Qué significa la anulación del ‘Safe Harbor’ para los gigantes tecnológicos con presencia en Europa

“Enhorabuena, @MaxSchrems. Acabas de cambiar el mundo para mejor”. Así ha felicitado Edward Snowden a Max Schrems, el joven austríaco que inició con una demanda a Facebook lo que hoy ya es un importante giro de tuerca a la política de transferencia de datos personales entre Europa y EEUU.

Todo empezó cuando Schrems, estudiante de derecho de 28 años, acudió a una charla del responsable de Asuntos Legales en Facebook, Ed Palmieri. En vista de que el ejecutivo desconocía la normativa europea sobre Protección de Datos, Schrems decidió dedicar la tesis de final de curso a esta cuestión.

Amparado por la ley europea, el estudiante pidió entonces a Facebook su información personal. Tras recibir un CD con 1.200 páginas de datos, empieza la batalla legal que hoy ha ganado.

El caso Snowden, segundo detonante

En junio de 2014 la justicia irlandesa pidió al Tribunal Europeo que investigue el papel de Facebook en el escándalo PRISM. Se trataba de averiguar si se había facilitado información privada de usuarios europeos a la NSA, como parte de la vigilancia masiva de la agencia secreta que reveló Edward Snowden.

En Tribunal dijo entonces que en base al acuerdo Safe Harbour, EEUU ofrecía garantías de protección de datos y que el regulador irlandés no tenía la autoridad para investigar el caso.

La semana pasada el Abogado General del TJUE, Yves Bot, se pronunció sobre el caso. Concluyó que la Directiva de Protección de Datos otorga a la Comisión la facultad de decidir qué país es seguro. Sin embargo, consideró que las autoridades nacionales de cada Estado miembro deberían tener la facultad para bloquear la transferencia de datos, independientemente de la evaluación de la Comisión.

Como explica Belén Arribas, abogada y auditora de entornos tecnológicos en Monereo Meyer Marinel-lo Abogados, “la opinión del abogado no era vinculante para el TJUE”. No obstante la sentencia emitida ayer confirma la tesis de Bot.

Cuestión burocrática

Esto significa que a partir de ahora las transferencias de datos entre Europa y EEUU deberán aprobarse por las autoridades administrativas estatales. En el caso de España deberán contar con la aprobación del Director de la Agencia Española de Protección de Datos.

La AEPD ha tildado la sentencia de “punto de inflexión” sobre la manera en que se transfieren datos a EEUU. La decisión del TJUE “reafirma la importancia de la intimidad y la protección de datos”, unos derechos que “deben gozar de las mayores garantías posibles”.

Las consecuencias para los gigantes estadounidenses que operan en territorio europeo no serán fatales. En esencia se trata de un cambio de “modelo de certificación” y en definitiva, como explica al Guardian Monique Goyens, directora de la Organización Europea de Consumidores, tratará de una ardua tarea burocrática.

A partir de ahora las compañías norteamericanas que quieran continuar transfiriendo datos de ciudadanos europeos más allá del Atlántico deberán garantizar y adecuar su nivel de protección de acuerdo con las leyes europeas.