Las nuevas reglas europeas de privacidad afectarán a miles de empresas españolas
Se esperaba la decisión desde hace meses y al fin ha llegado. El Tribunal de Justicia Europeo (TJUE) invalidó ayer el conocido como ‘Safe Harbour’, un acuerdo que autorizaba a compañías estadounidenses a transferir a sus servidores en EEUU datos personales de sus usuarios y clientes ubicados en Europa. El acuerdo, vigente desde el año 2000, lo habían aprovechado desde entonces Facebook, Amazon, Google o Twitter para montar sus imperios. La decisión del TJUE frena ahora este intercambio de datos, que tendrá que ser inspeccionado y aprobado en cada país europeo. Irónicamente, los más afectados al final no serán las grandes multinacionales, sino miles de pequeñas y medianas empresas españolas.
La decisión del TJUE
El Tribunal de Justicia Europeo ha sido rotundo en su sentencia: «una normativa que permite a las autoridades públicas acceder de forma generalizada al contenido de las comunicaciones electrónicas [de los usuarios] lesiona el derecho fundamental al respeto de la vida privada». Por este motivo, el Tribunal ha declarado nulo el acuerdo que desde el 2000 permitía a compañías transferir a servidores en EEUU datos de usuarios y clientes ubicados en Europa.
La decisión se produce tras la demanda realizada en el 2013 por el activista austriaco Maximilian Schrems, quien denunció a Facebook por transferir sus datos personales desde la sede europea en Irlanda a sus servidores en EEUU. Los documentos filtrados por Edward Snowden sobre las prácticas de la Agencia de Seguridad Nacional (NSA) probaron luego que el Gobierno estadounidense tenía vía libre para espiar no solo a ciudadanos estadounidenses, también a los europeos gracias precisamente a la transferencia de datos entre continentes.
«La decisión del Tribunal debería marcar un hito en lo referente a la privacidad online. Pone también de manifiesto que los gobiernos y empresas simplemente no pueden ignorar nuestro derecho a la privacidad. La decisión es una enorme bofetada para el espionaje global de EEUU, que se apoya fuertemente en socios privados», ha explicado triunfante Maximillian Schrems en un comunicado.
Victoria relativa
Pese a suponer un paso importante para proteger la privacidad de los ciudadanos europeos, la decisión del TJUE no implica que Facebook o Amazon estén obligados a dejar de transferir de forma inmediata datos personales de sus usuarios entre EEUU y Europa. ¿Por qué?
Serán las agencias de protección de datos en cada país las que ahora tendrán que analizar si estas transferencias se ajustan a las leyes de privacidad europeas o no. Y lo tendrán que hacer bien de oficio (algo que no parece que vaya a ocurrir) o reaccionando a la denuncia de algún ciudadano. Es decir, caso a caso. Algo parecido a lo sucedido con Maximillian Schrems y su denuncia en Irlanda, pero en España.
Para Samuel Parra, jurista especializado en internet, la decisión del TJUE era necesaria y lógica, pero supondrá un «mero trámite» para las multinacionales como Facebook, Amazon o Google.
«En los próximos meses todas estas compañías añadirán uno o dos párrafos en sus términos de uso avisando a los usuarios de que transferirán su datos a EEUU, nadie los leerá, todos aceptaremos y su problema básicamente se habrá acabado. En realidad, quienes se verán más afectadas por esta decisión serán las miles de ‘pymes’ españolas que hayan contratado proveedores de alojamiento (‘hosting’) en EEUU. Estas tendrán que tomar medidas pronto», explica Parra a ‘Teknautas’. Irónico que la decisión del TJUE, pensada para frenar a los grandes, acabe afectando principalmente a los más pequeños.
Las grandes perjudicadas: las empresas españolas
Miles de empresas españolas, especialmente ‘pymes’, tienen contratados servicios de alojamiento en EEUU por un sencillo motivo: es mucho más barato que contratarlos en España o Europa. «Con la decisión del TJUE se crea un limbo legal en el que cualquier cliente en España de estas ‘pymes’ podría denunciarles por transferir sus datos a servidores en EEUU. Si la denuncia es ante la Agencia Española de Protección de Datos, las multas podrían llegar a los 600.000 euros. Para Facebook esto es calderilla, pero para una pyme, aunque la multa sea de 50.000 o 100.000 euros, es un golpe que la hunde», explica Parra.
Según juristas especializados, las empresas en España que hayan contratado proveedores de ‘hosting’ ubicados en EEUU y que además figuren en la lista de empresas acogidas al acuerdo ‘Safe Harbour’ ahora invalidado (se puede buscar en este directorio qué empresas son), tienen básicamente 3 opciones.
1) Intentar comunicar a sus clientes que existe transferencia de datos personales y conseguir su aprobación. Complicado.
2) Conseguir autorización de la Agencia Española de Protección de Datos respecto a dichas transacciones. Teniendo en cuenta que la AEPD aún no se ha pronunciado claramente sobre la decisión del TJUE, parece también complicado.
3) Cambiar de proveedor de alojamiento a otro ubicado en España o el resto de Europa.
Según Carlos Sánchez-Almeida, abogado especializado en internet, lo primero que deberían hacer estas empresas es cursar una consulta a la AEPD para saber si su actividad y transferencia de datos a EEUU es legal o no. Es decir, la pelota está ahora en el tejado de este organismo.
«La AEPD debería pronunciarse de oficio al respecto y no esperar a la denuncia de algún ciudadano, porque llegará», explica Almeida a «Teknautas». La propia AEPD ha confirmado a este diario que tiene prevista coordinarse próximamente con el resto de agencias europeas para acordar un frente común de actuación. Pero aún no hay fecha. Mientras eso no ocurra, nuestros datos personales seguirán volando al otro lado del charco. Y no, ni a Facebook, ni a Amazon ni a Google les preocupa en absoluto.
Fuente: elConfidencial.com