la USA Patriot ACT y FISA no parece que existan garantías homologables.

Pero además en la STC 96/2012 nuestro Tribunal Constitucional estableció un principio particular al reconocer, en el fundamento jurídico segundo de la sentencia, legitimación activa de BBVA para interponer un recurso de amparo:

« (…)

Mayores dificultades suscita la queja principal de la entidad demandante, referida a la vulneración de su derecho a la tutela judicial efectiva en conexión con los derechos a la intimidad y a la protección de datos personales de sus clientes. Ciertamente, si se entendiera que a través de esta queja la demandante pretende hacer valer en el presente proceso constitucional derechos fundamentales que le son ajenos, resultaría obligado concluir que no ostenta legitimación activa para pretender el amparo en este extremo. Sin embargo, no es esto lo que acontece, (…). En definitiva, la demandante es titular del derecho a la tutela judicial efectiva e invoca un interés legítimo también en relación con esta queja, interés que efectivamente concurre, pues, sin perjuicio de que los datos personales objeto de cesión sean de la titularidad de las personas físicas a que se refieren, la entidad bancaria demandante de amparo es la titular de los ficheros en que se contienen esos datos y por ello la responsable de su adecuado tratamiento, uso y custodia, conforme a lo establecido en la Ley Orgánica de protección de datos de carácter personal (LOPD), lo que conduce a rechazar la pretendida falta de legitimación de la demandante para recurrir en amparo, alegada tanto por la asociación ADICAE como por el Ministerio Fiscal».

Es decir, el deber del responsable de cumplir con la LOPD opera como causa excepcional de legitimación y permite inferir un especial deber a la hora de garantizar los derechos de las personas cuyos datos trata incluso frente a una resolución judicial que le obligaba a una cesión de datos personales. Por tanto, cabe plantearse que los responsables sean particularmente rigurosos en la revisión de sus contratos y que sólo exista una vía posible de reconducción de esta materia que no sea otra que residenciar los tratamientos en territorio europeo o en países que cuenten con declaración de nivel de protección equiparable.

¿Y los supuestos de países que cuenten con declaración de nivel de protección equiparable?

La conclusión en esta materia es muy sencilla y de breve exposición. La mera Declaración no bastará en el futuro. La sentencia Digital Rights Ireland ¿debería obligar a revisar Declaraciones de adecuación en aquellos países que hayan dictado leyes de retención de datos en las telecomunicaciones equiparables a la fenecida Directiva 2006/24/CE? De la sentencia deriva sin duda una respuesta afirmativa.

¿Y qué sucederá con los mecanismos de certificación?

Si algo hemos aprendido de las tres sentencias dictadas, -Safe Harbor, Costeja-Google y Digital Rights Ireland-, es que el TJUE atiende no sólo a los aspectos meramente formales sino a la realidad material. Y no sólo esto, apunta claramente a la garantía del derecho fundamental a la protección de datos como un derecho prestacional prevalente. La certificación de capacidad en el cumplimiento normativo deberá ser robusta y confiable, o no será.

¿Y para el ciudadano de a pie?

No se ha dedicado casi espacio en este trabajo a las relaciones directas responsable-afectado. En realidad no hay nada que decir, ya está todo dicho en «El mercado de la privacidad». Puesto que entre las excepciones al régimen jurídico de autorización previa de las transferencias se encuentran el bien amado consentimiento y la relación contractual, bastará un leve cambio en esas políticas de privacidad que nadie lee.

Final…..

Safe Harbor será celebrado como un triunfo de la garantía del modelo europeo de privacidad. Y es cierto, en este sentido es un nuevo leading case merecedor de pasar al olimpo de las sentencias que revolucionan el Derecho para toda una generación. Pero Safe Harbor es algo más, es sin duda el certificado de defunción de un modelo legislativo en la Unión que quiso poner una vela a dios y otra al diablo, constata la lentitud de un proceso legislativo que se eterniza y que defiende una cosa sobre el papel mientras hace otra en la práctica, pone de manifiesto la carencia de rumbo y el fracaso de una norma tras otra, o la inoperancia de desarrollos como el de las cookies.

Quien lea este bloque de sentencias de modo triunfalista se equivoca. Se dibuja en el horizonte la necesidad de afinar y resolver muchos problemas en la Propuesta de Reglamento general de protección de datos y, sobre todo, de encontrar un punto de encuentro que haga viable un espacio global de privacidad. En estos días habrán leído mucho sobre cuánto nos jugamos en nuestro futuro económico, algunos escribimos sobre ello y no poco. Ahora de nuevo el Tribunal de Justicia nos hace reflexionar y nos obliga a detenernos un segundo para poner en valor un bien esencial: nuestra intimidad frente al Estado, nuestra libertad sigue en juego, y esto seguro que lo entendería cualquiera de los Padres Fundadores de la Constitución de los Estados Unidos de América.

Continúa en Safe Harbor, retos para el modelo europeo de la privacidad y la posición del Working Party