Safe Harbor, retos para el modelo europeo de la privacidad y la posición del Working Party.

La nota de prensa del Working Party art. 29 de 16 de octubre de 2014 debería servir para clarificar algunas de las preguntas planteadas por la sentencia. Sin embargo, con ciertos matices, no parece ser así. Robando una expresión recientemente compartida en un foro privado, el Grupo de Trabajo se pone de perfil. Siguiendo linealmente alguno de los argumentos manifestados pueden extraerse ciertas conclusiones que van de lo obvio a lo sencillamente sorprendente.

Algunas de ellas han sido incluso subrayadas en negrita.

«EU data protection authorities consider that it is absolutely essential to have a robust, collective and common position on the implementation of the judgment. Moreover, the Working Party will observe closely the developments of the pending procedures before the Irish High Court».

No solo las autoridades, la entera economía digital, el conjunto de las administraciones, cualquier empresa que aloje su web o sus datos en un proveedor afectado por la sentencia necesita saber con urgencia a qué atenerse. Desde el momento en el que se dicta la sentencia cada responsable sabe que su encargo del tratamiento carece de la base jurídica, de los requisitos básicos de legitimación. Y en países como España donde el régimen sancionador es muy contundente, y donde existe cancha para considerar que los tribunales puedan interpretar que el responsable ocupa una posición de garante respecto de los derechos fundamentales de los afectados, la angustia es máxima.

Sin embargo, permítame hacer gala de mi ignorancia: ¿el Grupo seguirá de cerca o estrechamente las resoluciones del Tribunal Supremo de la Republica de Irlanda? ¿Exactamente qué sentido tiene esto? La Sentencia del Tribunal de Justicia de la Unión Europea produce efectos en el conjunto de países y cada tribunal, cada autoridad en su territorio deberá aplicar las oportunas consecuencias. ¿Acaso la labor de tan respetable Tribunal será determinante?

A continuación el Grupo de Trabajo resume la sentencia, y lo sorprendente en su resumen es dónde se pone la negrita:

«First, the Working Party underlines that the question of massive and indiscriminate surveillance is a key element of the Court’s analysis. It recalls that it has consistently stated that such surveillance is incompatible with the EU legal framework and that existing transfer tools are not the solution to this issue. Furthermore, as already stated, transfers to third countries where the powers of state authorities to access information go beyond what is necessary in a democratic society will not be considered as safe destinations for transfers. In this regard, the Court’s judgment requires that any adequacy decision implies a broad analysis of the third country domestic laws and international commitments».

Resulta sorprendente este subrayado en negrita de lo periodísticamente obvio, del detonante de la acción del Sr. Schremps. Sin embargo, lo verdaderamente fundamental, lo que para Vd. he subrayado amigo lector, es otra cosa: no pueden ser considerados países seguros aquellos en los que los poderes del Estado permitan un acceso a la información personal, -a los datos personales y al secreto de las comunicaciones-, más allá de lo necesario en una sociedad democrática. Criterio, que es, curiosamente el estándar de interpretación del Tribunal Europeo de Derechos Humanos en su respecto del artículo 8.2 del Convenio Europeo de Derechos humanos. Es la idea de limitación de la privacidad como exigencia social imperiosa tan conocida en las sentencias que como Valenzuela Contreras cuestionaron una vez tras otra el modelo de interceptación de las comunicaciones en la LECRIM. Pero volviendo a nuestro objeto de estudio, lo que no se ha marcado en negrita es que EE.UU. no es seguro no por la práctica de sus empresas sino por su propia legislación. Y esto significa que no es seguro para safe Harbor, pero tampoco debería serlo para BCR, cláusulas contractuales tipo, o transferencias encargado-encargado, porque en todos esos casos las empresas destinatarias de los datos siguen inevitable e ineludiblemente sujetas a la ley FISA, entre otras.

Al margen, de una llamada a un nuevo acuerdo, por lo demás obvia y deseable y deseada por todos, la frase nuclear se encuentra perdida en el marco de un inmenso párrafo en negrita: “During this period, data protection authorities consider that Standard Contractual Clauses and Binding Corporate Rules can still be used”.

