Consecuencias de la sentencia del TJUE sobre el reciente Caso

Anuncio
Noviembre 2015
Alerta Informativa
Consecuencias de la
sentencia del TJUE sobre
el reciente Caso
Facebook
José Domínguez
Director de Mercantil EY
Rodrigo González
Asociado Senior de Mercantil EY
Introducción
La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de
octubre de 1995, relativa a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos
datos (en adelante, La Directiva) constituye el texto de referencia, a escala
europea, en materia de protección de datos de carácter personal.
Como regla general, aunque con ciertas excepciones, en la Directiva se exige
una previa autorización para llevar a cabo una transferencia internacional de
datos personales desde un Estado Miembro a un tercer país, fuera del Espacio
Económico Europeo, que no garantice un nivel de protección adecuado.
A pesar de que los Estados Unidos de América no garantizaba un nivel
adecuado de protección, en el año 2000, la Unión Europea (en adelante, UE) y
los Estados Unidos negociaron los principios de Puerto Seguro (Safe Harbor).
La Comisión Europea reconoció entonces, a través de la Decisión 2000/520
/CE, que aquellas entidades estadounidenses adheridas a las garantías de
Puerto Seguro podían importar datos personales procedentes de la UE en
igualdad de condiciones que las empresas dentro del Espacio Económico
Europeo o aquellas jurisdicciones cuyo nivel de protección era considerado
como adecuado, sin necesidad de obtener autorización previa.
Con fecha 6 de octubre de 2015, la estructura de Puerto Seguro se ha
desmoronado. Una polémica sentencia del Tribunal de Justicia de la Unión
Europea declaró inválida la Decisión 2000/520/CE y como consecuencia de
ello, más de 4.000 empresas suscritas a este Acuerdo de Safe Harbor se han
visto afectadas teniendo que tomar las medidas oportunas para adecuarse a la
nueva situación.
I. Antecedentes
A pesar de que ciertos sectores doctrinales ya tenían serias
dudas sobre la validez operativa de los principios de Puerto
Seguro entre los Estados Unidos y la UE, el germen de la
polémica nace con la denuncia presentada por el Sr.
Maximilian Schrems (ciudadano austriaco) contra Facebook,
ante la autoridad de control irlandesa de protección de datos
(Data Protection Commissioner).
En la denuncia se argumenta que sobre la base de la
información desvelada en 2013 por Edward Snowden en
relación con las actividades de los servicios de información de
Estados Unidos (en especial, la National Security Agency o
“NSA”), se demostró que Estados Unidos no garantizaba una
protección suficiente de los datos transferidos a ese país
debido a que las actividades de vigilancia realizada por las
autoridades públicas estadounidenses se lleva a cabo de
forma masiva e indiscriminada.
La autoridad irlandesa desestimó la reclamación
argumentando que, al amparo de la Decisión 2000/520/CE,
en el marco del régimen denominado de “Puerto Seguro” o
“Safe Harbor”, Estados Unidos garantizaba, al menos para las
empresas sometidas a ese régimen, un nivel adecuado de
protección en materia de protección de los datos de carácter
personal.
Ante la desestimación de la reclamación, el Sr. Schrems
terminó apelando ante el Tribunal Supremo Irlandés con en
los mismos argumentos recogidos en la denuncia presentada
ante la autoridad de control irlandesa. Este Tribunal, que
conoce el asunto, planteó una cuestión prejudicial sobre la
validez de la Decisión 2000/520/CE ante el Tribunal de
Justicia de la Unión Europea (TJUE).
II. La sentencia del Tribunal de Justicia
de la Unión Europea
A raíz de la cuestión prejudicial planteada, el TJUE se
pronunció en una sentencia de fecha 6 de octubre de 2015 y
falló que la Decisión 2000/520/CE es inválida considerando
que, si un país tercero garantiza un nivel de protección
adecuado de los datos transferidos no puede dejar sin efecto
ni limitar las facultades de las que disponen las autoridades
nacionales de control en consonancia con la Carta de
Derechos Fundamentales de la UE y la Directiva.
En primer lugar, el TJUE recalcó que es la Comisión Europea
quien está obligada a comprobar si los Estados Unidos
garantiza un nivel adecuado de protección en función de su
legislación interna o de sus compromisos internacionales,
equivalente al existente en la Unión Europea en virtud de la
Directiva.
