Safe Harbor: Más olfato, más Europa, más humildad

Publicado por el oct 23, 2015

Compartir

El trasfondo de la crucial sentencia del Tribunal de Justicia de la UE en el asunto Schrems c. Facebook es, como se sabe, la Decisión 520/2000/CE, que declaraba conformes al “estándar adecuado” de protección de datos las transferencias efectuadas a aquellas empresas norteamericanas que se hubieran acogido a los principios establecidos en dicha Decisión, el procedimiento habitualmente conocido como Safe Harbor (o “puerto seguro”).

En su sentencia, el TJUE concluye que el hecho de que la Comisión haya determinado un estándar adecuado de protección conforme a Safe Harbor no excluye la posibilidad de que una autoridad nacional de protección de datos examine la legalidad de una transferencia llevada a cabo con arreglo a ese esquema.

En segundo lugar, el Tribunal declara derechamente inválida la Decisión 520/2000/CE, como quiera que, a su entender, y pese a la pre-estimación de la Comisión, los EE.UU. no garantizan un estándar adecuado de protección para la privacidad de los europeos. El Tribunal no aludió por supuesto de forma explícita a las filtraciones de Snowden (quien por cierto se apresuró a felicitar a Schrems por su victoria). No obstante, la sentencia basa el grueso de su argumentación en que las razones de seguridad nacional que facultan el acceso de las autoridades estadounidenses a las comunicaciones electrónicas resultan desproporcionadas, lo que en el fondo corrobora el hecho de que Snowden ha resultado determinante en la resolución del Tribunal.

No es de extrañar. Estas mismas páginas eran testigo hace casi dos años y medio de que las autoridades estadounidenses, con amparo en la USA Patriot Act 2001, venían operando en esta materia en modo “barra libre”, a través de accesos masivos a comunicaciones ciudadanas. Para colmo, el Tribunal encargado de fiscalizar estos accesos trabajaba con un secretismo y una laxitud impropios de un Estado democrático. Por todo ello, las revelaciones de Snowden han cargado de razón, y por tanto de “munición”, no solo a países que, como Rusia, le dan incluso asilo, sino por supuesto a quienes desde el mundo occidental propugnamos una ciberseguridad que resulte respetuosa de los derechos y libertades.

Dicho lo cual, sorprende sin embargo que el TJUE (y el propio Abogado General Yves Bot en su conclusiones previas) pase por alto, en una sentencia de octubre, una importante reforma de la legislación norteamericana en esta precisa materia, aprobada por el Congreso de los EE.UU. el 2 de junio de 2015 y promulgada por el Presidente Obama ese mismo día. La USA Freedom Act 2015, saludada por algunos senadores de aquel país como la más importante iniciativa legislativa sobre privacidad de los últimos 20 años, desactiva en efecto las dos espitas clave de los abusos en la intervención de comunicaciones electrónicas: Por un lado, no deposita ya en el Gobierno la facultad de retener las comunicaciones, sino que obliga a dicha retención a las empresas operadoras, quienes deberán garantizarla durante un máximo de 180 días. Por otro, introduce cotas de mayor transparencia en el funcionamiento del Foreign Intelligence Surveillance Court, el tribunal encargado de la supervisión, pudiendo incluso terceros personarse en sus actuaciones (por ejemplo, una asociación defensora de los derechos humanos). Ni el Abogado General ni el TJUE parecen ser conscientes de este sustancial avance en la legislación norteamericana. Si ésta era la principal razón para desautorizar a los EE.UU. como destino de los datos de los europeos, parece que ya en el mismo momento de emisión de las conclusiones del Abogado General y de la propia sentencia, tal razón había perdido, como mínimo, una dosis muy sustancial de su fuerza.

Es irónico que, casi acto seguido de las filtraciones de Snowden, comenzaran a cobrar presencia en la opinión pública mundial las atrocidades del ISIS. Su macabro manejo de las redes sociales les ha abierto una poderosa vía de transmisión de sus incalificables actos, probablemente nunca vistos desde los horrores del nazismo. Atrocidades que por supuesto rebasan el ciberdelito y hasta el ciberterrorismo, para poder llegar a calificarse como “cibergenocidio”. También estas páginas han reflejado el problema, hasta el punto de ver en él todo un cambio de paradigma, que por tanto venía exigiendo respuestas de naturaleza distinta desde el campo de la ciberseguridad.

Es obvio que así lo han entendido también los Estados europeos, entre ellos casi todos los más relevantes. Y ésta es la principal razón por la que dichos Estados han venido reforzando sus medidas de ciberseguridad. Es el caso de España, con las nuevas medidas introducidas en la Ley de enjuiciamiento criminal por LO 13/2015, y que incluyen la interceptación de comunicaciones, conservación de datos, localización de objetivos por GPS y baliza, registro remoto de dispositivos o uso del agente encubierto informático; medidas todas ellas que sin duda se contrapesan con las debidas garantías, pero que en algunos de los casos facultan actuaciones puramente gubernativas, sin autorización judicial previa. Otro tanto sucede con la nueva legislación francesa en la materia. El  Reino Unido está a punto de seguir el mismo camino. El Bundestag alemán, por su parte, aprobaba el 16 de octubre una nueva norma sobre retención de datos, que busca salvar la incertidumbre generada con la anulación de la Directiva 2006/24/CE por el TJUE en Digital Rights Ireland (abril de 2014).

