30.12.2016
El Puerto Seguro deja de ser Puerto
El Puerto Seguro deja de ser Puerto
Cualquier día laborable la escena se repite en muchas oficinas españolas. Un grupo de abogados intercambia archivos por Dropbox con sus clientes y colaboradores para preparar demandas y confeccionar informes. No lejos de allí, un estudio de arquitectos utiliza los servicios de Google Drive para compartir planos e información diversa con sus proveedores. La gestoría con la que han externalizado las nóminas guarda sistemáticamente copias de seguridad en Microsoft One Drive. Y mientras todo ello sucede, un grupo de jóvenes emprendedores planea poner en pie una empresa. Esta, estará dedicada a explotar las inmensas posibilidades que abre el denominado “big data”, tratando datos personales a gran escala. Y es ahí cuando el puerto seguro deja de ser puerto.
En cuanto a la Unión Europea ha enfriado seriamente los proyectos de los últimos. Pero también ha planteado un serio problema a los demás, abogados, arquitectos y gestores. Estos se sirven de herramientas muy extendidas para el manejo cotidiano de archivos informáticos que contienen infinidad de datos personales. Y no es que la protección de datos sea algo nuevo como proyección concreta de la “privacidad”. Sino que un acontecimiento ha cambiado el andamiaje sobre el que se ha sustentado la transferencia de datos con EE.UU.
Pero para entender qué ha pasado con el “Safe Harbor”, es necesario explicar algo que usuarios y responsables empresariales desconocen. Cada vez que se utilizan mas compañías, cuyos servidores están radicados en Estados Unidos. Se produce lo que se conoce como transferencia internacional de datos. Es decir, que cada vez que un archivo con datos personales se guarda en un servidor fuera de España. Esos datos están saliendo fuera de nuestro país, y el responsable de los mismos los está exportando. Aun de manera inconsciente.
En cuanto a nuestra Ley de Protección de Datos, asimila el cauce previsto por la Directiva de Protección de Datos. Que no es otro que la autorización preceptiva del Director de la AEPD a las empresas que exporten datos. De manera que la norma general es el trámite ante la Agencia. Ello con la salvedad de las transferencias un determinado número de países, los socios europeos, y Estados Unidos.
Precisamente con este último país, el Departamento de Comercio de Estados Unidos ideó el concepto de “Safe Harbor”, (Puerto Seguro). Este programa que garantizaba un nivel de protección de datos homologable al comunitario. De forma que se consideraba que todas las empresas adherentes al mismo cumplían, los estándares de protección de datos europeos. Para convalidar dicho programa, la Comisión Europea se pronunció expresamente dando el visto bueno al “Safe Harbor” americano. Y ha tendido un puente transatlántico que ha durado quince años. Y lo hizo a través de la Decisión cuya anulación está hoy en el origen de la polémica.
Como ocurre con frecuencia creciente, las redes sociales están en el origen de muchas cosas, buenas y malas. De las buenas, nos congratulamos con frecuencia. De las malas, nos hacemos eco en los medios. La tensión entre privacidad y uso de redes sociales es un tema recurrente en Europa. Aunque en España, desgraciadamente, andemos un poco relajados. La concienciación sobre la importancia de la privacidad es un tema interesante.
Esto llevó a Maximillian Schrems, a plantear ante la justicia europea la siguiente cuestión. Planteaba que las autoridades nacionales de protección de datos, puedan analizar el manejo de datos en empresas adscritas al “Safe Harbor”. Y ganó el pulso: en octubre, el Tribunal de Justicia de la Unión Europea declaraba lo siguiente. “el hecho de que exista un puerto seguro no quiere decir, que las agencias nacionales no puedan valorar sobre empresas “Safe Habor”.
Ello no anula el programa, que es americano, pero lo deja reducido a escombros. Dado que el TJUE viene a decir es que a la Unión Europea no le sirve prácticamente de nada. Y de paso, sume a las empresas en la incertidumbre. Esto al desviar el tráfico de datos de la autovía del puerto seguro. Para llevarlo por la estrecha carretera del procedimiento administrativo de la autorización de la Dirección de la Agencia. Con millones de operaciones de transferencias de datos abiertas y en curso.
Pero aunque esta sentencia afecta sobre todo a PYMEs. Esto no aplica tanto a las empresas grandes. Que disponen de complejos planes de tratamientos de datos en los que todo está previsto, no es el fin del mundo. En primer lugar, porque la AEPD no ha prohibido en absoluto el uso de herramientas como Dropbox. Y en segundo, porque deberá resolverse políticamente en breve, seguramente negociando un nuevo acuerdo de puerto seguro.
En todo caso, hay algunos consejos provisionales se pueden dar a las empresas afectadas, que son multitud. El primero, que se asesoren bien sobre su propio manejo de datos personales, y que identifiquen si hacen transferencias internacionales. Ello teniendo en cuenta la facilidad con que se producen si la empresa utiliza proveedores estadounidenses de alojamiento o correo. El segundo, que si las hacen, las adapten a los requerimientos del Tribunal de Justicia. Y por último, que desconfíen de cualquiera que diga que hay que dejar de utilizar servicios como Dropbox. Sencillamente lo único que hay que hacer es adaptar su uso.
Sea como sea, la protección de datos, que cobró una gran relevancia entre las empresas, sigue su evolución. Conceptos como el derecho al olvido, “big data” o las “smart cities”, generaran un volumen importante de negocio de manera inmediata. Y al fin y al cabo, como decía Julio Cerón de la ley de la gravedad, “no es nada en comparación con lo que nos espera”.