Por José Antonio Ruiz Milanés
De todos es conocido la diferente concepción existente entre el sistema jurídico europeo y norteamericano. Esta diferencia, que ha ocasionado no pocos problemas en multitud de ámbitos, empezó a tomar más relevancia en relación directa con la incorporación de las Nuevas Tecnologías e Internet en todos los aspectos de nuestra vida, tanto laboral como profesional; como característica fundamental permitió una deslocalización geográfica en cuanto a la prestación de los servicios, así como al consumo y uso de los mismos, generándose por tanto nuevos problemas tales como la legislación y regulación de aplicación a estos servicios.
En este sentido, la diferente concepción y tratamiento de los derechos fundamentales de los ciudadanos existente entre UE y EEUU, comenzó a plantearse como un problema fundamental en cuanto al tratamiento de los datos personales. Nuestra normativa indica que las empresas que recojan datos personales, deben observar una serie de medidas concretas en cuanto al tratamiento de los mismos. Estas medidas implican que cuando los datos los vaya a remitir a otro país distinto de donde se ha realizado la recogida de los mismos (Transferencia Internacional de Datos), también nos debemos asegurar que el país de destino se encuentra dentro de un catálogo de países con normativas sobre protección de datos personales homologables a la española.
Este escollo tiene fácil solución cuando hablamos de la remisión de datos a países que forman parte de la UE o a estados que forman parte del catálogo de países con niveles de protección equiparable, publicado por parte de la Agencia Española de Protección de Datos. Sin embargo, fuera de estas opciones principales, para poder remitir datos fuera de España, debemos contar con una autorización expresa emitida por parte del Director de la Agencia Española de Protección de Datos (AEPD). Ésto se plantea, cuanto menos, poco útil para actividades empresariales y negocios que se desarrollan a través de Internet.
EEUU siendo el país donde se concentra la gran mayoría de empresas que presta servicios en tecnología (Google, Apple, Microsoft, Dropbox…) no se encuentra dentro del listado de países emitido por la AEPD. Por lo que a modo de respuesta de simplificación del trámite para poder remitir datos personales a empresas cuyos servidores se encuentren en EEUU, sin la necesidad de cumplir todo el trámite de la autorización, se adoptó por parte de la Comisión Europea la Decisión 2000/520/CE de 26 de julio de 2000, el denominado Protocolo ‘Safe Harbor’, donde se permitía que, por medio de una presunción de adecuación y cumplimiento, las empresas norteamericanas que quisieran, manifestaban su voluntad de adecuar y cumplir las medidas de seguridad recogidas por parte de la normativa europea y española.
Este Protocolo (‘Safe Harbor’ o ‘Puerto Seguro’) que ha venido facilitando las relaciones comerciales y desarrollo de negocios electrónicos entre EU y EEUU, ha quedado definitivamente invalidado por la sentencia emitida el pasado 6 de octubre, por parte del Tribunal de Justicia de la UE, puesto que no permitía garantizar de forma suficiente el grado de cumplimiento por parte de las empresas y entidades adheridos al mismo.
Esta situación ha producido un gran impacto, aparte de gran alarma. Ha provocado que tengamos necesariamente que circunscribirnos en cuanto a esta remisión de información que podamos realizar a empresas cuyos servidores estén ubicados en EEUU al proceso antes indicado. Es decir, o bien el país destino se encuentra en el listado de la AEPD o disponemos de la autorización previa igualmente de la Agencia Española de Protección de Datos. Cualquier remisión fuera de estos canales sería en esencia ilícita y podríamos enfrentarnos a las sanciones correspondientes; por ejemplo usar nuestra cuenta de Dropbox para almacenar información o archivos que contengan datos personales.
Este hecho, totalmente ilógico, hace pensar (tal y como ya se ha oído de forma extraoficial) en la búsqueda de alguna solución inminente que permita seguir realizando estas transferencias internacionales de datos dentro del maro de legalidad y del sentido común.
Desde nuestro despacho podemos ayudarle en la identificación concreta de su situación en cuanto a la reciente Sentencia del TJUE, así como asesorarle en el desarrollo y diseño de las medidas necesarias para poder seguir empleando de forma adecuada los medios tecnológicos e Internet, desde el cumplimiento estricto de la normativa.