Innovación Legal
08 junio 2015
El programa “Safe Harbor”en el asunto “Europe v. Facebook”
Hoy día todo usuario de internet expone en gran medida datos concernientes a su vida privada, obviando qué implicación tiene y en qué grado está expuesto de cara a terceros que almacenan y hacen uso de dicha información. En este sentido, es necesario plantearse qué uso se da al “Big Data” y qué gestión de ella se realiza y es por ello que toda conciencia que tomemos sobre ello nunca es suficiente. Para ello, las siguientes líneas tratan de explicar qué ocurre con nuestros datos y qué relevancia tiene el concepto de “safe harbor” (http://www.export.gov/safeharbor/) respecto a la exportación, almacenamiento y uso de los mismos, centrándonos, (i) por un lado, en la idea de qué mínimos son a los que deben adecuarse las compañías a la hora de realizar su gestión y, (ii) por otro lado, en que dichos datos son recabados en el seno de un país miembro de la Unión Europea o Suiza y pasan a formar parte de ficheros y bases de datos con sede en Estados Unidos.
Foto obtenida de http://europe-v-facebook.org/ES/es.html
Para entenderlo, es necesario saber que a diferencia de la estrica protección que existe en Europa respecto de los datos de carácter personal, en Estados Unidos nos encontramos con una protección laxa de los mismos. A consecuencia de ello, se da luz verde al programa “safe harbor” con la idea de que aquellos datos personales, sensibles o biométricos procedentes de Europa, que quieran ser almacenados o utilizados en EEUU, o viceversa, deberán contar previamente, al menos, con la misma protección de que gozan en el continente del que son recopilados. Este acuerdo es creado en Octubre del año 1998 entre el Departamento de Comercio de EEUU y la Comisión Europea, al que resulta de directa aplicación el artículo 25 de la Directiva 95/46/EC.
El citado programa o “framework” engloba a aquellas empresas o compañías que se adhieren al mismo de forma voluntaria. La lista de empresas que forman parte del mismo, así como el medio del que obtienen los datos, pueden ser observados en la web habilitada para el programa (https://safeharbor.export.gov/list.aspx). Una vez adherido a este, la empresa quedará vinculada al cumplimiento de la normativa sobre protección de datos de carácter personal relativa al continente del que son extraídos. Si bien, siendo Europa más proteccionista que Estados Unidos, son las empresas con sede en EEUU las que infringen en mayor medida la misma. Así mismo, es de resaltar que aquella organización adherida al programa podrá retirarse del mismo cuando lo solicite formalmente, pero no queda exenta la aplicación de la normativa para dicha empresa y, especialmente, respecto a aquellos datos que fueron recabados en el tiempo en que se formó parte del programa.
Caso “Europe v Facebook”
Amparándose en el incumplimiento del programa, en 2011 se presenta demanda por un ciudadano natural de Viena contra “Facebook Ireland Ltd”., cuya sede reside en Dublín, tras ser constatado por el mismo la falta de correlación entre la política de privacidad que supuestamente desarrolla la compañia, y el efectivo uso que en la realidad hace de los datos, una vez recabados en Europa y almacenados en la sede estadounidense. Previo a la interposición de la demanda, el joven requiere a la compañía para que le sea enviada toda la información que de él maneja la misma. Tras recibirla, este observa que incluso las comunicaciones privadas que habían sido borradas por él, eran aún almacenadas y utilizadas por Facebook, es decir, a ojos del gigante no existía ningún tipo de idea que tuviera relación con el concepto de privacidad. La lista de datos almacenados abarca todo aquello que un usuario vuelca en la red social (http://europe-v-facebook.org/EN/Data_Pool/data_pool.html).
El contenido de la citada demanda refleja la falta de transparencia de la compañía, así como el incumplimiento de la política de privacidad, haciendo responsable de su gestión a la sede situada en Dublín y, por ende, quedando sujeta a toda la legislación europea en materia de protección de datos. Sin embargo, Facebook alega que es única y exclusivamente su sede principal en EEUU la que ostenta la legitimación pasiva, y no la sede Europea. Por consiguiente, no cabe asumir que los tribunales de los estados miembros sean competentes para enjuiciar el caso. En ese momento, la táctica de la compañía va a centrarse en dilatar el procedimiento el máximo tiempo posible. En este sentido, la contestación a la demanda por parte de Facebook se centra en que:
– Existe falta de jurisdicción, y como consecuencia los tribunales europeos no son competentes, siendo inaplicable la regulación de la directiva de Protección de Datos.
– El grupo que entabla la demanda no actúa como consumidor, sino como empresa, toda vez que recibe recibe financiación para asumir los costes del proceso. Sin embargo, estos afirman que actúan como movimiento sin ánimo de lucro.
Tras este procedimiento -aún vigente-, la inciativa empieza a tener enorme trascendencia, interponiéndose demanda colectiva por unos 25.000 ciudadanos europeos -asunto “PRISM”– (http://www.europe-v-facebook.org/prism/facebook.pdf) y, consecuentemente, nace el movimiento “Europe v Facebook” (http://europe-v-facebook.org/EN/en.html). En la citada demanda se reflejan los mismos hechos que en la presentada por el joven austriaco: el incumplimiento de la normativa europea de protección de datos. A diferencia de la anterior demanda, esta es interpuesta ante la Comisión de Protección de Datos (CPD) de Irlanda, habida cuenta que la sede de “Facebook Ireland Ltd” se encuentra en Dublín. Inicialmente, la demanda es rechazada por entenderse que era frívola e insostenible. El siguiente paso procesal fue la interposición de recurso de revisión ante el Alto Tribunal irlandés. Este eleva cuestión prejudicial al TJUE en Junio de 2014, planteando al alto tribunal europeo:
– Si el “safe harbor” es insuficiente y, por consiguiente, debe aplicarse por la CPD la Decision 2000/250/EC , así como los artículos 7 y 8 de la Carta de Derechos Fundamentales de la Unión Europea, en concordancia con el artículo 25.6 de la Directiva 95/46/EC de Protección de Datos. En definitiva, si debe mirarse más allá del programa y debe entenderse que se vulnera el artículo 8 de la Carta de Derechos Fundamentales, relativo a la protección de datos de carácter personal, dado que hay una transferencia de datos a terceros países.
– O, por el contrario, la demanda debe ser archivada, puesto que la compañía forma parte del programa “safe harbor” y ello es suficiente para entender que existe una adecuada protección de los datos de carácter personal recabados en Europa y enviados a EEUU.
El juicio oral tras la cuestión prejudicial tuvo lugar el pasado mes de Marzo. En el mismo, la discusión del asunto se centró en determinar si hay algo que mejorar acerca de la práctica de protección de datos, sin entrar a valorar el fonde del asunto. Así las cosas, la resolución del TJUE podría marcar un hito en materia de protección de datos, para perjuicio de las compañías al frente de las redes sociales, limitando el uso de los mismos; por contra, podría entenderse que es adecuada, tal y como establece la actual normativa, sin producirse cambio alguno. Ahora bien, como ya ocurrió en el asunto del “derecho al olvido”, lo que de este caso puede deducirse es que es necesario plantearse la efectividad de la regulación actual sobre protección de datos, en aras de salvaguardar la expectativa razonable de intimidad que, por encima de todo, y sea en el medio que sea, toda persona debe tener.
Miguel Hidalgo Ortiz. Abogado.
es.linkedin.com/pub/miguel-hidalgo-ortiz/83/21b/841
Twitter @MiguelHidort