Europa v Facebook
Maximiliam Schrems, es un estudiante de derecho de origen austriaco, activista de la privacidad, quien desde años ha desarrollado campañas contra Facebook por presuntas violaciones a la privacidad de sus usuarios al ceder datos de los ciudadanos europeos usuarios de esta red social a la Agencia de Seguridad Nacional de los Estados Unidos la NSA, como parte del programa PRISM.
Cuando Schrems estaba cursando su último semestre en la Universidad de Santa Clara en Silicon Valley comenzó a realizar un seguimiento detallado sobre el tratamiento que Facebook en Estados Unidos hace a los datos personales de ciudadanos europeos y encuentro serias deficiencias al respecto. A partir de las revelaciones hechas por Snowden en 2013, Maximiliam Schrems decide presentar una denuncia ante la autoridad irlandesa de control para que esta determinara si el tratamiento que Facebook le da a los datos personales de ciudadanos europeos es seguro o no, en vista que los servidores principales se encuentran ubicados en los Estados Unidos y las leyes de protección de datos de la Unión Europea solo permiten la transferencia de estos datos hacia paises considerados seguros, es decir, paises qe tengan leyes de privacidad. Estados Unidos no dispone de una ley federal de protección de datos razon por la cual así es catalogado por los paises que disponen leyes en materia de proteccion de datos, entre ellos los Europeos miembros de la Unión, y por Colombia que igualmente prohibe la transferencia Internacional de datos personales a paises no seguros.
En aquel momento, la autoridad irlandesa desestimó esa reclamación debido a que, en su Decisión de 26 de julio de 2002 la Comisión había considerado que, en el marco del régimen del tratado denominado de «Puerto Seguro o Safe Harbor», Estados Unidos garantiza el cumplimiento de los principios que caracterizan el tratamiento de datos personales en el regimen europeo. No obstante, el caso fue sometido al conocimiento del Tribunal de Justicia Europeo, quien el día de ayer fallo a favor de Schrems. El efecto es que la transferencia internacional de datos personales desde Europa hacia Estado Unidos es ilegal, lo que obliga a negociar y finiquitar las negociaciones que venia realizandose desde hace unos años para incrementar el nivel de exigencia en la materia.
La Corte de Luxemburgo concluyó que el Ejecutivo comunitario no llevó a cabo un examen adecuado para determinar si EEUU garantizaba efectivamente un nivel de protección de los derechos fundamentales equivalente al de la UE en materia de transmisión de datos personales de sus ciudadanos. La Corte aclara que aunque exista una decisión de la CE que declare que un país tercero es un «puerto seguro», las autoridades nacionales pueden examinar si la transferencia de datos se hace con un nivel de protección adecuado y acudir a los tribunales nacionales en caso contrario. En cuanto a su decisión de invalidar esa decisión de la Comisión Europea, el Tribunal explica que Bruselas (donde esta el ejecutivo) se limitó a analizar el llamado «régimen de puerto seguro», que es únicamente aplicable a las empresas estadounidenses que se han adherido a él y que no somete a las autoridades públicas de los Estados Unidos.
En conclusión, cualquier Estado miembro de la Unión Europeo tiene la obligación bloquear el envío de datos personales a EE UU, según esta sentencia del Tribunal de Justicia de la UE sobre la que no cabe recurso. El fallo habilita a las agencias nacionales de protección de datos para que frenen las transferencias de datos de ciudadanos europeos a terceros países no seguros para el tratamiento de datos personales (incluido EE UU) si consideran que la empresa —o territorio— a la que se destinan no es fiable. En virtud de este dictamen, el criterio de las agencias prevalecerá sobre el de la Comisión Europea, que desde el año 2000 hasta hoy consideró el territorio estadounidense como puerto seguro.
Tras la sentencia de hoy, la autoridad irlandesa de control está obligada a estudiar la reclamación de Schrems y decidir si debe suspenderse la transferencia de datos de los usuarios europeos de Facebook a EEUU.
Esta sentencia tiene un impacto trascendental no solo en Europa, sino también en países como Colombia, en el cual la ley 1581 de 2012 establece la misma prohibición.
Surge una pregunta en el ámbito colombiano, las empresas colombianas están cumpliendo con la prohibición establecida en la Ley 1581 de 2012 frente a las transferencias internacional de datos personales a países no seguros.
Este tema lo seguiremos abordando en los próximos días y semanas.