Durante mucho tiempo LVCENTINVS contó con una sección informal dedicada a los problemas legales de Google (que en su día, conllevó la publicación de un libro). Como las cosas sigan así, Facebook va a ser merecedor de una sección similar. Aparte del asunto C-362/14, “Schrems”, sobre el cual el Abogado General acaba de presentar sus conclusiones, y que será objeto específico de este comentario, que sepamos Facebook tiene litigios abiertos ante las autoridades de protección de datos de Bélgica (y aqui), España, Francia, Holanda y Alemania. Desafortunadamente, en el caso de Facebook, todos sus problemas legales están referidos a protección de datos personales (lo que desaconseja un hipotetico libro), con la excepción (que yo sepa) de esta bella decisión francesa sobre la nulidad de las clausulas de sumisión a los tribunales de California que incluyen en sus Terminos de Uso.

El asunto “Schrems” ha estado bajo el radar de LVCENTINVS desde sus inicios pero, por desgracia, Aurelius no ha encontrado el momento para contarlo como la audiencia lvcentina se merece. El caso tiene tintes de novela de espias pues involucra al mismisimo Edward Snowden, y sus repercusiones pueden ser enormes para miles de empresas tecnológicas estadounidenses que hacen negocios en Europa. Por esta razón, espero que la audiencia me perdone este post excepcionalmente largo.

Antecedentes

Todo comienza en Austria, país de residencia de Maximilian Schrems, estudiante de Derecho que un buen día decide hacer un trabajo sobre la politica de privacidad de Facebook. Para ello, hace uso de su derecho de acceso y pregunta a la empresa estadounidense por la utilización que se había llevado a cabo de sus datos personales. Ello le permite observar que, presuntamente, Facebook había violado unos cuantos derechos reconocidos en la Directiva 95/46. Desde entonces (año 2012) Max Schrems está incordiando a Facebook con sus reivindicaciones. A Schrems sólo le faltaban las relevaciones de un tipo llamado Edward Snowden según las cuales la National Security Agency (NSA) estadounidense, en el marco de su programa PRISM, llevaba a cabo un monitoreo generalizado de los datos personales que se almacenaban en servidores localizados en Estados Unidos por parte de empresas tecnológicas tales como Apple, Google o Facebook.

Mientras el resto del mundo nos escandalizábamos ante estas revelaciones, Maximilian Schrems decide plantear dos demandas judiciales contra Facebook Irlanda (filial de la empresa estadounidense en Europa): una ante los tribunales de Austria, y otra ante el Comisario de protección de datos de Irlanda. Además, Schrems abre un sitio web en el que invita a otros afectados por las politicas de privacidad de la empresa a adherirse a la demanda en Austria.

Tal y como se recoge en su sitio web, lo que se argumenta en dichas demandas es lo siguiente:

  • La politica de privacidad de Facebook es invalida de acuerdo con el Derecho UE
  • La ausencia de un consentimiento efectivo para muchos tipos de uso de los datos por parte de Facebook
  • Apoyo de FB a programa PRISM de la NSA
  • Rastreo de los usuarios de paginas externas a través de los botones “Like”.
  • Monitoreo y analisis de datos de usuarios mediante sistemas de big data
  • La introducción ilícita de ‘Graph Search’
  • Transferencia no autorizada de datos de usuarios a aplicaciones de terceros.

La demanda ante los tribunales austriacos

En el proceso en Austria, los demandantes son 25.000 (si bien pueden hay 35.000 esperando a adherirse al proceso más adelante). Cada uno solicita EUR 500 de indemnización. Desafortunadamente para Schrems y sus aliados, la demanda ha sido rechazada en primera instancia. Por los datos que tengo, presumo que el tribunal entiende que la demanda no está referida a con un contrato celebrado por consumidores por lo que el art. 18 R. Bruselas I, que atribuye la competencia a los tribunales a los tribunales del domicilio del consumidor, no es aplicable. Del mismo modo entiende que Austria no es el lugar donde se cometen los hechos dañosos (la infracción de derecho a la intimidad de los demandantes), por lo que también se rechaza la jurisdiccion en base al actual Art. 7.2. Por esa razón indica a los demandantes que la reclamación debe presentarse ante los tribunales de Dublin, por ser el domicilio de Facebook Irlanda (art. 4). Es conocido que Schrems va a recurrir la decisión.

