18 de mayo de 2019
Publicado originalmente en el Blog FIDE (El Confidencial).
El debate del último año respecto de las transferencias internacionales de datos al territorio de los Estados Unidos no puede entenderse si no se considera mediante la confrontación de modelos constitucionales. Cuando el Tribunal de Justicia anuló la Decisión de Puerto Seguro, no exigió un nivel de protección exactamente igual pero sí condiciones de protección de los derechos de los ciudadanos europeos sustancialmente similares. Sin embargo, hay cuestiones de cultura jurídica no suficientemente subrayadas.
La Declaración de Derechos en la Constitución Norteamericana los configura como triunfos frente al Estado. Delimitan una esfera de tutela frente a cualquier injerencia del poder, más intensa si cabe en el marco de la Cuarta Enmienda. La privacidad, la protección de datos, la informational privacy, nace al amparo de las sombras y penumbras constitucionales de la Cuarta Enmienda y la cláusula de Estado de Derecho. Sin embargo, desde el punto de vista de las relaciones privadas, el marco normativo de la privacidad se basa en principios de Derecho Civil, en la autonomía de la voluntad y el derecho de daños (Tort Law). No obstante en los últimos años se han aprobado normas sectoriales en el ámbito de las telecomunicaciones y del comercio y sujetas a la tutela de agencias como la Federal Trade Commission (FTC).
El sistema fue de algún modo alterado tras el 11 de septiembre por la USA Patriot Act. La protección constitucional frente a las entradas y registros en el ámbito electrónico sufrió una enorme relajación hasta el punto que la invocación de la cláusula de lucha antiterrorista permitía la interceptación secreta de las telecomunicaciones bajo la dirección de un juez del Tribunal Supremo. Y si esto ocurría con los nacionales, mayor intensidad alcanzaba cuando se trataba de los extranjeros a la luz de la ley FISA (Federal Intelligence Surveillance Act).
Al otro lado del Atlántico, en la Unión Europea, se ha caminado en dirección a la constitucionalización de un derecho fundamental a la protección de datos de naturaleza prestacional que opera tanto frente a los poderes públicos, como en las relaciones privadas. Nuestro modelo trata de resolver las asimetrías que genera el principio de autonomía de la voluntad en el marco del tratamiento de datos, especialmente en Internet. Para ello despliega una legislación protectora, la Directiva 95/46/CE, hoy el Reglamento General de Protección de Datos, y una arquitectura de tutela basada en autoridades administrativas independientes con amplios poderes de inspección y sanción. Al tratar datos los responsables asumen a priori un conjunto de deberes y obligaciones orientadas a la mayor garantía de los derechos de los afectados. Finalmente el activismo judicial del Tribunal de Justicia de la Unión Europea ha consolidado el derecho fundamental a la protección de datos. En Google-Costeja, Digital Rights Ireland y Schrems el Tribunal ha operado como juez de constitucionalidad derogando en los dos últimos casos la Directiva de conservación de datos de tráfico y la Decisión de Puerto Seguro. A este lado del mar, el TJUE limita las tendencias de los estados a sacrificar la privacidad y el secreto de las comunicaciones en la lucha contra el terrorismo. Sólo desde la comprensión de esta realidad, podremos determinar el alcance de Privacy Shield y de los riesgos que todavía existen en esta materia.
La anulación de Safe Harbor se basaba en un hecho bastante claro: EE.UU no era un lugar confiable para la garantía de los derechos fundamentales de los ciudadanos europeos. Hablamos aquí de derechos fundamentales de modo consciente para enfatizar la naturaleza instrumental de los derechos orientados a garantizar la vida privada. Se proyectan sobre el conjunto del Ordenamiento y pueden afectar a otros derechos como la libertad ideológica, la libertad de expresión o la libertad ambulatoria.