En Estados Unidos, las exigencias para la seguridad nacional,
interés público y cumplimiento de la ley, prevalecen sobre el
régimen de Puerto Seguro. De este modo, las empresas en
Estados Unidos, están obligadas a dejar de aplicar, sin
limitación, las reglas de protección previstas por ese régimen
cuando entren en conflicto con las exigencias para la
seguridad nacional.
El Tribunal observó que dado que existe una normativa que
permite a las autoridades públicas acceder de forma
generalizada, sin ninguna diferenciación, limitación o
excepción, al contenido de las comunicaciones electrónicas,
se lesiona el contenido esencial del derecho fundamental de
intimidad de los ciudadanos por parte de las autoridades
públicas estadounidenses y, por tanto, también por parte de
las entidades, adheridas o no, a los principios de Puerto
Seguro.
A la vista de estos razonamientos jurídicos, el TJUE declaró
finalmente inválida la Decisión 2000/520/CE sobre la cual se
amparaban los principios de Puerto Seguro.
III. Alternativas a la luz de la sentencia
A la luz de la sentencia, las empresas españolas que, por
diversas circunstancias, venían realizando o tienen previsto
realizar transferencias internacionales a Estados Unidos al
amparo de la Decisión 2000/520/CE tendrán que,
necesariamente, reconsiderar su estrategia de transferencia
internacional de datos de carácter personal y valorar la gama
de mecanismos alternativos bajo las cuales los datos
personales pueden ser transferidos legalmente a Estados
Unidos.
En España, al igual que en la Directiva, la regla general exige
una autorización por parte de la Directora de la Agencia de
Protección de Datos, aunque existen excepciones reguladas
en la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal. Particularmente,
las excepciones más destacadas y de más frecuente uso se
aplican cuando la transferencia internacional:
►
Resulte de la aplicación de tratados o convenios en los
que sea parte España.
►
Sea necesaria para la ejecución de un contrato entre
el afectado y el responsable del fichero o para la
adopción de medidas precontractuales adoptadas a
petición del afectado.
►
Sea necesaria para la celebración o ejecución de un
contrato celebrado o por celebrar, en interés del
afectado, por el responsable del fichero y un tercero.
►
Y por último, cuando el afectado haya dado su
consentimiento inequívoco a la transferencia prevista.
Consecuencias de la sentencia del TJUE sobre el reciente Caso Facebook | Noviembre 2015
Página 2 de 4
En caso de no aplicar las excepciones anteriormente
señaladas, será necesario iniciar un procedimiento de
autorización ante la Directora de la Agencia Española de
Protección de Datos.
A esos efectos, conviene señalar que las formulas existentes
para legitimar transferencias internacionales de datos a un
país que no ofrece un nivel adecuado de protección son las
siguientes:
►
Las cláusulas contractuales tipo.
►
Las Binding Corporate Rules (en adelante, BCR).
Las cláusulas contractuales tipo
El procedimiento de autorización de transferencia
internacional se iniciará con la presentación por parte de los
interesados, ante la Agencia Española de Protección de
Datos, de un contrato firmado por el exportador y el
importador de datos cuyo núcleo lo componen unas cláusulas
contractuales tipo aprobadas por la Comisión Europea e
incluidas en varias decisiones dependiendo de la figura que
desempeñe el importador de datos.
Es decir, se aplicarán unas cláusulas para la relación entre
responsables del tratamiento y otras para la relación entre un
responsable y un encargado del tratamiento.
Este tipo de procedimiento es el más común y está pensado
para transferencias concretas que, en su caso, serán
autorizadas de modo particular. Desde luego son también las
escogidas por la mayoría de las empresas porque el coste,
tiempo y burocracia es bastante menor que en el supuesto de
las BCR que veremos a continuación.
Binding Corporate Rules
A diferencia de las cláusulas modelo, las BCR son unas
normas corporativas de obligado cumplimiento para todas las
compañías de un mismo grupo empresarial y donde los
importares y exportadores pueden ser varios, de varios
países, ofrezcan o no un nivel adecuado de protección. Estas
normas corporativas permiten la transferencia internacional
de datos entre sociedades de un grupo multinacional de
empresas, respetando los principios generales de protección
de datos.