«In the meantime, the Working Party will continue its analysis on the impact of the CJEU judgment on other transfer tools. During this period, data protection authorities consider that Standard Contractual Clauses and Binding Corporate Rules can still be used. In any case, this will not prevent data protection authorities to investigate particular cases, for instance on the basis of complaints, and to exercise their powers in order to protect individuals.

If by the end of January 2016, no appropriate solution is found with the US authorities and depending on the assessment of the transfer tools by the Working Party, EU data protection authorities are committed to take all necessary and appropriate actions, which may include coordinated enforcement actions.

(…)

In any case, transfers that are still taking place under the Safe Harbour decision after the CJEU judgment are unlawful.

In order to ensure that all stakeholders are sufficiently informed, EU data protection authorities will put in place appropriate information campaigns at national level. This may include direct information to all known companies that used to rely on the Safe Harbour decision as well as general messages on the authorities’ websites».

Para que nos entendamos. Cualquier acuerdo bajo Safe Harbor es ilícito, pero las BCR y las Cláusulas contractuales Tipo se mantienen vivas al menos hasta el final de enero. Esto parece apuntar a que podríamos migrar jurídicamente hablando hacía estos modelos y mantener los tratamientos en sus condiciones actuales. No obstante, conviene no olvidar algunas cuestiones de detalle regresando al Derecho patrio.

El artículo 70 LOPD somete estas cuestiones a autorización previa si bien «se considerará que establecen las adecuadas garantías los contratos que se celebren de acuerdo con lo previsto en las Decisiones de la Comisión Europea». Pero la cosa no acaba aquí, el procedimiento del Capítulo V del Título IX del Reglamento no es un camino de rosas y dice el artículo 140 que «plazo máximo para dictar y notificar resolución será de tres meses, a contar desde la fecha de entrada en la Agencia Española de Protección de Datos de la solicitud». Es decir si Vd. presenta su contrato el lunes 19 de octubre podría obtener una respuesta el 20 de enero. Justo para entonces igual el Working Party le dice que tampoco le sirve. Y aunque al final de su nota de prensa el Grupo responsabiliza a todos en encontrar una respuesta no deja de lanzar un aviso para navegantes, aunque al parecer en este mar sólo reme el negocio y no la Administración que también tenga datos en Safe Harbor:

«In particular, in the context of the judgment, businesses should reflect on the eventual risks they take when transferring data and should consider putting in place any legal and technical solutions in a timely manner to mitigate those risks and respect the EU data protection acquis».

Es decir, si Vd. es un responsable que se encuentra inmerso en la zozobra de Safe Harbor anote en su análisis de riesgos los que derivan de las carencias del ordenamiento norteamericano en materia de protección de datos y procure cumplir con el europeo.

En resumen, el Grupo de trabajo ha venido a hacer dos cosas. La primera, recordarle a Vd. que “esto es su problema”, que le vamos a dar por buenas BCR y Cláusulas Contractuales Tipo y que en tres meses vacaciones de Navidad mediante ya veremos. Y esto, con pleno respeto a la institución y a lo que representa sencillamente no es serio.

El Tribunal de Justicia al aplicar la Carta Europea de los Derechos Fundamentales ha dado un severo toque a la Comisión y a la autoridad irlandesa por su inacción. No parece que para el Tribunal “me lo pienso unos meses a ver qué pasa sea una respuesta”. Durante años el Working Party se centró en esta materia, lean el Dictamen sobre Cloud, la vicepresidenta Reding fue muy clara el respecto, y que cabe decir de los resultados y trabajos de la Comisión LIBE. Es sencillamente sorprendente, si no inaudito, que tras tantas y tan enjundiosas críticas no haya más respuesta que un estamos trabajando en ello. Sólo que cabe pensar que el TJUE ha ido tan lejos que nadie, ni siquiera España tras Costeja, haya podido prever el escenario dantesco al que nos íbamos a enfrentar.

