Noviembre 2015 Alerta Informativa Consecuencias de la sentencia del TJUE sobre el reciente Caso Facebook José Domínguez Director de Mercantil EY Rodrigo González Asociado Senior de Mercantil EY Introducción La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, La Directiva) constituye el texto de referencia, a escala europea, en materia de protección de datos de carácter personal. Como regla general, aunque con ciertas excepciones, en la Directiva se exige una previa autorización para llevar a cabo una transferencia internacional de datos personales desde un Estado Miembro a un tercer país, fuera del Espacio Económico Europeo, que no garantice un nivel de protección adecuado. A pesar de que los Estados Unidos de América no garantizaba un nivel adecuado de protección, en el año 2000, la Unión Europea (en adelante, UE) y los Estados Unidos negociaron los principios de Puerto Seguro (Safe Harbor). La Comisión Europea reconoció entonces, a través de la Decisión 2000/520 /CE, que aquellas entidades estadounidenses adheridas a las garantías de Puerto Seguro podían importar datos personales procedentes de la UE en igualdad de condiciones que las empresas dentro del Espacio Económico Europeo o aquellas jurisdicciones cuyo nivel de protección era considerado como adecuado, sin necesidad de obtener autorización previa. Con fecha 6 de octubre de 2015, la estructura de Puerto Seguro se ha desmoronado. Una polémica sentencia del Tribunal de Justicia de la Unión Europea declaró inválida la Decisión 2000/520/CE y como consecuencia de ello, más de 4.000 empresas suscritas a este Acuerdo de Safe Harbor se han visto afectadas teniendo que tomar las medidas oportunas para adecuarse a la nueva situación. I. Antecedentes A pesar de que ciertos sectores doctrinales ya tenían serias dudas sobre la validez operativa de los principios de Puerto Seguro entre los Estados Unidos y la UE, el germen de la polémica nace con la denuncia presentada por el Sr. Maximilian Schrems (ciudadano austriaco) contra Facebook, ante la autoridad de control irlandesa de protección de datos (Data Protection Commissioner). En la denuncia se argumenta que sobre la base de la información desvelada en 2013 por Edward Snowden en relación con las actividades de los servicios de información de Estados Unidos (en especial, la National Security Agency o “NSA”), se demostró que Estados Unidos no garantizaba una protección suficiente de los datos transferidos a ese país debido a que las actividades de vigilancia realizada por las autoridades públicas estadounidenses se lleva a cabo de forma masiva e indiscriminada. La autoridad irlandesa desestimó la reclamación argumentando que, al amparo de la Decisión 2000/520/CE, en el marco del régimen denominado de “Puerto Seguro” o “Safe Harbor”, Estados Unidos garantizaba, al menos para las empresas sometidas a ese régimen, un nivel adecuado de protección en materia de protección de los datos de carácter personal. Ante la desestimación de la reclamación, el Sr. Schrems terminó apelando ante el Tribunal Supremo Irlandés con en los mismos argumentos recogidos en la denuncia presentada ante la autoridad de control irlandesa. Este Tribunal, que conoce el asunto, planteó una cuestión prejudicial sobre la validez de la Decisión 2000/520/CE ante el Tribunal de Justicia de la Unión Europea (TJUE). II. La sentencia del Tribunal de Justicia de la Unión Europea A raíz de la cuestión prejudicial planteada, el TJUE se pronunció en una sentencia de fecha 6 de octubre de 2015 y falló que la Decisión 2000/520/CE es inválida considerando que, si un país tercero garantiza un nivel de protección adecuado de los datos transferidos no puede dejar sin efecto ni limitar las facultades de las que disponen las autoridades nacionales de control en consonancia con la Carta de Derechos Fundamentales de la UE y la Directiva. En primer lugar, el TJUE recalcó que es la Comisión Europea quien está obligada a comprobar si los Estados Unidos garantiza un nivel adecuado de protección en función de su legislación interna o de sus compromisos internacionales, equivalente al existente en la Unión Europea en virtud de la Directiva. En Estados Unidos, las exigencias para la seguridad nacional, interés público y cumplimiento de la ley, prevalecen sobre el régimen de Puerto Seguro. De este modo, las empresas en Estados Unidos, están obligadas a dejar de aplicar, sin limitación, las reglas de protección previstas por ese régimen cuando entren en conflicto con las exigencias para la seguridad nacional. El Tribunal observó que dado que existe una normativa que permite a las autoridades públicas acceder de forma generalizada, sin ninguna diferenciación, limitación o excepción, al contenido de las comunicaciones electrónicas, se lesiona el contenido esencial del derecho fundamental de intimidad de los ciudadanos por parte de las autoridades públicas estadounidenses y, por tanto, también por parte de las entidades, adheridas o no, a los principios de Puerto Seguro. A la vista de estos razonamientos jurídicos, el TJUE declaró finalmente inválida la Decisión 2000/520/CE sobre la cual se amparaban los principios de Puerto Seguro. III. Alternativas a la luz de la sentencia A la luz de la sentencia, las empresas españolas que, por diversas circunstancias, venían realizando o tienen previsto realizar transferencias internacionales a Estados Unidos al amparo de la Decisión 2000/520/CE tendrán que, necesariamente, reconsiderar su estrategia de transferencia internacional de datos de carácter personal y valorar la gama de mecanismos alternativos bajo las cuales los datos personales pueden ser transferidos legalmente a Estados Unidos. En España, al igual que en la Directiva, la regla general exige una autorización por parte de la Directora de la Agencia de Protección de Datos, aunque existen excepciones reguladas en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Particularmente, las excepciones más destacadas y de más frecuente uso se aplican cuando la transferencia internacional: ► Resulte de la aplicación de tratados o convenios en los que sea parte España. ► Sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado. ► Sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero. ► Y