La sentencia dictada por el Tribunal de Justicia de la Unión Europea 6 de octubre de 2015 en el asunto C 362/14, el caso Maximillian Schrems, se une a las dictadas en el caso Costeja-Google y Digital Rights Ireland para delimitar una nítida frontera en el marco europeo de la protección de datos. Puede afirmarse sin duda que existe un antes y un después de estos pronunciamientos. En tal sentido, y con todas sus consecuencias la conformación pretoriana del derecho fundamental a la protección de datos en el seno de la Unión adquiere y reafirma perfiles propios y diferenciados.
En este sentido, el TJUE se alinea de modo muy claro con la evolución marcada por algunos de los más significativos dictámenes del Working Party en materia de buscadores, redes sociales, cloud computing o publicidad comportamental, al menos en lo relativo a la aplicabilidad del Derecho de la Unión. De hecho, y adelantándose a las previsiones de la Propuesta de Reglamento general de protección de datos, se afirma de modo rotundo la aplicabilidad de la vigente Directiva allende los mares bajo ciertas circunstancias. Y todo permite apuntar, que si se hubiera planteado algún caso relacionado con cookies, aplicaciones móviles o fingerprints se acabaría por cerrar el modelo partiendo del concepto de uso de medios en el territorio de la Unión. Safe Harbor va más allá de lo evidente y presenta múltiples aristas.
El Tribunal de Justicia: juez de constitucionalidad.
No cabe duda que el TJUE ha asumido una posición más propia de una Corte Constitucional, de la mano de la juridificación de la Carta Europea de los Derechos Fundamentales, que de lo que en realidad es, un tribunal que verifica e interpreta el Derecho en una organización internacional sui generis. Dicho de otro modo, ha consolidado un camino histórico hacía la constitucionalización de los Tratados pero con un matiz diferencial de un profundo valor jurídico. Antes, consideró indispensable la interpretación del Derecho Comunitario de modo que no contraviniese las tradiciones constitucionales de los Estados miembros, después erigió el Convenio Europeo de Derechos Humanos como parámetro de interpretación y como norma vinculante. Hoy, declara directamente la nulidad de actos jurídicos de las Instituciones cuando contravienen los derechos reconocidos por la Carta.
Y es importante subrayar que las citadas sentencias se enmarcan en la misma tradición que las del Tribunal Europeo de Derechos Humanos, -por ejemplo en Rotaru, Z c. Finlandia o Marper,- y abordan el fenómeno de la vida privada en su conjunto. Costeja-Google, no va más allá del territorio de la protección de datos, aunque sin embargo aborda el tradicional conflicto entre libertad de expresión, interés público y privacidad. Digital Rigths Ireland y Safe Harbor incluyen en su ámbito de interés tanto los artículos 7 y 8 CEDF construyendo una teoría de la privacidad que incluye también el secreto de las comunicaciones y la intimidad. Y en este contexto, el tribunal está obligado a ser muy rigurosos en el futuro.
El Tribunal Europeo de Derechos Humanos, y más de un tribunal constitucional nacional han debido abordar la cuestión desde un concepto amplio de dignidad, y con suerte de vida privada, sobre el que han ido construyendo distintas manifestaciones fenomenológicas. El TJUE cuenta con un arsenal normativo muy preciso en los artículos 7 y 8 CEDF y está obligado a delimitar con claridad el territorio de cada uno de los derechos concernidos. De lo contrario, como se ha ido señalando en más de una ocasión, corremos el riesgo de que el derecho fundamental a la protección de datos juegue un papel similar al de los agujeros negros atrayendo al centro de su vórtice gravitatorio el conjunto de los derechos.
En lo que aquí interesa, es fundamental entender que el TJUE ha configurado con claridad un derecho fundamental europeo a la protección de datos que se mueve en los estrictos cánones marcados por el Tribunal Constitucional Federal alemán primero, la llamada autodeterminación informativa, y la Corte Española con la STC 292/2000 después.