Privacy Shield hereda estructuralmente hablando la genética de Safe Harbor. Se trata de un mecanismo de autocertificación. Las empresas se acogen al marco y declaran aceptar el cumplimiento de un conjunto de principios de privacidad que la decisión enmarca e interpreta. La lista Privacy Shield es administrada y controlada por el Departamento de, de Comercio. La aplicación de los principios de privacidad corresponde a la FTC y el Departamento de Transporte en el marco de sus respectivas competencias. Los principios de privacidad son homologables con los europeos. Transparencia, principio de calidad,- proporcionalidad, finalidad y veracidad o actualización-, que se garantice la obtención del consentimiento o cuando los datos deseen tratarse para fines distintos o en todo caso que se limite el uso para fines incompatibles, normas de seguridad, o el acceso gratuito a los datos por parte de los titulares. Por otra parte se adoptan un conjunto de cautelas relacionadas con las llamadas transferencias ulteriores, cuando los datos se transfieren a un tercero ya sea en Estados Unidos o al territorio de un tercer país. Asimismo se trata de garantizar el derecho de que el titular de los datos residente la Unión Europea tenga derecho a una reclamación o recurso tanto en el contexto de su relación con la propia empresa, como mediante el acceso a un sistema de tutela.
Es precisamente el establecimiento de garantías adicionales el elemento más relevante El primer procedimiento a la tutela, común a Safe Harbor, se base en la existencia de una lista oficial de entidades certificadas. La revisión de la certificación es anual y obliga al cumplimiento del conjunto de los principios que inspiran la Decisión. Esto supone el deber de abandonar la Lista cuando no se reúnan los requisitos y, sobre todo, la posibilidad de que el Departamento de Comercio excluya de la Lista de aquellas entidades que no cumplen con los compromisos establecidos. Por tanto la primera garantía para las entidades europeas y para los ciudadanos es la propia presencia de las empresas certificadas en esta lista. Los deberes del Departamento de Comercio no son puramente reactivos y se le faculta para supervisar de oficio cualquier afirmación fraudulenta de participación en el Escudo de Privacidad.
La garantía de los derechos a través del sistema de reclamaciones se articula en varios planos. El primero de ellos consiste en la posibilidad de acudir a la empresa directamente o por medio del Departamento de Comercio. Las empresas deben disponer de un procedimiento eficaz y resolver en 45 días. La segunda posibilidad es reclamar ante un organismo independiente de solución de conflictos radicado en Estados Unidos o en la UE. Esta entidad se encarga de investigar y resolver las reclamaciones individuales de la persona a través de una vía de recurso gratuita. La ejecución de la resolución de esta entidad independiente está sujeta al control por parte de la FTC y el Departamento de Comercio y la declaración de incumplimiento lleva aparejada la exclusión de la Lista. El tercer nivel de un recurso ofrece la posibilidad de presentar la reclamación ante una autoridad nacional de protección de datos (DPA). Las entidades de la Lista están obligadas a cooperar con las DPA cuando se trata de reclamaciones relacionadas con los recursos humanos o cuando expresamente se han sometido a su supervisión. En caso de no atender las recomendaciones de la DPA se tramita un procedimiento través de la FTC para adoptar medidas coercitivas.
El sistema se cierra con una colaboración específica del Departamento de Comercio a la hora de recibir examinar y fiscalizar las reclamaciones y a través de los mecanismos de actuación de la FTC. En ambos casos se han pactado procedimientos estandarizados y puntos de contacto para la tramitación. Debe señalarse que el procedimiento ante la FTC permite la adopción de medidas administrativas de cumplimiento obligatorio y acudir a la jurisdicción para que se impongan multas coercitivas.
Finalmente, cabe también acudir a un procedimiento de arbitraje vinculante a través del Panel del Escudo de Privacidad que plantea una doble peculiaridad. El solicitante no soporta costes, salvo los relativos a su apoyo jurídico, y en segundo lugar, no da lugar a una resolución indemnizatoria en términos económicos. Para esto hay que acudir la jurisdicción ordinaria. Por último siempre queda abierta la posibilidad de que se considere una infracción al derecho por parte de una DPA nacional o abrir vías de recurso ante la jurisdicción ordinaria conforme al Derecho estadounidense puede abrir. Seguimos.
