El aleteo de una mariposa se puede sentir al otro lado del mundo. Esto es lo que más de uno pensó cuando el pasado 6 de octubre de 2015 el Tribunal de Justicia de la Unión Europea ponía punto y final al “Safe Harbor” al declarar “inválida” la Decisión 2000/520.
Una decisión que ha dejado en el aire a todas las transferencia de miles de datos personales que son objeto de tratamiento realizadas desde la Unión Europea a terceros países, y que tiene una relevancia considerable si tenemos presente que la mayoría de los grandes servidores de internet se encuentran en Estados Unidos.
¿El origen de ese aleteo? Un usuario de Facebook. Maximillian Schrems, un ciudadano austriaco que presentó una demanda frente a Facebook (entre otras) por la transferencia que ésta hacía de sus datos a Irlanda, solicitando que se hicieran cumplir las normas sobre transferencia, uso y protección de datos personales. Los Tribunales irlandeses consideraron que el tratamiento que hacia la red social de aquellos, respondía a objetivos legítimos, por lo que Schrems terminó llevando la causa ante la Justicia Europea.
Por su parte, la Gran Sala del TJUE ha mostrado un criterio diametralmente opuesto al de la justicia irlandesa destacando en su sentencia que aunque no es contrario al derecho de la Unión el hecho de que la adhesión de entidades en EEUU a los principios de puerto seguro se lleve a cabo mediante autocertificación, lo determinante para valorar si existe realmente ese “Safe Harbor” es que existan de facto “mecanismos eficaces de detección y de control que permitan identificar y sancionar en la práctica las posibles infracciones de las reglas que garantizan la protección de los derechos fundamentales”.
Y es en este aspecto donde el TJUE considera que la aplicación de la decisión flaquea, pues de un lado, no se tiene constatación de que EEUU garantice un nivel de protección adecuado y de otro, porque los principios mencionados en el párrafo anterior pueden ser limitados en aquel país en virtud de “exigencias de seguridad nacional, interés público y cumplimiento de la Ley”.
Y por si fuera poco, la Sentencia prosigue añadiendo que estas “injerencias” legitimadas por razones de orden público que permite el “Safe Harbor” no están limitadas en modo alguno, de forma y manera que los derechos fundamentales de las personas cuyos datos se transfieren a EEUU quedan prácticamente expuestas a intromisiones por parte de las autoridades de dicho país, lo cual choca frontalmente con la jurisprudencia comunitaria que defiende que en aquellos casos en los que “una normativa haga posible una injerencia en los derechos fundamentales garantizados en los artículos 7 y 8 de la Carta, debe contener reglas claras y precisas que regulen el alcance y aplicación de una medida e impongan unas exigencias mínimas, de modo que las personas cuyos datos personales resulten afectados dispongan de garantías suficientes que permitan proteger eficazmente sus datos personales contra los riesgos de abuso y contra cualquier acceso o utilización ilícitos de éste”.
Queda ahora abierto el panorama, pues aunque se avista el nuevo “Privacy Shield”, muchos aseguran que seguirá sin satisfacer las exigencias del TJUE pues aunque el Gobierno americano ha confirmado que cualquier injerencia debida a motivos de seguridad nacional tendrá establecidos límites claros, y que se ha articulado un mecanismo para canalizar y resolver las quejas de ciudadanos europeos sobre el tratamiento de sus datos personales (Ombudsperson), lo cierto es que el fallo del Tribunal Europeoestablece que “se debe considerar que una normativa que permite a las autoridades públicas acceder de forma generalizada al contenido de las comunicaciones electrónicas lesiona el contenido esencial del derecho fundamental al respeto de la vida privada garantizado por el artículo 7 de la Carta”.
Si a ello añadimos que la Administración Obama está en negociaciones para permitir tanto al FBI y la CIA compartir todas aquellas comunicaciones privadas que intercepten con otras agencias nacionales, sin necesidad de eliminar previamente los datos identificativos, es fácilmente asumible que el “Privacy Shield” no será el último acuerdo con nombre de nave espacial que conozcamos.