Sin embargo, a mi juicio lo más relevante es la afirmación del modelo en su dimensión institucional y la reafirmación de las facultades de las autoridades de protección de datos. La afirmación de independencia en el caso húngaro, y la delimitación de sus competencias más allá de nuestras fronteras fueron dos grandes hitos. Safe Harbor aporta un elemento cualitativo por cuanto reflexiona sobre el mandato que emana de la Directiva reforzando los poderes de actuación de las autoridades y cerrando definitivamente con ello una de las características diferenciales europeas. El derecho fundamental a la protección de datos es un derecho prestacional, que impone fuertes obligaciones a los responsables, pero además es un derecho fuertemente tutelado por las autoridades. Por mucho que elaboremos complejas teorías, no son ni el consentimiento, ni los principios de protección de datos, los que balancean el sistema corrigiendo las asimetrías en el mercado de la privacidad. Esta tarea corresponde en la práctica a las llamadas DPA. Y como veremos más adelante el TJUE lo ha manifestado con matices, pero con una claridad meridiana, de la capacidad de investigación y de la acción de las autoridades depende la efectiva garantía del derecho fundamental a la protección de datos en la Unión.
El marco jurídico básico.
Para entender el significado último tanto de Safe Harbor como de la sentencia resulta indispensable definir el marco de referencia normativo. El Capítulo IV de la Directiva 95/46/CE regula la transferencia internacional de datos a países terceros e impone a los Estados miembros el deber de que «el país tercero de que se trate garantice un nivel de protección adecuado». Esa adecuación se suele traducir en la existencia de una protección equiparable y se fijan por el artículo 25.2 ciertos criterios para verificarla:
• la naturaleza de los datos;
• la finalidad y la duración del tratamiento o de los tratamientos previstos;
• el país de origen y el país de destino final;
• las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate;
• las normas profesionales y las medidas de seguridad en vigor en dichos países.
Por tanto, no es lo mismo contratar un Cloud para tratar los datos para la gestión del envío de paquetes de un comercio electrónico que la de una clínica odontológica. En lo que aquí interesa es fundamental atender a las condiciones jurídicas del país de destino y a las garantías y protección que ofrece. Muy resumidamente deberían ser dos: 1) que las reglas básicas del Estado de Derecho garanticen límites y garantías frente a la intervención del estado cuando limita la privacidad en sus investigaciones, -Due Process of Law-, y; 2) que el marco de tutela garantice que los ciudadanos podrán obtener protección frente a cualquier lesión de su derecho fundamental a la protección de datos ya provenga de un particular, ya de un poder público.
El sistema no descansa sólo en la Comisión. La Institución posee competencia para declarar que un país tercero garantiza un nivel de protección adecuado y los Estados miembros adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión. No obstante, declarar un nivel adecuado de protección también es una competencia estatal, y así lo prevén de un modo un tanto confuso el artículo 33 LOPD, -que tan sólo se refiere a la autorización previa del Director de la Agencia de Protección de Datos-, y el artículo 67.1 RLOPD que exime de esa autorización «cuando las normas aplicables al Estado en que se encontrase el importador ofrezcan dicho nivel adecuado de protección a juicio del Director de la Agencia Española de Protección de Datos», y le faculta para «la publicación de la relación de países cuyo nivel de protección haya sido considerado equiparable».
Por otra parte, la regulación incorpora reglas de actuación cuando un país no garantiza un nivel de protección adecuado. Si así lo declarase la Comisión, los Estados miembros adoptarán las medidas necesarias para impedir cualquier transferencia de datos personales al tercer país de que se trate, y aquella iniciará en el momento oportuno las negociaciones destinadas a remediar la situación.
En casos graves la regulación española prevé la posibilidad de una suspensión temporal de las transferencias en casos tasados:
a) Que las autoridades de Protección de Datos del Estado importador o cualquier otra competente, en caso de no existir las primeras, resuelvan que el importador ha vulnerado las normas de protección de datos establecidas en su derecho interno.
b) Que existan indicios racionales de que se estén vulnerando las normas o, en su caso, los principios de protección de datos por la entidad importadora de la transferencia y que las autoridades competentes en el Estado en que se encuentre el importador no han adoptado o no van a adoptar en el futuro las medidas oportunas para resolver el caso en cuestión, habiendo sido advertidas de la situación por la Agencia Española de Protección de Datos. En este caso se podrá suspender la transferencia cuando su continuación pudiera generar un riesgo inminente de grave perjuicio a los afectados.
