¿Safe Harbor? ¿Qué quiere decir? ¿Cuál es su significado?
Es probable que nunca hayas oído hablar de estas palabras, pero ¿sabías que este acuerdo permitía que tus datos personales de Facebook o MailChimp fueran guardados en servidores de Estados Unidos?
Max Shrems (un activista en contra del uso de datos personales en Facebook) tras entender que su información personal no estaba del todo protegida en esos servidores, decidió emprender acciones legales denunciando esa presunta infracción a la autoridad irlandesa de protección de datos. Tras rechazar su denuncia, Shrems decidió llevar el asunto al Tribunal de Justicia de la Unión Europea, quien finalmente ha dado por invalidado el acuerdo de Safe Harbor (Puerto Seguro).
Conoce a través de este post qué es el Safe Harbor y cómo afecta a tu privacidad en la Red.
Transferencia Internacional de Datos
Antes de hablar sobre la suspensión del famoso acuerdo Safe Harbor (Puerto Seguro), debemos tener claro el concepto de Transferencia Internacional de Datos.
La Transferencia Internacional de Datos es un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo (EEE).
Éste constituye una cesión, comunicación o tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.
Para realizar transferencias internacionales de datos, es necesaria la autorización previa de la Directora de la Agencia Española de Protección de Datos (en adelante AEPD).
No obstante existen excepciones reguladas en el artículo 34 LOPD o cuando el Estado donde se encuentre el importador ofrezca un nivel adecuado de protección, supuestos en los que en todo caso se deberán notificar las transferencias internacionales de datos al Registro General de Protección de Datos para su inscripción a través de sistema NOTA de notificación de ficheros.
Según la AEPD, son países con un nivel adecuado de protección: los países pertenecientes a la UE y al EEE, Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay, Nueva Zelanda.
¿Qué es el acuerdo Safe Harbor?
El acuerdo Safe Harbor es la solución a la que se llegó para facilitar la transferencia internacional de datos hacia las sedes de empresas tecnológicas situadas en EEUU.
Dada la dificultad de conseguir garantías personales a nivel general, se optó por establecer una serie de principios a los que las empresas interesadas se podían adherir voluntariamente.
Así, declaraban bajo su responsabilidad el cumplimiento de las obligaciones con las que, se supone, los datos personales se protegían de una forma equivalente a cómo se hace en Europa.
Como habrás comprobado Estados Unidos no se encuentra en la lista de países con un nivel adecuado de protección tal y como ya advirtieron en su momento las Agencias de Protección de datos.
Finalmente, y tras la denuncia de Max Shrems, una sentencia del Tribunal de Justicia de la Unión Europea ha declarado inválida la Decisión de la Comisión 2000/520/CE que establece el nivel adecuado de protección de las garantías para las transferencias internacionales de datos a EEUU ofrecidas por el acuerdo de Puerto Seguro publicado por su Departamento de Estado.
Motivación de la sentencia para suspender el Safe Harbor
- Garantizar y reafirmar la importancia de la intimidad, la protección de datos y el elevado nivel de protección de los derechos fundamentales consagrado en la Carta de Derechos Fundamentales de la UE.
- El acuerdo obliga a las empresas que voluntariamente se acojan a él, pero no a las autoridades estadounidenses. Pues éstas, pueden seguir ejerciendo sus competencias en base a las leyes de seguridad nacional, que pueden llegar a quebrantar las garantías que los usuarios obtienen teóricamente gracias al Safe Harbor.
- Porque entiende que prevalece incondicionalmente y sin ninguna limitación «la seguridad nacional, el interés público o el cumplimiento de la ley» sobre los derechos fundamentales a la intimidad y la protección de datos, sin otorgar a los ciudadanos europeos ningún medio para obtener la tutela efectiva de esos derechos.
- Porque no otorga a los Estados miembros un margen suficiente para suspender las transferencias en caso de que estos apreciaran una vulneración de los derechos de los ciudadanos europeos.
Después de todo lo que te hemos explicado, te preguntarás:
¿Puede afectarme el fin del Safe Harbor?
Al tratar este tema es fácil pensar que esta sentencia solo afecta a las grandes tecnológicas y no puede afectarte directamente como usuario de Internet, pero la realidad es muy distinta.
Tus datos son transferidos internacionalmente todos los días, aunque no lo veas.
Existen multitud de empresas que utilizan prestadores de servicios (de alojamiento, computación en la nube…) fuera del territorio de la UE, y que una vez declarado inválido el acuerdo de Safe Harbor no cuentan con una excepción que les permita su uso.
Y lo que es más grave, contamos incluso con Administraciones Públicas que han recurrido a esta opción, y que tal vez todavía desconozcan cómo actuar ante un caso así.
Además, a nadie le sorprende que la mayoría de las empresas que prestan servicios online tienen su sede central en Estados Unidos.
Tú accedes al correo electrónico, buscas contenidos en la Red, contactas a través de sistemas de mensajería instantánea, te registras en redes sociales…
Y todo ello, muchas veces, sin pensar a dónde van a viajar los datos que introduces, o las consecuencias que puede tener para tus derechos.
Facebook, Google Apps, Dropbox son algunos de los servicios prestados por empresas con sede en el extranjero y que utilizamos en el día a día de nuestra actividad.
Los datos que facilitamos, una vez introducidos, llegan a los servidores en EEUU, donde son procesados y almacenados.
Posteriormente, tal vez llegue a replicarse su contenido a servidores situados en otros países de los que no tenemos conocimiento.
Todos, solemos ser indiferentes a este proceso, ya que lo que nos interesa es la rapidez y sencillez del servicio.
En la práctica, la información sobre dónde van a parar nuestros datos y si van a ser transferidos solemos ignorarla (si llega a ser indicada a la hora del alta del servicio).
Las grandes empresas con base tecnológica como Amazon o Google llevan tiempo trabajando en “data centers” situados en territorio europeo, lo cual les permite cumplir con las obligaciones relativas al tratamiento de datos personales.
Al menos, no vas a notar interrupción de los servicios más conocidos y te beneficiarás con el refuerzo de las competencias de las autoridades nacionales de protección de datos, ya que se obliga a las Agencias de Protección de Datos a examinar las reclamaciones de los usuarios y decidir sobre la suspensión de la transferencia de los datos de los usuarios europeos a Estados Unidos.
Ahora, podrás acudir a la Agencia Española de Protección de Datos y denunciar los hechos sin que sus potestades queden limitadas por un acuerdo como el anulado y podrás exigir la suspensión de la actividad si tienes sospechas de un cumplimiento defectuoso de los niveles de seguridad que marca la Ley.
Como siempre desde tugesto intentamos concienciarte sobre la importancia de la protección de los datos personales y de tus derechos a la intimidad y privacidad. Por ello, no dudes en contactar con nosotros ante cualquier duda o sospecha de vulneración de tus derechos.
Laura Carrillo
Auditora LOPD de tugesto
Artículos, guías, recursos y consejos de expertos.