por último, cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista. Consecuencias de la sentencia del TJUE sobre el reciente Caso Facebook | Noviembre 2015 Página 2 de 4 En caso de no aplicar las excepciones anteriormente señaladas, será necesario iniciar un procedimiento de autorización ante la Directora de la Agencia Española de Protección de Datos. A esos efectos, conviene señalar que las formulas existentes para legitimar transferencias internacionales de datos a un país que no ofrece un nivel adecuado de protección son las siguientes: ► Las cláusulas contractuales tipo. ► Las Binding Corporate Rules (en adelante, BCR). Las cláusulas contractuales tipo El procedimiento de autorización de transferencia internacional se iniciará con la presentación por parte de los interesados, ante la Agencia Española de Protección de Datos, de un contrato firmado por el exportador y el importador de datos cuyo núcleo lo componen unas cláusulas contractuales tipo aprobadas por la Comisión Europea e incluidas en varias decisiones dependiendo de la figura que desempeñe el importador de datos. Es decir, se aplicarán unas cláusulas para la relación entre responsables del tratamiento y otras para la relación entre un responsable y un encargado del tratamiento. Este tipo de procedimiento es el más común y está pensado para transferencias concretas que, en su caso, serán autorizadas de modo particular. Desde luego son también las escogidas por la mayoría de las empresas porque el coste, tiempo y burocracia es bastante menor que en el supuesto de las BCR que veremos a continuación. Binding Corporate Rules A diferencia de las cláusulas modelo, las BCR son unas normas corporativas de obligado cumplimiento para todas las compañías de un mismo grupo empresarial y donde los importares y exportadores pueden ser varios, de varios países, ofrezcan o no un nivel adecuado de protección. Estas normas corporativas permiten la transferencia internacional de datos entre sociedades de un grupo multinacional de empresas, respetando los principios generales de protección de datos. Lo más positivo de este sistema es que pretende instaurar en el seno de una corporación multinacional un conjunto de prácticas que recogen los principios básicos de protección de datos, respectando la intimidad de los afectados y realizando el tratamiento de los mismos con las suficientes medidas de seguridad. autorizaciones o consideraciones deberían ser seguidas, al menos, por el resto de autoridades europeas. Los criterios para la redacción y composición de unas BCR se recogen en varios documentos emitidos por el Grupo de Trabajo creado a partir del artículo 29 de la Directiva especializado en temas de protección de datos. En estos documentos se establece el contenido mínimo de las BCR para configurar a los principios esenciales de protección de datos dentro del grupo de empresas afectado. En cuanto a las ventajas de éste procedimiento es destacable que son más flexibles que las cláusulas modelo, que son una buena solución a largo plazo para las transferencias internacionales intra-grupo y son explícitamente compatibles con las reglas transfronterizas de privacidad entre Asia y el Pacífico. IV. Conclusiones Habrá que esperar a los pronunciamientos de las distintas Autoridades Europeas de Protección de Datos pero, las compañías españolas que están transfiriendo datos al amparo del Puerto Seguro deberán valorar si las transferencias se ajustan a las excepciones a la autorización o, en caso contrario valorar cuál sería el procedimiento más adecuado como las BCR o las Cláusulas contractuales tipo, con el fin de actualizar y adecuar su situación antes del 29 de enero de 2016. A partir de esa fecha la AEPD ya ha advertido de forma general, y lo está haciendo de forma particular a todos los afectados, que comenzará a ejercitar acciones coercitivas contra las empresas que hayan regularizado su situación. Cómo puede ayudar EY El equipo de Nuevas tecnologías y Protección de datos de EY, líder mundial en servicios profesionales multidisciplinares, ofrece su experiencia y know-how para resolver cualquier duda que pueda tener al respecto, proporcionar soluciones y prestar su apoyo a la hora de tomar decisiones, bajo las premisas de calidad y compromiso que nos distinguen. Puede consultar las últimas alertas fiscales y legales en nuestro Centro de Estudios EY El procedimiento se inicia ante una autoridad de protección de datos en la UE que será quien actué como líder y cuyas Consecuencias de la sentencia del TJUE sobre el reciente Caso Facebook | Noviembre 2015 Página 3 de 4 EY | Assurance | Tax | Transactions | Advisory Acerca de EY EY es líder mundial en servicios de auditoría, fiscalidad, asesoramiento en transacciones y consultoría. Los análisis y los servicios de calidad que ofrecemos ayudan a crear confianza en los mercados de capitales y las economías de todo el mundo. Desarrollamos líderes destacados que trabajan en equipo para cumplir los compromisos adquiridos con nuestros grupos de interés. Con ello, desempeñamos un papel esencial en la creación de un mundo laboral mejor para nuestros empleados, nuestros clientes y la sociedad. EY hace referencia a la organización internacional y podría referirse a una o varias de las empresas de Ernst & Young Global Limited y cada una de ellas es una persona jurídica independiente. Ernst & Young Global Limited es una sociedad británica de responsabilidad limitada por garantía (company limited by guarantee) y no presta servicios a clientes. Para ampliar la información sobre nuestra organización, entre en ey.com. © 2015 Ernst & Young Abogados, S.L.P. Todos los derechos reservados. ED None La información recogida en esta publicación es de carácter resumido y solo debe utilizarse a modo orientativo. En ningún caso sustituye a un análisis en detalle ni puede utilizarse como juicio profesional. Para cualquier asunto específico, se debe contactar con el asesor responsable. ey.com/es Twitter: @EY_Spain Linkedin: EY Facebook: EY Spain Careers Google+: EY España Flickr: EY Spain Consecuencias de la sentencia del TJUE sobre el reciente Caso Facebook | Noviembre 2015 Página 4 de 4