Puesto que la autorización para la transferencia puede ser singular en el marco de una relación contractual concreta autorizada, en el de una BCR o en el del uso del modelo de Decisión Contractual Tipo de la Comisión, también se prevé una facultad de suspensión para la Agencia Española de Protección de Datos bajo las siguientes circunstancias:
a) Que la situación de protección de los derechos fundamentales y libertades públicas en el país de destino o su legislación impidan garantizar el íntegro cumplimiento del contrato y el ejercicio por los afectados de los derechos que el contrato garantiza.
b) Que la entidad destinataria haya incumplido previamente las garantías establecidas en cláusulas contractuales de este tipo.
c) Que existan indicios racionales de que las garantías ofrecidas por el contrato no están siendo o no serán respetadas por el importador.
d) Que existan indicios racionales de que los mecanismos de aplicación del contrato no son o no serán efectivos.
e) Que la transferencia, o su continuación, en caso de haberse iniciado, pudiera crear una situación de riesgo de daño efectivo a los afectados.
La integración de la Directiva y su transposición permiten identificar así un criterio básico de decisiva influencia en el caso Safe Harbor desde un punto de vista dogmático. Si la legislación del Estado tercero resultase lesiva respecto de la concepción de los derechos fundamentales en la Unión Europea se darían las circunstancias determinantes para una suspensión individual de las transferencias por un Estado miembro, lo que debería suponer un trámite previo de información recíproca con la Comisión y con el conjunto de los Estados. En tal esquema la Comisión podría suspender con carácter general las transferencias.
Desde el punto de vista de los hechos, la tormenta derivada del caso Snowden, la constatación material por la Comisión LIBE de las circunstancias de la aplicación de la Ley FISA, e incluso la propia posición del TJUE respecto de la propia regulación europea en el caso Digital Rights Ireland, sólo podían conducir a una conclusión: el modelo europeo de garantía de los derechos al secreto de las comunicaciones y el derecho fundamental a la protección de datos no se respetaba en los tratamientos de datos realizados en suelo norteamericano o sujetos a las potestades de investigación de su Gobierno.
Como veremos al entrar en el detalle del caso el TJUE no abre la puerta a la adopción de una decisión unilateral por parte del Comisionado Irlandés de Protección de Datos. Sin embargo, desde un punto de vista de la mera hipótesis y aunque el Tribunal de hecho afirme lo contrario subsisten dudas. Primero, y no nos cansaremos de decirlo, porque el valor jurídico de la Carta Europea de Derechos no confiere necesariamente competencia a la Unión, y desde luego no convierte a los Tratados en una Constitución. Una prueba, material y muy visual de ello es que mientras un tribunal no diga lo contrario la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones sigue plenamente vigente en nuestro país. Aunque miremos para otro lado tarde o temprano deberemos decidir si la Primacía de un Reglamento, o de una Directiva, opera en nuestro sistema constitucional cuando entra en la esfera que los artículos 53 y 81 reservan a la Ley nacional, incluso orgánico, y cuando el artículo 10.2 CE sólo se refiere a los Tratados Internacionales como referente de interpretación del ordenamiento nacional.
Por otra parte, el sistema se completa con un conjunto de excepciones a la regla general de autorización previa global o particular:
a) el interesado haya dado su consentimiento inequívocamente a la transferencia prevista, o
b) la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales tomadas a petición del interesado, o
c) la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar en interés del interesado, entre el responsable del tratamiento y un tercero, o
d) La transferencia sea necesaria o legalmente exigida para la salvaguardia de un interés público importante, o para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial, o
e) la transferencia sea necesaria para la salvaguardia del interés vital del interesado, o
f) la transferencia tenga lugar desde un registro público que, en virtud de disposiciones legales o reglamentarias, esté concebido para facilitar información al público y esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legítimo, siempre que se cumplan, en cada caso particular, las condiciones que establece la ley para la consulta.
Algunas de estas excepciones han sido concretadas en la regulación española de modo específico cuando se refiere a la aplicación de tratados o convenios en los que sea parte España, al auxilio judicial internacional, la prevención o para el diagnóstico médicos, o a la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
Por tanto, y es un elemento relevante, habrá que distinguir a partir de estas excepciones aquellos casos en los que la relación jurídica no es el de tipo responsable-encargado, responsable-cesionario o encargado-encargado, sino una relación directa responsable-afectado titular de los datos.