El proceso en Irlanda

El proceso abierto en Irlanda, se centra en la compatibilidad de la transferencia de datos personales por parte de FB Irlanda a FB Inc (USA) con la Directiva 95/46 y la Decisión 2000/520. Gracias a la armonización de mínimos de las legislaciones de los Estados miembros llevada a cabo por la Directiva 95/46 – instrumento que, como es conocido está en proceso de ser sustituido por un Reglamento sobre cuyo contenido ya hay acuerdo en el Consejo –, la transferencia de datos entre empresas localizadas en diferentes Estados miembros está liberalizada (es lo que algún autor ha denominado libre circulación de datos en la UE). Ahora bien, como indica el Art. 25 de esa Directiva, la transferencia de datos a empresas de terceros Estados sólo es posible si el Estado de destino garantiza un nivel adecuado de protección de los datos personales. Dicha disposición también indica que la Comisión Europea puede establecer, mediante decisiones, si determinados Estados ofrecen ese nivel adecuado de protección. Estados Unidos es uno de los países sobre los cuales existe una de esas decisiones, la Decisión 2000/520 relativa a los Principios de Puerto Seguro (Safe Harbor Principles, los cuales no deben ser confundidos con otros “Safe Harbors”, aplicables en materia de responsabilidad de los PSI). De acuerdo con esta Decisión, se admite la transferencia de datos personales a empresas estadounidenses que se han adherido a estos principios (a dia de hoy, casi 4000 empresas se han adherido), los cuales garantizan un nivel adecuado de protección de los datos personales de los usuarios europeos.

En vista de los datos aportados por Snowden, no hacía falta ser muy listo para darse cuenta que los datos transferidos por Facebook Irlanda a Facebook Inc. estaban siendo objeto de una utilización que contravenía claramente esos principios de puerto seguro. No obstante, el Comisario irlandés de protección de datos personales desestima la denuncia del señor Schrems por “insustancial y temeraria” pues estaba abocada al fracaso por cuanto carecía de fundamento jurídico.

El señor Schrems recurre la decisión del comisario ante la High Court, la cual observa que el Comisario había interpretado que la Decisión 2000/520 no le dejaba otra opción: la Decisión es una constatación por parte de la Comisión Europea de que Estados Unidos ofrece un nivel de protección adecuado de los datos personales, por lo que el comisario debía necesariamente archivar una denuncia en la que se alega que el nivel es inadecuado. Entendía el Comisario que, como la decision ya establece que el nivel de protección es adecuado, él no tenía competencia para entrar a investigar si, en el caso concreto, ese era o no el caso.

La cuestion prejudicial ante el TJUE

Afortunadamente, la High Court no se limitó a confirmar la legalidad de la actuación del Comisario. Ante la gravedad de las revelaciones del señor Snowden y la obviedad de la infracción de un buen número de derechos fundamentales recogidos en la Constitución irlandesa y la Carta de Derechos Fundamentales de la Unión Europea (la Carta) – en particular art. 7, derecho al respeto a  la vida privada; art. 8, derecho a la protección de los datos personales), decidió presentar una cuestión prejudicial ante el Tribunal de Justicia de la Unión Europea (TJUE). En dicha cuestión, la High Court pregunta:

a) si, habida cuenta de los arts. 7, 8 y 48 de la Carta, las autoridades nacionales están vinculados por los términos absolutos en los que se pronuncia la Decisión 2000/520 sobre la adecuación de la protección ofrecida a los datos personales en los Estados Unidos

b) Si las autoridades nacionales pueden llevar a cabo su propia investigación a la luz de la evolución de los hechos que han tenido lugar desde la adopción de la Decisión en 2000.