Y existe una segunda derivada, las empresas y administraciones que contrataron bajo el paraguas de Safe Harbor lo hicieron en la confianza legítima de respetar las leyes. No se puede despachar el tema con dos conclusiones a cual más sorprendente. La primera es que si Vd. optó por otra vía, enhorabuena “nos vale”. Si nos ponemos en la piel del Sr. Schremps tan ilícita es una transferencia vía Safe Harbor como por medio de una cláusula contractual ya que la esencia de su reclamación reside en la lesión de sus derechos por la acción de la NSA. Y claro, seguramente todos podemos imaginar a un jefe operativo en su despacho diciéndole al Sr. Smith que espíe a los del Safe Harbor, pero por Dios si es un contrato respétese la sacrosanta autonomía de la voluntad.

Y esta es la cuestión, la nota de prensa del Working Party no resuelve ninguna incertidumbre, no ofrece soluciones a largo plazo, no da ninguna respuesta. Si mañana una autoridad se niega a tutelar a un afectado que invoca la sentencia respecto de una BCR ¿Qué hará la autoridad nacional? ¿Y los tribunales? Alguien puede creer que un juez que conozca la Constitución, los Tratados y la sentencia declarará que no hay problema alguno al ser una BCR aunque se den las mismas circunstancias materiales, esto es la imposibilidad de conocer la autorización del juez del Tribunal Supremo de EE.UU. para acceder a sus datos, y la carencia de garantías equivalentes a las de la Carta Europea de Derechos Fundamentales.

Por otra parte, en este blog siempre se defendió un derecho a la protección de datos personales apegado a la realidad práctica. Aplicar la sentencia desde el punto de vista más estricto supone una migración de datos mensurables en qué ¿en zettabytes (ZB) en yottabytes (YB)? Y no sólo es una cuestión de volumen, es también una cuestión de seguridad y de calidad de la información, de interoperabilidad, de disponibilidad, de planificación temporal. Y esto no es en absoluto sencillo. Así que cuando se dice aquello de que « in the context of the judgment, businesses should reflect on the eventual risks they take when transferring data and should consider putting in place any legal and technical solutions», se debe ser consciente del coste en tiempo y esfuerzo de articular esas soluciones técnicas.

Llegados a este punto, al responsable del fichero sólo le queda ser diligente y acreditarlo de algún modo. Así, parece recomendable requerir a nuestro proveedor para exigirle que nos ofrezca alguna alternativa técnica o jurídica de modo que cuando menos podamos acreditar que empezamos a actuar. Un segundo nivel de acción debería pasar por comenzar a estudiar las exigencias de una migración de datos y documentar nuestro análisis en un plan de trabajo. El objetivo de esta segunda acción no es otro que acreditar los tiempos indispensables para poder cumplir con las exigencias de la sentencia.   El tercer nivel consistiría en tramitar de modo inmediato la correspondiente autorización de una cláusula contractual tipo. Cabe pensar, como ya se ha defendido en este blog que el juego combinado de la confianza legítima seguido de la acreditación de la diligencia exima al responsable de culpabilidad.

Por último, hay que subrayar que nunca la sentencia del TJUE dijo que las empresas hicieran algo malo. Responsables y encargados confiaron en el Derecho. Quien no hizo su trabajo fue la Comisión y las autoridades nacionales de protección de datos. Si tan claro vieron algunos el problema Safe Harbour ¿por qué no ejercieron sus potestades de investigación de oficio? ¿Por qué no activaron como señala el TJUE a sus tribunales? Hubiera bastado con una tutela de derechos, un acción concreta. En el caso del derecho al olvido sirvió.

Por ello, al menos desde un punto de vista político y ético, a las autoridades y gobiernos, a la Comisión, les toca ofrecer soluciones, cualquier acción sancionadora no sólo sería injusta.

En tal sentido, en el caso nacional aunque jurídicamente resulte tan dudoso como el propio criterio del Working Party, sigo pensando que una Instrucción podría ofrecer algo de seguridad jurídica. En tal sentido las instrucciones sirven «para adecuar los tratamientos» a los principios de la LOPD. Habiéndose producido de facto un contexto en el que tratamientos inicialmente válidos deben adecuarse a la ley, promulgar una Instrucción permitiría dibujar un escenario de seguridad jurídica que ayudase a los responsables, definiese condiciones procedimentales y materiales razonables y evitase un aumento de la conflictividad en forma de denuncias.