Las condiciones del tratamiento
El caso que da lugar a la interposición de una cuestión prejudicial por la High Court Irlandesa tiene su origen en la denuncia relativa a la verificación de un posible acceso de la NSA a datos de un ciudadano europeo. Estos eran tratados por una red social cuya filial europea en principio transfiere a Estados Unidos los datos de sus usuarios y los conserva en servidores situados en ese país. Ante la negativa de investigar por parte del Comisionado Irlandés, la cuestión acabó en los tribunales. La razón de la abstención no era otra que la existencia de una habilitación para la transferencia, la Decisión 2000/520, en virtud de la cual la Comisión había constatado que Estados Unidos garantizaba un nivel adecuado de protección.
El TJUE no alberga la menor duda sobre la naturaleza de los hechos y afirma que «la operación consistente en hacer transferir datos personales desde un Estado miembro a un tercer país constituye por sí misma un tratamiento de datos personales, en el sentido del artículo 2, letra b), de la Directiva 95/46». Y esta transferencia exige respetar las disposiciones adoptadas por los Estados miembros en aplicación de la misma Directiva.
En el tratamiento objeto de litigio, la Corte irlandesa apreció de algún modo que los ciudadanos de la Unión no disponen de ningún derecho efectivo a ser oídos en el contexto de FISA. De hecho el sistema se caracteriza precisamente por que la supervisión de las acciones de los servicios de información se realiza a través de un procedimiento secreto y no contradictorio. Esto podría suponer, también en España, una limitación excesiva de los derechos a la intimidad, el secreto de las comunicaciones y el derecho fundamental a la protección de datos. Incluso se refiere la sentencia a la inviolabilidad del domicilio. Derechos protegidos por la Constitución irlandesa que exige que toda injerencia en esos derechos sea proporcionada y ajustada a las exigencias previstas por la ley. Es notoriamente conocido que ni la Ley FISA, ni la Directiva 2006/24/CE se sostienen constitucionalmente hablando desde el punto de vista de la proporcionalidad entendida desde el prisma del modelo europeo de garantía de los derechos fundamentales.
Por tanto, las condiciones del tratamiento en el contexto de las relaciones de una empresa Safe Harbor y el Gobierno de los EE.UU infringirían el derecho nacional y, señala la High Court, «si el asunto principal se tuviera que resolver con fundamento exclusivo en el Derecho irlandés, se debería apreciar que, dada la existencia de serias dudas de que Estados Unidos garantice un nivel adecuado de protección de los datos personales, el comisario habría debido llevar a cabo una investigación sobre los hechos denunciados por el Sr. Schrems en su reclamación, y que la desestimó indebidamente».
Ahora bien, se acude al TJUE puesto que de que lo que se trata es de verificar si «la Decisión 2000/520 no se ajusta a las exigencias derivadas tanto de los artículos 7 y 8 de la Carta como de los principios enunciados por el Tribunal de Justicia en la sentencia Digital Rights Ireland y otros». Se trata dice el TJUE de que
«35. La High Court observa además que, en realidad, el Sr. Schrems impugna en su recurso la licitud del régimen de «puerto seguro» establecido por la Decisión 2000/520, de la cual deriva la decisión discutida en el litigio principal. Así pues, aunque el Sr. Schrems no haya impugnado formalmente la validez de la Directiva 95/46 ni de la Decisión 2000/520, según ese tribunal se suscita la cuestión de si, en virtud del artículo 25, apartado 6, de la Directiva 95/46, el comisario estaba vinculado por la constatación realizada por la Comisión en esa Decisión, según la cual Estados Unidos garantiza un nivel de protección adecuado, o bien si el artículo 8 de la Carta autorizaba al comisario a separarse, en su caso, de esa constatación».
En resumidas cuentas, la cuestión es bastante evidente, habida cuenta del régimen normativo y del precedente jurisprudencial. ¿La concesión de un reconocimiento de adecuación opera de manera automática? ¿Limita las capacidades de actuación de una autoridad? ¿Debería ser revisada regularmente? ¿Está sometida a los límites de «constitucionalidad europea» definidos por los artículos 7 y 8 de la Carta Europea de los Derechos Fundamentales?
¿Cuál es el rol de la autoridad de control?