Es decir, que los EE.UU. fortalecen sus medidas de privacidad, atendiendo una clamorosa necesidad. En tanto que Europa refuerza sus medidas de ciberseguridad, respondiendo a urgencias de no menor relieve. Por paradójico que resulte, Europa y EE.UU. se están pues acercando en lo que al equilibrio ciberseguridad-privacidad respecta.

Sin demasiado olfato, el Tribunal europeo parece en cambio ignorarlo, parece no estar siendo consciente de esta interesante y favorable evolución.

En efecto, la anulación de la Directiva de retención de datos se producía con insuficiente perspectiva histórica: Es bien sabido que para abril de 2014, ISIS llevaba ya tiempo sacudiendo las conciencias de la Humanidad mediante el uso del ciberespacio. Ahora tenemos a los Estados miembros reconstruyendo a escala nacional lo que Luxemburgo ha deshecho en el plano comunitario.

Por cierto que algunos de los más notorios defensores españoles del derecho al olvido han afirmado que la concepción de la privacidad que dimana de Digital Rights es la que explica la sentencia del TJUE en el caso del olvido (Costeja c. Google), emitida apenas un mes después. Sentencia que, como los asiduos de estas páginas conocen, ha descompensado en excesivo beneficio de la privacidad el más que delicado equilibrio de este derecho con las libertades de expresión y de información (y que fallos como el de nuestro Tribunal Supremo sobre hemerotecas digitales, dado a conocer el pasado 19 de octubre, no han tenido más remedio que comenzar a enmendar, por fortuna, naturalmente).

Ahora, en el caso Schrems, el Tribunal vuelve a dar señales de desorientación, en un campo especialmente necesitado de claridad y hasta de contundencia. Primero porque el ciberespacio es ya hoy absolutamente vital. Segundo porque los europeos valoran en alta estima su privacidad y saben que es justamente en Internet donde en la actualidad se halla principalmente en juego. Aunque tercero, y en no menor medida, porque el calibre de las amenazas exige respuestas legítimas desde la ciberseguridad, pero que a la vez se revelen suficientemente disuasorias.

No acaban sin embargo aquí los problemas de la sentencia Schrems c. Facebook. Su segundo aspecto clave es que, el hecho de que la Comisión pueda establecer un procedimiento como es Safe Harbor, no impide que las autoridades nacionales de protección de datos emitan juicios sobre si una determinada transferencia se acomoda o no a la normativa de protección de datos de ese concreto país. Más allá del alambicado formalismo del TJUE en su argumentación, lo cierto es que viene a suponer una desautorización en toda regla de lo que la Comisión Europea ha venido haciendo en este campo en los últimos 15 años. Nada que objetar a ello, si fallar de otro modo hubiera supuesto para el Tribunal un menoscabo de las facultades de las autoridades nacionales de protección conforme a la Directiva 95/46 (cosa de entrada discutible). Aunque es aún más discutible si a raíz de esta sentencia seguirá o no siendo posible preservar intacto el crédito de la Comisión a la hora de llegar a acuerdos fiables con terceros: Yo personalmente pienso que no y que ese crédito se resentirá. Como también dudo de que éste haya sido el fallo ideal precisamente en el momento en que se está terminando de perfilar un Reglamento de protección de datos enfilado, entre otras cosas, a reforzar la perspectiva europea, que no nacional, en la regulación de la privacidad.

Alarmado ante el -seamos francos- caos sembrado por la sentencia, el Grupo de Trabajo del artículo 29 se reunía pocos días después para, al tiempo que declarar la invalidez de toda transferencia de datos a los EE.UU., establecer una moratoria de tres meses que permita a las empresas simplemente salir a flote de este marasmo. No tendrán problemas las Facebook, o Google, o Apple. Tengo más dudas de que salgan más airosas las Pymes, que son más del 60% de las acogidas a Safe Harbor, y que constituyen las verdaderas damnificadas de la resolución. Es de esperar que puedan acomodar los gastos de asesoramiento legal en que a raíz de todo ello deban incurrir, gastos que habrán de unirse a los costes indirectos de la reacción.

En cualquier caso, es obvio que no queda otra salida que renegociar Safe Harbor. Y no veo nada mejor para ello que hacerlo con humildad por ambas partes. La norteamericana, siendo consciente de que sus empresas, por más que Asia empuje, necesitan en todo caso presencia en el mercado europeo. Aunque también hará falta humildad por parte de la Unión Europea, que no tiene la exclusiva en la protección de la privacidad y que, hemos visto, se está viendo crecientemente obligada a acotarla en aras de la seguridad.

 

 

 

Compartir

ABC.es

La ley en la Red © DIARIO ABC, S.L. 2015

Una visión en profundidad de la actualidad de Internet desde perpectivas jurídicas, sociales y políticasMás sobre «La ley en la Red»

Etiquetas
Calendario de entradas
diciembre 2016
L M X J V S D
« feb    
 1234
567891011
12131415161718
19202122232425
262728293031