Ya en 2011, Max Schrems, estudiante entonces de tercero de Derecho, puso en evidencia a Facebook, al solicitar toda la información generada sobre él en los tres meses que llevaba como usuario. Facebook (Irlanda) le remitió 1.222 pdf con documentación. Después, a resultas de las revelaciones de Snowden sobre el flujo de datos hacia la NSA norteamericana, el ya licenciado Schrems inició una batalla legal que ha concluido con la Sentencia TJUE (Gran Sala), de 6 de octubre de 2015, en el asunto C362/14, que remueve los cimientos del tratamiento jurídico de la protección de datos en la UE.
Tras el caso Snowden, los jueces supremos de la UE han mostrado especial sensibilidad en estos temas: este mismo tribunal anuló en abril de 2014 la Directiva 2006/24/CE de conservación de datos de tráfico de nuestras comunicaciones y en mayo del mismo año obligó a Google a responder a cientos de miles de solicitudes sobre el ya manido “derecho al olvido”. Así, los jueces han asumido un papel que el legislador de la Unión no se atreve o no puede ejercer por falta de consensos suficientes entre sus miembros. Y es que tras 20 años, la Directiva 95/46/CE se ha quedado obsoleta en no pocos ámbitos y pronto se cumplirán cinco desde que la Comisión presentó un Reglamento de protección de datos para la UE, norma que todavía no se ha aprobado.
¿Qué implica la sentencia del caso Schrems vs. Facebook? Que deja en evidencia y sin cobertura jurídica a buena parte del trasiego de datos personales de millones de ciudadanos y empresas europeas con empresas de EEUU, que se dan de forma habitual y rutinaria por el uso de redes sociales, correo electrónico, servicios de nube o alojamiento de datos con empresas de aquel país. En suma, la sentencia desmonta el sistema especial que daba cobertura a estas transferencias con EEUU.
Y es que, en virtud de la Directiva 95/46/CE (y su transposición por la Ley orgánica 15/1999 española), para que se pueda realizar una transferencia internacional de datos por un responsable de ficheros europeo a un tercer país, como regla general se exige una autorización particular de la autoridad nacional de datos. Hacerlo sin dicha autorización es infracción muy grave con sanción entre 300 y 600 mil euros. Esta autorización no es necesaria si el país ajeno a la UE tiene un nivel esencialmente equivalente de protección de datos. La Comisión Europea ha adoptado once decisiones por las que ha declarado que otros tantos países cuentan con un nivel similar de protección de datos y pueden hacerse transferencias sin autorización (Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay y Nueva Zelanda). En el caso de EEUU a través de la Decisión 2000/520/CE de la Comisión se llegó a una solución peculiar: desde 2000 no era necesaria tal autorización para transferir datos a 5478 empresas norteamericanas (Microsoft, Apple, Google, Dropbox, Twitter, Facebook entre otras muchas) pues se habían ido comprometiendo a cumplir principios de “puerto seguro”. La autocertificación se consideraba garantía equivalente al Derecho de la Unión Europea , algo que la sentencia invalida.
¿Y ahora qué? EEUU pasa engrosar la lista de casi 200 países respecto de los que se requiere una autorización previa para el movimiento internacional de datos. No es necesaria tal autorización si el afectado ha consentido que sus datos vayan fuera de la UE, por ello ahora muchas políticas de privacidad incluirán en su “letra pequeña” dicho consentimiento. Otra excepción importante a la necesaria autorización consiste en que el movimiento internacional de datos “vaya de suyo” en el contrato o servicio de que se trate. Aquí el terreno es más movedizo y, por tanto, hay mayor el riesgo de que sí sea necesaria la autorización aunque criterios claros de las autoridades de datos podrán servir para generar seguridad y certeza jurídicas.
En este sentido, la sentencia refuerza el papel de las autoridades nacionales de datos, puesto que se les permite analizar si un país tercero tiene efectivamente un nivel de protección equivalente al de la Unión Europea, como también pueden comprobar si las cláusulas tipo o normas internas de las empresas efectivamente se cumplen. Estas actuaciones bien podrán estar incitadas por más de 507 millones de europeos.
¿Qué va a pasar en el futuro? La Comisión Europea sigue teniendo competencias y las autoridades de protección de datos europeas –como ha dicho la AGPD- “han planificado actuaciones para coordinarse”. Sin duda interesa unificar criterios para evitar un dumping de protección de datos, una situación en la que los países se ofrezcan a EEUU dando mayores facilidades para autorizar transferencias internacionales. También ha de servir para unificar criterios respecto de los casos en los que no es necesaria la autorización para el movimiento de datos. De igual modo, la Comisión Europea puede negociar con EEUU un nuevo modelo para determinar que hay condiciones equivalentes de protección de datos en aquel país. Sin embargo, la sentencia muestra su desconfianza con aquél país y pone muchas condiciones a un nuevo modelo: no se niega que quepa un sistema de autocertificación por el que las empresas estadounidenses se sumen a reglas como el sistema de “puerto seguro”, pero es necesario “el establecimiento de mecanismos eficaces de detección y control que permitan identificar y sancionar las posibles infracciones” y, en este sentido, se alerta de diversos elementos de la normativa estadounidense incompatibles con la Carta de derechos fundamentales de la Unión Europea. El nuevo modelo, además de tener en cuenta estos elementos, no podrá hacer claudicar totalmente las exigencias de protección de datos europeas en razón de las “exigencias de seguridad nacional, interés público y cumplimiento de la ley” de EEUU, como hacía el sistema invalidado.
En cualquier caso, siempre quedará el tan esperado Reglamento de protección de datos de la Unión Europea que, respetando exigencias de la Carta de derechos fundamentales, puede facilitar o mejorar el sistema actual del movimiento internacional de datos.