Una de las cuestiones fundamentales en el caso Safe Harbor reside en determinar si la autoridad venía obligada a una acción positiva, esto es a admitir a trámite la solicitud y a abrir una investigación. El TJUE parte de un elemento crucial en su modo de interpretar la Directiva, su objetivo no es solo definir un marco de garantías, sino de asegurar materialmente hablando «un elevado nivel de protección de esas libertades y derechos fundamentales». Esto se logra, entre otros métodos precisamente estableciendo con carácter obligatorio la institución de una autoridad de control nacional (DPA) dotada de un estatuto de independencia. Es a la DPA a la que compete establecer un balance entre «el respeto del derecho fundamental a la vida privada y los intereses que exigen la libre circulación de datos personales».
Pues bien, constatada la existencia del tratamiento el TJUE admite que difícilmente puede ejercerse esa potestad en un territorio distinto del propio del Estado, pero recuerda que la «transferencia exige respetar las disposiciones adoptadas por los Estados miembros en aplicación de la misma Directiva». Y no sólo esto, que el régimen diseñado por la norma se dirige a garantizar un control por los Estados miembros de las transferencias de datos personales hacia terceros países. Dicho de otro modo, lo que si puede hacer una autoridad incluso sin pisar nunca el suelo del país tercero es verificar si se mantienen las condiciones jurídicas que justificaron la autorización, o en este caso la Decisión, que operaba como causa de legitimación. En este sentido «toda autoridad nacional de control está investida, por tanto, de la competencia para comprobar si una transferencia de datos personales desde el Estado miembro de esa autoridad hacia un tercer país respeta las exigencias establecidas por la Directiva 95/46».
Este régimen jurídico da lugar a un escenario complejo descrito antes al referir el marco jurídico. Una autoridad no podría adoptar decisiones contrarias a la Decisión de la Comisión, pero a la vez la Decisión no puede impedir que presenten una reclamación a las autoridades nacionales de control, denuncia o solicitud, las personas cuyos datos personales hayan sido o pudieran ser transferidos a un tercer país. Y tampoco una Decisión puede significar en la práctica una suspensión funcional. Sencillamente no está previsto, carecería de base jurídica y contravendría la Directiva. Es más materialmente operaría lesionando el derecho fundamental a la protección de datos garantizado por la Carta.
La solución procedimental a este pequeño galimatías pasaría de hecho por trámites similares a los que se han dado en el caso. La solicitud debería ser tramitada por la DPA «con toda la diligencia exigible». Si ésta constatase que una decisión de la Comisión plantea problemas, - cuando esa autoridad considere fundadas las alegaciones-, debería disponer de un recurso en Derecho interno que le permita acudir a los Tribunales «para que éstos, si concuerdan en las dudas de esa autoridad sobre la validez de la decisión de la Comisión, planteen al Tribunal de Justicia una cuestión prejudicial sobre la validez de ésta»
El rol de la Comisión.
Respecto de las tareas y responsabilidades asignadas a la Comisión el TJUE es particularmente contundente: debe ser particularmente diligente y este deber es continuado en el tiempo. No se trata de hacer una foto estática sino de mantener una visión dinámica y actualizada.
«75. (…) al valorar el nivel de protección ofrecido por un tercer país la Comisión está obligada a apreciar el contenido de las reglas aplicables en ese país, derivadas de la legislación interna o de los compromisos internacionales de éste, así como la práctica seguida para asegurar el cumplimiento de esas reglas, debiendo atender esa institución a todas las circunstancias relacionadas con una transferencia de datos personales a un tercer país, conforme al artículo 25, apartado 2, de la Directiva 95/46.
76. De igual modo, dado que el nivel de protección garantizado por un tercer país puede evolucionar, incumbe a la Comisión, tras adoptar una decisión en virtud del artículo 25, apartado 6, de la Directiva 95/46, comprobar periódicamente si sigue siendo fundada en Derecho y de hecho la constatación sobre el nivel de protección adecuado garantizado por el tercer país en cuestión. En cualquier caso esa comprobación es obligada cuando hay indicios que generan una duda en ese sentido.»
Y ello alcanza, obviamente, las circunstancias sobrevenidas después de la adopción de una Decisión. La conclusión, podría decirse que política es ciertamente contundente, basta con volver la mirada hacía atrás a las constantes advertencias y reclamaciones del Parlamento, e incluso leer entre líneas algunos documentos de trabajo del Working Party, incluso a las propias indagaciones de la Comisión, para establecer qué es lo que debería haber hecho en realidad la Institución.