Aquí podríamos finalizar nuestro artículo declarándonos satisfechos. Sin embargo, el meollo de la cuestión se encuentra en el Anexo Tercero que se ocupa del acceso a datos por autoridades de EE.UU y singularmente a efectos de seguridad nacional. La Decisión describe un conjunto de regulaciones internas en Estados Unidos y en particular de Órdenes Ejecutivas y Directivas Presidenciales que de algún modo tratan de disciplinar el tratamiento de datos en el contexto de las vigilancias masivas indiscriminadas en Internet. Su descripción sería muy prolija. Baste señalar que responden a la idea de garantizar los derechos fundamentales y en particular la privacidad. Se propone también una limitación del volumen de información a recabar incluso en caso de vigilancia indiscriminada. En tercer lugar se acota el ámbito de aplicación a finalidades concretas como son detectar y neutralizar las amenazas que plantea el espionaje, el terrorismo, las armas de destrucción masiva, las amenazas de ciberseguridad para las Fuerzas Armadas, así como las amenazas delictivas trasnacionales relacionadas con los estos fines que se revisan con una periodicidad mínima anual. El acceso se produce en el marco de la Ley FISA o por el FBI de acuerdo con procedimientos tasados. La Decisión acota el marco de aplicación y determina las condiciones de legitimación para estos tratamientos.
Aunque no se puede negar el esfuerzo la lucha antiterrorista se conduce siempre en un marco normativo interpretable. Ciertamente se apuesta por una cierta razonabilidad de modo que no se adopten decisiones de carácter genérico, se busque la proporcionalidad y se protejan intereses legítimos en materia de privacidad y libertades civiles. Y aunque desaparece la discriminación de los no nacionales en FISA, hablamos de un conjunto de conceptos jurídicos indeterminados por necesidad y de plazos de conservación de cinco años. Muy por encima de lo que el Tribunal de Justicia de la UE consideró como razonablemente proporcional al derogar la Directiva 2006/24/CE.
La Comisión ha examinado la presencia de sistemas de control interno en las autoridades de EE.UU., -como oficiales de privacidad y comités de supervisión-, de Comités de control parlamentario, e incluso la creación de un Ombudsman específico. También el acceso a recursos jurisdiccionales para impugnar la vigilancia electrónica ilegal mediante la exigencia de indemnización por daños y perjuicios, demandas funcionarios públicos a título individual, o sobre la legalidad de la vigilancia.
No hay duda sobre la existencia formal de mecanismos de tutela. Los ciudadanos europeos podrán ver realizados sus derechos tanto frente a las empresas que tratan los datos como frente al Gobierno de los Estados Unidos. Sin embargo la multitud de procedimientos previstos o las dificultades que sin duda plantea la actuación frente a una jurisdicción extranjera, hacen albergar serias dudas sobre la eficacia y eficiencia de los mecanismos establecidos. El ciudadano carece de los recursos, de los conocimientos y de los medios para poder abordar estas cuestiones.
Pero lo más relevante reside en la intensidad de las vigilancias, su proporcionalidad y el periodo de conservación. Desde este punto de vista, si bien es cierto que los mecanismos para la tutela empresarial, arbitral, administrativa o procesal de los ciudadanos europeos puede haber mejorado no lo es menos que el Ordenamiento jurídico que le sirve de base sigue siendo discutible en cuanto al grado de garantía de los derechos fundamentales. Es obvio que los datos del ciudadano europeo podrían alojarse en Corea del Norte contando con todas las garantías, e incluso con un contrato aceptado por una DPA, pero a nadie se nos ocurriría considerar que el Ordenamiento garantice allí los derechos fundamentales. Afortunadamente, no es el caso de Estados Unidos. Sin embargo ello no obsta a que desde las organizaciones de defensa de los derechos civiles propiamente norteamericanas y desde luego y sin duda de las europeas, se cuestione que el marco jurídico general de la lucha antiterrorista en Estados Unidos resulte respetuoso con los derechos que la Cuarta Enmienda concede a los ciudadanos norteamericanos y por extensión a los europeos.
Por tanto, no dude el lector que el Parlamento Europeo, o una parte de él, las organizaciones de derechos civiles, y ciudadanos individuales continuarán cuestionando el sistema y poniendo en duda su legitimidad. Puede que Schrems sea seguida por una segunda sentencia.
.jpg)
