¿Qué es el Safe Harbour?

Bien, Safe Harbour significa literalmente puerto seguro como el título de este post, es una decisión de adecuación de carácter sectorial a la que pueden acogerse, exclusivamente, compañías establecidas en los EE.UU., por lo que no se puede extender su aplicación, como en algún momento se ha pretendido (e incluso se sigue pretendiendo) a compañías filiales de empresas americanas establecidas fuera de este país. El sistema de adhesión por parte de las empresas de manera voluntaria a los requisitos de Puerto Seguro, se fundamenta, exclusivamente, en una declaración unilateral de las compañías respecto de que cumplen los requisitos de Puerto Seguro y, posteriormente, el control de dicho cumplimiento se encomienda a una auditoría que se puede llevar a cabo por personal interno de la entidad. Es decir, es un esquema de auto certificación, autorregulación y auto evaluación en el que pueden no existir nunca controles externos respecto de las actividades y prácticas de protección de datos de las compañías adheridas a Puerto Seguro.

A esto se refiere la Decisión 2000/520/CE de 26 de julio con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la Protección conferida por los principios de Puerto Seguro para la Protección de la Vida Privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de EE.UU.

Cabe destacar que independientemente del Puerto Seguro o Safe Harbour, como regla general, en el caso de empresas transnacionales y al tratarse de empresas que disponen de servidores en diferentes Estados por todo el mundo, habrá que tener en cuenta donde se encuentran ubicados dichos servidores, es decir si hablamos de Estados miembros de la Unión Europea, será de aplicación la Directiva 95/46/CE y en su caso la normativa del Estado miembro que la desarrolle, pero en el caso de que los servidores se encuentren ubicados en Estados que no pertenezcan al espacio de la Unión Europea, se deberá observar si disponen de algún tipo de acuerdo, tratado o convenio en el que se establezcan las medidas de seguridad oportunas y por último en caso de no ser así se deberá solicitar autorización expresa para la cesión internacional de los datos personales al Director de la Agencia Española de Protección de Datos, tal y como se describe en la página web de la Agencia Española de Protección de Datos de Carácter Personal Transferencias internacionales de datos .

    En muchos de los supuestos de los proveedores de Cloud Computing o servicios en la nube más importantes del mundo, la recepción de los datos y la cesión de los mismos suele darse a dos o más países, Irlanda el cual es miembro de la Unión Europea, por lo que será de aplicación la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Terceros países donde se deberá estudiar si existe algún tipo de convenio o acuerdo y EEUU.

    Es en este último caso en el que al tratarse de un Estado no miembro, le era de aplicación la Decisión 2000/520/CE de la Comisión Europea del 2000 de 26 de julio con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la Protección conferida por los principios de Puerto Seguro o Safe Harbour para la Protección de la Vida Privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de EE.UU. Por lo que para garantizar la efectividad de la decisión, el Departamento de Comercio de Estados Unidos de América, o su representante, debía mantener a disposición del público una lista de entidades que auto certificasen su adhesión a los principios y a su aplicación y quedasen sujetas a la jurisdicción de la Federal Trade Comission o FTC Comisión Federal de Comercio, con arreglo a la competencia que le confiere el Artículo 5 de la Ley de la Comisión Federal de Comercio, o del Departamento de Transporte de Estados Unidos, con arreglo a la competencia que le confiere el Artículo 41.712 del Título 49 de la United States Code, los cuales estarán facultados para investigar las quejas que se presenten y solicitar medidas provisionales contra las prácticas desleales o fraudulentas, así como reparaciones para los particulares que estén sujetos a esta jurisdicción, independientemente de su país de residencia o de su nacionalidad.

    Se consideraba así, a tenor de los requisitos exigidos en la Directiva 95/46/CE, que los principios de puerto seguro garantizaban un nivel adecuado de protección de los datos personales transferidos desde la Comunidad Europea a entidades establecidas en Estados Unidos, siempre que la entidad receptora de los datos hubiese manifestado al Departamento de Comercio de Estados Unidos o a su representante, de forma inequívoca y pública, su compromiso de cumplir estos principios de puerto seguro y se sujetase a la jurisdicción a la que nos hemos referido aceptando lo siguiente: Do you agree to cooperate and comply with the European Data Protection Authorities? Yes.

    Para la UE, la protección de datos personales es un derecho fundamental de los ciudadanos. Así lo reconocen explícitamente algunas constituciones de los Estados miembros (la española, entre ellas). Además, tanto la UE mediante diversas directivas como sus Estados miembros al transponer las mismas, han aprobado normas jurídicas de obligado cumplimiento y de carácter general en las que se establecen los principios y los derechos que los ciudadanos tienen respecto al tratamiento de sus datos personales. Finalmente, en todos los Estados miembros existen autoridades de control independientes encargadas de la supervisión del cumplimiento de la legislación en esta materia.

    En este sentido, el pasado seis de octubre en el que el TJUE en su gran sala, declaró inválida la Decisión 2000/520/CE de la Comisión Europea del 2000 de 26 de julio con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, que declaraba el nivel adecuado de protección del Puerto Seguro o Safe Harbour.

    • En concreto, la sentencia proclama que la Decisión de Puerto Seguro es inválida por dos motivos:
    • Porque entiende que prevalece incondicionalmente y sin ninguna limitación “la seguridad nacional, el interés público o el cumplimiento de la ley” sobre los derechos fundamentales a la intimidad y la protección de datos, sin otorgar a los ciudadanos europeos ningún medio para obtener la tutela efectiva de esos derechos.