La nulidad de la Decisión.
Vistos los antecedentes, la sentencia podría haberse detenido afirmando que correspondía a la DPA tutelar y en su caso a la Comisión actuar revisando la Decisión. Sin embargo, el TJUE va mucho más allá y revisa la propia Decisión desde un punto de vista de constitucionalidad. En primer lugar, al examinar el mecanismo de mera declaración, de autodeclaración pública de la adhesión a los principios de Puerto Seguro el Tribunal identifica una puerta abierta por completo a la prevalencia de los intereses de seguridad nacional de los Estados Unidos. Dicho de otro modo, en el momento en que una empresa suscribe Puerto Seguro está sujeta a ciertas obligaciones y controles, por ejemplo por parte de la Federal Trade Commision. Pero la tutela se limita a aspectos meramente comerciales. Si la entidad decide abrir de par en par sus servidores a la NSA o al FBI la posibilidad de invocar la tutela de nuestros derechos fundamentales es nula. No se aplican aquí los artículos 197 y ss. del Código Penal, no hay una inspección de la Agencia Española de Protección de Datos, no tenemos un juez del Supremo controlando al CNI y un cauce procesal claro. Los ciudadanos extranjeros carecen de derechos frente a la ley FISA, y las autorizaciones son secretas y bajo condiciones muy por debajo del estándar de la cinematográfica causa probable.
Y lo que es más grave, desde su firma no se previó un modelo de tutela, de garantía de los derechos frente a las injerencias estatales. Ni tampoco después de las modificaciones procesales de la USA Patriot Act detectadas por la doctrina jurídica norteamericana y europea de modo inmediato incluido quien esto escribe. La descripción de este hecho es contundente:
«90. Por otro lado, el análisis precedente de la Decisión 2000/520 se confirma por la apreciación que la misma Comisión ha realizado sobre la situación resultante de la aplicación de esa Decisión. En efecto, en particular en los puntos 2 y 3.2 de la Comunicación COM(2013) 846 final y en los puntos 7.1, 7.2 y 8 de la Comunicación COM(2013) 847 final, cuyo contenido se expone respectivamente en los apartados 13 a 16, y 22, 23 y 25 de la presente sentencia, la Comisión constató que las autoridades estadounidenses podían acceder a los datos personales transferidos a partir de los Estados miembros a Estados Unidos y tratarlos de manera incompatible con las finalidades de esa transferencia, que va más allá de lo que era estrictamente necesario y proporcionado para la protección de la seguridad nacional. De igual modo, la Comisión apreció que las personas afectadas no disponían de vías jurídicas administrativas o judiciales que les permitieran acceder a los datos que les concernían y obtener, en su caso, su rectificación o supresión.
Y ello tiene una consecuencia obvia, no resulta admisible una norma que lesiona materialmente los derechos fundamentales de los artículos 7 y 8 de la Carta al no establecer garantías suficientes. La crudeza en los obiter dicta del Tribunal es significativa ya que no sólo cuestiona la norma, también la diligencia de la propia Comisión. Merece la pena prestar atención a su reproducción literal.
«94. En particular, se debe considerar que una normativa que permite a las autoridades públicas acceder de forma generalizada al contenido de las comunicaciones electrónicas lesiona el contenido esencial del derecho fundamental al respeto de la vida privada garantizado por el artículo 7 de la Carta (véase, en ese sentido, la sentencia Digital Rights Ireland y otros, C 293/12 y C 594/12, EU:C:2014:238, apartado 39).
95. De igual manera, una normativa que no prevé posibilidad alguna de que el justiciable ejerza acciones en Derecho para acceder a los datos personales que le conciernen o para obtener su rectificación o supresión no respeta el contenido esencial del derecho fundamental a la tutela judicial efectiva que reconoce el artículo 47 de la Carta. (...) En ese sentido, la existencia misma de un control jurisdiccional efectivo para garantizar el cumplimiento de las disposiciones del Derecho de la Unión es inherente a la existencia de un Estado de Derecho (…).
97. (…) se ha de observar que la Comisión no manifestó en la Decisión 2000/520 que Estados Unidos «garantiza» efectivamente un nivel de protección adecuado en razón de su legislación interna o sus compromisos internacionales».