En sus conclusiones, en relación con la primera pregunta, el Abogado General afirma que los poderes de las autoridades nacionales de protección de datos están por encima de las decisiones adoptadas por la Comisión y que dichas autoridades tienen competencia para bloquear una transferencia particular si consideran que los derechos fundamentales de un particular no quedan suficientemente protegidos. Estos son algunos extractos de las Conclusiones:

“La directiva 95/46 tiene el objetivo de asegurar un alto nivel de protección de las libertades y los derechos fundamentales de las personas físicas, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales dentro de la Unión”. […] “Las autoridades de control previstas en el artículo 28 de la Directiva 95/46 son las guardianas de los mencionados derechos y libertades fundamentales”. […] “Habida cuenta de la importancia del papel que desempeñan las autoridades de control nacionales, sus facultades de intervención deben permanecer íntegras aun cuando la Comisión haya adoptado una decisión sobre la base del artículo 25, apartado 6, de la Directiva 95/46”.

“Si las autoridades de control nacionales estuvieran vinculadas en términos absolutos por las decisiones adoptadas por la Comisión, su total independencia se vería inevitablemente cercenada. Por su papel de guardianas de los derechos fundamentales, las autoridades de control nacionales deben poder investigar, con total independencia, las reclamaciones que se les presenten, en aras del interés superior de la protección de las personas físicas en lo que respecta al tratamiento de datos personales”.

“Las autoridades de control nacionales deben poder llevar a cabo esas investigaciones y, en su caso, suspender una transferencia de datos, con independencia de los requisitos restrictivos establecidos en el artículo 3, apartado 1, letra b), de la Decisión 2000/520”.

“Las decisiones de la Comisión cumplen una función importante en aras de la uniformidad de los requisitos de transferencia válidos dentro de los Estados miembros”. Sin embargo, este argumento “halla su límite en una situación como la controvertida en el procedimiento principal”. “Cuando concurren circunstancias particulares que ponen seriamente en entredicho el respeto de los derechos fundamentales garantizados por la Carta en el marco de una transferencia de datos personales a un país tercero, los Estados miembros y, por ende, sus autoridades de control nacionales, no pueden estar vinculados en términos absolutos por una decisión de adecuación de la Comisión”.

El Abogado General va más allá y en respuesta a la segunda pregunta, afirma que los Principios de Puerto Seguro ya no ofrecen un nivel adecuado de protección de los datos personales y que los mismos deberían haber sido derogado por la Comisión Europea. La razón principal es que el acceso del que disfrutan los servicios de inteligencia estadounidenses en relación con estos datos es demasiado amplio y desproporcionado, y que los Principios no contienen las garantías apropiadas para prevenir este nivel de acceso ni para que los particulares puedan reclamar de manera efectiva sus derechos si estos son violados. El Abogado General señala que la propia Comisión es consciente de este problema y que, por eso, está llevando a cabo negociaciones con las autoridades estadounidenses que acaben con estos problemas. Así lo explica:

Las excepciones a los principios del régimen de puerto seguro que figuran en el anexo I, párrafo cuarto, de la Decisión 2000/520 dicen lo siguiente: «la adhesión a [los] principios [de puerto seguro] puede, no obstante, limitarse: a) cuanto sea necesario para cumplir las exigencias de seguridad nacional, interés público y cumplimiento de la ley; b) por disposición legal o reglamentaria, o jurisprudencia que originen conflictos de obligaciones o autorizaciones explícitas, siempre que las entidades que recurran a tales autorizaciones puedan demostrar que el incumplimiento de los principios se limita a las medidas necesarias para garantizar los intereses legítimos esenciales contemplados por las mencionadas autorizaciones»),

Estas excepciones suponen una injerencia a los derechos fundamentales protegidos por los artículos 7, 8 y 47 de la Carta. “La injerencia detectada resulta de gran magnitud y debe considerarse especialmente grave, habida cuenta del elevado número de usuarios afectados y de las cantidades de datos transferidos”. A ello se le suma “el carácter secreto del acceso por parte de las autoridades estadounidenses a los datos personales” y “la circunstancia de que los ciudadanos de la Unión, usuarios de Facebook, no están informados de que las agencias de seguridad estadounidenses podrán acceder de manera general a sus datos personales”. “En Estados Unidos, los ciudadanos de la Unión no tienen un derecho efectivo a ser oídos en relación con la vigilancia y la interceptación de sus datos”. “No está prevista la posibilidad de que los ciudadanos de la Unión puedan acceder a sus datos, rectificarlos o suprimirlos, ni obtener reparación administrativa o judicial, en lo que respecta a la recogida y el tratamiento posterior de sus datos personales en virtud de los programas de vigilancia estadounidenses”. “[L]asnormas estadounidenses relativas a la protección de la vida privada pueden ser objeto de una aplicación diferenciada entre los ciudadanos estadounidenses y los ciudadanos extranjeros”. En fin, no existe “en el marco del régimen de puerto seguro previsto por la Decisión 2000/520, una autoridad independiente que pueda controlar que la aplicación de las excepciones a los principios de puerto seguro se ciña a los casos estrictamente necesarios”.

De lo anterior resulta que la Decisión 2000/520 no establece reglas claras y precisas que regulen el alcance de la injerencia en los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta. Por lo tanto, debe considerarse que esta Decisión y la aplicación que se hace de ella suponen una injerencia en los derechos fundamentales de gran magnitud y especial gravedad en el ordenamiento jurídico de la Unión, que no está regulada de manera precisa por disposiciones que permitan garantizar que se limita efectivamente a lo estrictamente necesario.

Por consiguiente, procede declarar la nulidad de dicha Decisión.

¿Y que va a pasar ahora (aparte de la alegría momentánea de la que disfruta Mr. Schrems)?

Como opinan en Hogan Lovells, las empresas estadounidenses no deberían experimentar problemas para la transferencia de datos a USA por cuanto, hasta que el TJUE no adopte una sentencia, los Principios se van a seguir considerando válidos. Ahora bien, las autoridades nacionales se van a sentir más legitimadas para intervenir estas transferencias en casos particulares. El problema es que el Tribunal ha agendado la publicación de la decisión para el 9 de octubre (gracias, Gilberto).

Mientras tanto, ya hemos asistido a las quejas del gobierno de USA (gracias Rodrigo), el cual discute todas las afirmaciones sobre el programa PRISM que el Abogado General da por probadas;  y muy probablemente asistiremos a un incremento en las proclamas por parte del lobby de las empresas tecnológicas estadounidenses de que el sistema legal de la UE se está “rediseñando” para obstaculizar las actividades comerciales de estas empresas en Europa.

Si el Tribunal confirma la opinión del Abogado General, resultará preciso negociar un nuevo Acuerdo sobre los Principios de Puerto Seguro para legitimar las transferencias de datos UE-USA. De hecho, esas negociaciones están en proceso desde 2013, año en el que la Comisión Europea publicó su plan de 13 puntos para reforzar los principios de puerto seguro. A principios de septiembre 2015, la Comisión y el Departamento de Justicia de USA anunciaron que el llamado “Umbrella Agreement” sobre la protección de datos personales en materia de cooperación en el cumplimiento de la ley estaba finalizado. Este acuerdo no sustituye sino que complementa la Decisión 520/2000. Un aspecto importante sobre el que trata este acuerdo tiene que ver con el derecho de los ciudadanos europeos a presentar reclamaciones contra las violaciones de sus derechos por parte de las autoridades estadounidenses. Este aspecto es citado expresamente por el Abogado General en sus Conclusiones. Pues bien, para garantizar el cumplimiento de lo que dice el acuerdo, el Congreso USA está considerando una modificación del Judicial Redress Act para otorgar a los ciudadanos europeos este derecho.

En vista del hipotético contenido de la futura sentencia del TJUE, el contenido del nuevo Acuerdo sobre los Principios de Puerto Seguro deberá ser sustancialmente diferente al actual, al menos en relación con la manera de tratar las excepciones sobre seguridad nacional y cumplimiento de la ley. Las partes negociadoras deberán llevar mucho cuidado de que el acuerdo cumpla con la decisión que adopte el TJUE pues de lo contrario se correría el riesgo de que si alguna de las instituciones europeas o algún tribunal nacional cuestiona la compatibilidad del acuerdo con los Tratados UE, este deba volver a negociarse. Además, en vista del poder que se otorga a las autoridades nacionales, las partes negociadoras deben garantizar que las expectativas de estas autoridades se ven reflejadas en el texto del acuerdo. De lo contrario, podrían dejar de aplicarlo en un caso concreto.

Debe recordarse, además, que la necesidad imperiosa de negociar ese acuerdo surge en el momento en que se está negociando el Transatlantic Trade and Investment Treaty, por lo que no sería de extrañar que hubieran implicaciones mutuas.

En la medida en que las negociaciones de ese nuevo acuerdo se prevén larga, ¿hay algo qué puedan hacer las empresas estadounidenses mientras tanto?

La respuesta es que sí, por cuanto hay mecanismos alternativos para legitimar la transferencia de datos personales a terceros Estados o, específicamente, a Estados Unidos. No obstante, no es posible saber hasta que punto pueden ser efectivos.

En primer lugar, aunque resulta muy costoso, siempre es posible recabar el consentimiento del interesado para la transferencia de sus datos personales, informandole claramente del uso que se puede realizar de los mismos. Además, será preciso guardar copia de esos consentimiento para el caso de reclamaciones.

En segundo lugar,  en atención al Art. 26.4 D. 95/46 se puede hacer uso de los contratos modelo para la transferencia internacional de datos aprobados por la Comisión Europea y que garantizan que el nivel de protección que las empresas involucradas en la transferencia va a cumplir con los standards europeos. Ahora bien, el proceso para la aprobación de estos puede ser complicado y llevar tiempo.

En tercer lugar, para las transferencias entre empresas de un mismo grupo (como sería el caso entre Facebook Irlanda y Facebook USA) puede utilizarse las llamadas Binding Corporate Rules (“BCRs”), cuya aprobación debe solicitarse ante la agencia nacional de protección de datos correspondiente y puede tomar, en opinión de algunos seis meses y de otros, años.

Ahora bien, tanto la segunda como la tercera opción se enfrenta a un serio problema: en ambos casos se precisa que el nivel de protección al que se comprometen las empresas sea similar al establecido en la Directiva 95/46. Pero, ¿que ocurre si una sociedad estadounidense que ha firmado uno de estos contratos es contactada por la NSA u otro organismo de USA para que les conceda acceso a los datos personales de sus clientes europeos? No es posible pensar que estas empresas puedan invocar estos contratos para negarse a colaborar con estos organismos, por lo que nos encontramos con el mismo problema que los principios de puerto seguro.

Está por ver si el “Umbrella Agreement” y los nuevos Principio de Puerto Seguro solucionan este problema pero, en tal caso, ya no harán falta ni los contratos modelo ni los BCRs.

En fin, un bonito asunto, cuyas consecuencias son todavía impredecibles. Veremos lo que pasa el 9 de octubre. Gracias, Mr. Schrems.

Dejar respuesta

Please enter your comment!
Please enter your name here

Time limit is exhausted. Please reload CAPTCHA.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.