Una vez más ha tenido que ser un ciudadano de a pie y no una multinacional quien acabe sacando los colores a la Unión Europea y denuncie la impunidad con la que se aprovechan las corporaciones de los datos privados, esos que no deberían llegar a manos de terceros y, muchísimo menos para que estos últimos se lucren a costa de ello.
Se trata de Max Schrems, un estudiante de Derecho de 28 años que llevó a los tribunales a Facebook en 2011 aduciendo que la red social de Zuckerberg no garantizaba a protección de datos de los ciudadanos europeos que se transfieren de Europa a EEUU.
El caso de Schrems acabó en los juzgados y, lo que es más importante, puso el foco en el acuerdo que mantenía la Comisión Europea –desde el año 2000 hasta ahora– en el que consideraba a Estados Unidos como un ‘safe harbour’ o ‘puerto seguro’ con el que se realizaba intercambio de datos como si de un país de la UE se tratara.
El pasado martes, 6 de octubre, el Tribunal de Justicia de la Unión Europea (TJUE) hacía pública su sentencia, por la que declaraba inválido el acuerdo que acabamos de citar y que se recogía oficialmente en la Decisión de la Comisión 2000/520/CE, y apelaba a la Directiva 95/46CE de Protección de Datos, aduciendo a que ésta tiene como misión no tanto asegurar la libre circulación de la información, como garantizar el elevado nivel de protección de los derechos fundamentales consagrados por los artículos 7 y 8 de la Carta de Derechos Fundamentales de la UE.
Según ha publicado la Agencia Española de Protección de Datos (AEPD), la sentencia del TJUE proclama que la Decisión de Puerto Seguro es inválida por dos motivos:
- A.- Porque entiende que prevalece incondicionalmente y sin ninguna limitación “la seguridad nacional, el interés público o el cumplimiento de la ley” sobre los derechos fundamentales a la intimidad y la protección de datos, sin otorgar a los ciudadanos europeos ningún medio para obtener la tutela efectiva de esos derechos.
- B.- Porque no otorga a los Estados miembros un margen suficiente para suspender las transferencias en caso de que estos apreciaran una vulneración de los derechos de los ciudadanos europeos.
“La sentencia, cuyas implicaciones marcan un punto de inflexión sobre la forma en la que se realizan las transferencias internacionales de datos a EEUU, reafirma la importancia de la intimidad y la protección de datos, derechos fundamentales que deben gozar de las mayores garantías posibles.
Las Autoridades europeas de protección de datos, que ya observaron deficiencias en el ‘puerto seguro’ y las plasmaron en varias cartas y dictámenes, han planificado actuaciones para coordinarse en el análisis de las implicaciones de la sentencia y en las actuaciones nacionales que deban llevarse a cabo, garantizando una aplicación consistente de la misma en todos los países de la UE”, indican en la AEPD.
Los centros de datos y la nube pública
El negocio del alojamiento de datos, es decir, aquel al que se dedican de lleno los hosters y los proveedores de centros de datos neutrales se encuentra directamente afectado por verá afectado por el dictamen del TJEU.
Muchas empresas han sido un tanto reacias a migrar a la nube pública por razones de seguridad y legislación. Pensemos que los grandes proveedores de cloud hosting, los gigantes del ecommerce y los over the top disponen de macro centros de datos en EEUU y alguno que otro en Europa, especialmente en Holanda e Irlanda (en el primer caso porque Ámsterdam es una de las localizaciones con más puntos de interconexión del mundo y, en el segundo caso, por sus favorables condiciones para invertir y pagar pocos impuestos), además de ubicaciones concretas de Asia como Hong Kong y Singapur. Esto hace que las empresas que deciden alojar su infraestructura y mover su información en los data centers de dichos proveedores vean cómo sus datos se mueven en nubes que pueden estar a miles de kilómetros de su punto de origen.
¿Qué pasa cuando una empresa decide migrar a la nube? Las situaciones que se pueden dar son varias:
- 1.- Que el proveedor contratado sea local y la nube a la que suben los datos del cliente se encuentre en España. En ese caso, la relación contractual entre el hoster y el cliente debe atenerse a la Ley Orgánica de Protección de Datos y al resto de la legislación española.
- 2.- Que el proveedor contratado tenga un data center en España pero aloje los datos en un CPD de su empresa matriz diseminado en Europa o en el centro de datos de un partner. Aquí, la pata legal se complica al sumarse la legislación europea.
- 3.- Que el proveedor contratado en España o en otro país, aloje la información de la empresa española fuera de Europa, en Estados Unidos, por ejemplo, en estos casos, el tema legislativo se hace más complejo, porque las leyes europeas son bastante rígidas y restrictivas, de ahí que el acuerdo de ‘puerto seguro’ le viniera muy bien a los proveedores con centros de datos en USA para dar servicio a clientes al otro lado del charco amparados por un marco legal.
Con la sentencia del TJUE los más perjudicados pueden ser los gigantes de ecommerce y los over the top con centros de datos en Estados Unidos cuyas nubes alojan datos de empresas que operan en Europa, pero el problema no deja de ser cortoplacista dado que se puede resolver abriendo más CPD en el viejo continente, por ejemplo. O, en último caso, ajustando su legislación a la europea y ser más celosos a la hora de garantizar la privacidad de los datos de los ciudadanos y las empresas.