Pero además, el artículo 3 de la decisión limita las capacidades de acción de las autoridades de control, ya que aunque les permite suspender individualmente los flujos de datos lo hace «de manera restrictiva, ya que sólo es posible la intervención a partir de un alto umbral de condiciones». Una y otra cuestión dejan vacías de contenido las mínimas garantías del derecho fundamental a la protección de datos y conducen a su declaración de nulidad.
¿Y ahora qué?
En bez-lo que debes saber publicaba hace unos días un resumen apresurado de situación con una valoración de índole más política o práctica que jurídica. La sentencia Safe Harbor va a plantear más de un quebradero de cabeza y obligará a las autoridades nacionales de protección de datos a operar usando todos los registros disponibles. En este sentido, y como se expondrá a continuación, los problemas más urgentes obligan a dibujar con trazo grueso. Urge adoptar decisiones inmediatas que proporcionen seguridad al sistema y ofrezcan una tranquilidad absolutamente necesaria. En este sentido, disculpe el lector que en esta fase de conclusiones no sea capaz de ofrecer más que unas líneas generales que apuntan más a intuiciones que a un mínimo rigor jurídico.
¿Es válido mi contrato? ¿Incumplo la LOPD?
Esta es sin duda la primera y crucial cuestión. El responsable que contrató una empresa Safe Harbor se ha quedado sin base jurídica, el suelo se ha movido bajo sus pies. Y nada en la nota de prensa de la Agencia Española de Protección de Datos ofrece pista alguna más allá de constatar que “ya lo advertimos” y que las autoridades «han planificado actuaciones para coordinarse en el análisis de las implicaciones de la sentencia y en las actuaciones nacionales que deban llevarse a cabo, garantizando una aplicación consistente de la misma en todos los países de la UE».
Pues bien, desde el respeto no cabe sino reivindicar que ninguna de esas “actuaciones nacionales” pueda consistir en aplicar el derecho sancionador. No existiría no ya dolo por parte de los responsables, sino ni siquiera el menor atisbo de culpa, ni siquiera objetiva. Es más, el responsable confío en lo legítimo de su acción y como señala el Expediente Nº: E/00390/2013 actuó «en base al principio de “confianza legítima” al ser la conducta exigida por la Administración y como recoge la SAN, de fecha 29/10/2009, recurso 313/2009, en su Fundamento de Derecho Sexto “ …..sería absurdo sancionar una conducta que la propia Administración sancionadora aconseja”».
Otra cosa será, qué hacer a partir de ahora. Del regulador cabe esperar la generosidad y comprensión que aplicó no hace tanto cuando exoneraba de graves responsabilidades a quienes no leían el correo electrónico. En tal sentido, podría ser más que razonable establecer una suerte de moratoria que permita reajustar los contratos cuya nulidad sobrevenida parece evidente. Probablemente recurrir a dictar una Instrucción que aclaré las cosas pudiera ser una primera salida. Por otra parte, ofrecer algún modelo de cláusula contractual modificativa de los contratos preexistentes no sea una petición descabellada.
Pero aun así, la Ley FISA existe…
Puede que incluso con las medidas anteriormente descritas no resolviéramos el problema. La sentencia Safe Harbor no sólo señala que la Decisión es nula, incluye un elemento de índole material: el sistema jurídico norteamericano no garantiza la tutela de los derechos a la intimidad, el secreto de las comunicaciones ni el derecho fundamental a la protección de datos en el contexto de los poderes que otorga la Ley FISA.
El RLOPD es claro en la materia, es necesario denegar o suspender la transferencia cuando «la situación de protección de los derechos fundamentales y libertades públicas en el país de destino o su legislación impidan garantizar el íntegro cumplimiento del contrato y el ejercicio por los afectados de los derechos que el contrato garantiza». Y por mucho que se esté trabajando en modificar la USA Patriot ACT y FISA no parece que existan garantías homologables.