Lo más positivo de este sistema es que pretende instaurar en
el seno de una corporación multinacional un conjunto de
prácticas que recogen los principios básicos de protección de
datos, respectando la intimidad de los afectados y realizando
el tratamiento de los mismos con las suficientes medidas de
seguridad.
autorizaciones o consideraciones deberían ser seguidas, al
menos, por el resto de autoridades europeas.
Los criterios para la redacción y composición de unas BCR se
recogen en varios documentos emitidos por el Grupo de
Trabajo creado a partir del artículo 29 de la Directiva
especializado en temas de protección de datos.
En estos documentos se establece el contenido mínimo de las
BCR para configurar a los principios esenciales de protección
de datos dentro del grupo de empresas afectado.
En cuanto a las ventajas de éste procedimiento es destacable
que son más flexibles que las cláusulas modelo, que son una
buena solución a largo plazo para las transferencias
internacionales intra-grupo y son explícitamente compatibles
con las reglas transfronterizas de privacidad entre Asia y el
Pacífico.
IV. Conclusiones
Habrá que esperar a los pronunciamientos de las distintas
Autoridades Europeas de Protección de Datos pero, las
compañías españolas que están transfiriendo datos al amparo
del Puerto Seguro deberán valorar si las transferencias se
ajustan a las excepciones a la autorización o, en caso
contrario valorar cuál sería el procedimiento más adecuado
como las BCR o las Cláusulas contractuales tipo, con el fin de
actualizar y adecuar su situación antes del 29 de enero de
2016.
A partir de esa fecha la AEPD ya ha advertido de forma
general, y lo está haciendo de forma particular a todos los
afectados, que comenzará a ejercitar acciones coercitivas
contra las empresas que hayan regularizado su situación.
Cómo puede ayudar EY
El equipo de Nuevas tecnologías y Protección de datos de EY,
líder mundial en servicios profesionales multidisciplinares,
ofrece su experiencia y know-how para resolver cualquier
duda que pueda tener al respecto, proporcionar soluciones y
prestar su apoyo a la hora de tomar decisiones, bajo las
premisas de calidad y compromiso que nos distinguen.
Puede consultar las últimas alertas fiscales y legales en nuestro
Centro de Estudios EY
El procedimiento se inicia ante una autoridad de protección
de datos en la UE que será quien actué como líder y cuyas
Consecuencias de la sentencia del TJUE sobre el reciente Caso Facebook | Noviembre 2015
Página 3 de 4
EY | Assurance | Tax | Transactions | Advisory
Acerca de EY
EY es líder mundial en servicios de auditoría, fiscalidad,
asesoramiento en transacciones y consultoría. Los
análisis y los servicios de calidad que ofrecemos ayudan
a crear confianza en los mercados de capitales y las
economías de todo el mundo. Desarrollamos líderes
destacados que trabajan en equipo para cumplir los
compromisos adquiridos con nuestros grupos de
interés. Con ello, desempeñamos un papel esencial en
la creación de un mundo laboral mejor para nuestros
empleados, nuestros clientes y la sociedad.
EY hace referencia a la organización internacional y
podría referirse a una o varias de las empresas de
Ernst & Young Global Limited y cada una de ellas es una
persona jurídica independiente. Ernst & Young Global
Limited es una sociedad británica de responsabilidad
limitada por garantía (company limited by guarantee) y
no presta servicios a clientes. Para ampliar la
información sobre nuestra organización, entre en
ey.com.
© 2015 Ernst & Young Abogados, S.L.P.
Todos los derechos reservados.
ED None
La información recogida en esta publicación es de
carácter resumido y solo debe utilizarse a modo
orientativo. En ningún caso sustituye a un análisis en
detalle ni puede utilizarse como juicio profesional. Para
cualquier asunto específico, se debe contactar con el
asesor responsable.
ey.com/es
Twitter: @EY_Spain
Linkedin: EY
Facebook: EY Spain Careers
Google+: EY España
Flickr: EY Spain
Consecuencias de la sentencia del TJUE sobre el reciente Caso Facebook | Noviembre 2015
Página 4 de 4
Descargar