Pero además en la STC 96/2012 nuestro Tribunal Constitucional estableció un principio particular al reconocer, en el fundamento jurídico segundo de la sentencia, legitimación activa de BBVA para interponer un recurso de amparo:
« (…)
Mayores dificultades suscita la queja principal de la entidad demandante, referida a la vulneración de su derecho a la tutela judicial efectiva en conexión con los derechos a la intimidad y a la protección de datos personales de sus clientes. Ciertamente, si se entendiera que a través de esta queja la demandante pretende hacer valer en el presente proceso constitucional derechos fundamentales que le son ajenos, resultaría obligado concluir que no ostenta legitimación activa para pretender el amparo en este extremo. Sin embargo, no es esto lo que acontece, (…). En definitiva, la demandante es titular del derecho a la tutela judicial efectiva e invoca un interés legítimo también en relación con esta queja, interés que efectivamente concurre, pues, sin perjuicio de que los datos personales objeto de cesión sean de la titularidad de las personas físicas a que se refieren, la entidad bancaria demandante de amparo es la titular de los ficheros en que se contienen esos datos y por ello la responsable de su adecuado tratamiento, uso y custodia, conforme a lo establecido en la Ley Orgánica de protección de datos de carácter personal (LOPD), lo que conduce a rechazar la pretendida falta de legitimación de la demandante para recurrir en amparo, alegada tanto por la asociación ADICAE como por el Ministerio Fiscal».
Es decir, el deber del responsable de cumplir con la LOPD opera como causa excepcional de legitimación y permite inferir un especial deber a la hora de garantizar los derechos de las personas cuyos datos trata incluso frente a una resolución judicial que le obligaba a una cesión de datos personales. Por tanto, cabe plantearse que los responsables sean particularmente rigurosos en la revisión de sus contratos y que sólo exista una vía posible de reconducción de esta materia que no sea otra que residenciar los tratamientos en territorio europeo o en países que cuenten con declaración de nivel de protección equiparable.
¿Y los supuestos de países que cuenten con declaración de nivel de protección equiparable?
La conclusión en esta materia es muy sencilla y de breve exposición. La mera Declaración no bastará en el futuro. La sentencia Digital Rights Ireland ¿debería obligar a revisar Declaraciones de adecuación en aquellos países que hayan dictado leyes de retención de datos en las telecomunicaciones equiparables a la fenecida Directiva 2006/24/CE? De la sentencia deriva sin duda una respuesta afirmativa.
¿Y qué sucederá con los mecanismos de certificación?
Si algo hemos aprendido de las tres sentencias dictadas, -Safe Harbor, Costeja-Google y Digital Rights Ireland-, es que el TJUE atiende no sólo a los aspectos meramente formales sino a la realidad material. Y no sólo esto, apunta claramente a la garantía del derecho fundamental a la protección de datos como un derecho prestacional prevalente. La certificación de capacidad en el cumplimiento normativo deberá ser robusta y confiable, o no será.
¿Y para el ciudadano de a pie?
No se ha dedicado casi espacio en este trabajo a las relaciones directas responsable-afectado. En realidad no hay nada que decir, ya está todo dicho en «El mercado de la privacidad». Puesto que entre las excepciones al régimen jurídico de autorización previa de las transferencias se encuentran el bien amado consentimiento y la relación contractual, bastará un leve cambio en esas políticas de privacidad que nadie lee.
Safe Harbor será celebrado como un triunfo de la garantía del modelo europeo de privacidad. Y es cierto, en este sentido es un nuevo leading case merecedor de pasar al olimpo de las sentencias que revolucionan el Derecho para toda una generación. Pero Safe Harbor es algo más, es sin duda el certificado de defunción de un modelo legislativo en la Unión que quiso poner una vela a dios y otra al diablo, constata la lentitud de un proceso legislativo que se eterniza y que defiende una cosa sobre el papel mientras hace otra en la práctica, pone de manifiesto la carencia de rumbo y el fracaso de una norma tras otra, o la inoperancia de desarrollos como el de las cookies.
Quien lea este bloque de sentencias de modo triunfalista se equivoca. Se dibuja en el horizonte la necesidad de afinar y resolver muchos problemas en la Propuesta de Reglamento general de protección de datos y, sobre todo, de encontrar un punto de encuentro que haga viable un espacio global de privacidad. En estos días habrán leído mucho sobre cuánto nos jugamos en nuestro futuro económico, algunos escribimos sobre ello y no poco. Ahora de nuevo el Tribunal de Justicia nos hace reflexionar y nos obliga a detenernos un segundo para poner en valor un bien esencial: nuestra intimidad frente al Estado, nuestra libertad sigue en juego, y esto seguro que lo entendería cualquiera de los Padres Fundadores de la Constitución de los Estados Unidos de América.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación