“Enhorabuena, Max Schrems. Has cambiado el mundo para bien”. Con este mensaje reconocía Edward Snowden a un joven austríaco que acaba de vencer a Facebook tras una larga batalla al estilo David contra Goliat. El Tribunal de Justicia de la Unión Europea le ha hecho caso y ha anulado el acuerdo de “Safe Harbor” entre Estados Unidos y Bruselas. ¿Qué significa todo esto y cómo te afecta?
¿Quién es Max Schrems?
Maximilian Schrems, 27 años, doctor en derecho, es la persona detrás de Europe versus Facebook, la plataforma que lleva denunciando a Facebook desde 2011 por no respetar la privacidad de los europeos. Su batalla empezó en Silicon Valley: uno de los abogados de Facebook visitó la universidad en la que Max estaba de intercambio y —tras ser interrogado por el austríaco— demostró tener muy poca idea de las leyes de privacidad europeas. Max Schrems decidió realizar la tesina del semestre sobre este tema.
En 2011, utilizó una serie de mecanismos legales para conseguir que Facebook le enviara toda la información que tenían almacenada sobre él: le remitieron más de 1.000 folios. Con su investigación, Max demostró que la red social no cumplía con el derecho a la privacidad que garantiza la Unión Europea. Entonces creó europe-v-facebook.org y elevó el caso a la justicia con varias demandas.
En 2013 estalló el escándalo de Edward Snowden con el que descubrimos que la NSA espiaba a placer los servidores de las grandes compañías de Internet. Max presentó este hecho ante la autoridad irlandesa de control para demostrar que sus datos personales, transferidos de la filial irlandesa de Facebook a los servidores de Estados Unidos, no cuentan con la protección que dicta la ley. Irlanda desestimó el caso porque existía un acuerdo de Safe Harbor entre Washington y Bruselas que permitía la circulación de estos datos personales.
No obstante, el Tribunal Supremo irlandés decidió consultar a la curia europea. El martes 6 de octubre de 2015 llegó la resolución: “El Tribunal de Justicia declara inválida la Decisión de la Comisión que declaró que Estados Unidos garantiza un nivel de protección adecuado de los datos personales”. En otras palabras, un activista de 27 años ha conseguido tumbar la normativa que permitía que Facebook incumpliera el derecho a la privacidad de los europeos.
Max Schrems con los 1.000 folios de datos personales (Ronald Zak/AP)
¿Qué es el acuerdo de Safe Harbor?
En 1998, la Unión Europea reguló el derecho a la intimidad de los europeos en Internet a través de la Directiva sobre protección de datos de la UE, que en España es la Ley Orgánica de Protección de Datos. La legislación obliga a las empresas de Internet a declarar los datos personales que almacenan y prohíbe la exportación de estos datos entre países. Excepto entre países europeos porque, al regirse por la misma directiva, se consideran seguros.
Otros países se fueron sumando a la lista de legislaciones seguras, pero no fue el caso de Estados Unidos. El derecho a la intimidad en Estados Unidos es bastante más “relajado” que en Europa por lo que la transferencia de datos a servidores americanos está prohibida por defecto. Esto era una mala noticia para los negocios de Internet de Estados Unidos en Europa, así que el 26 de julio de 2000 la Comisión Europea firmó un acuerdo de Safe Harbor para no dejar fuera a las empresas tecnológicas importantes.
Con este trato, Estados Unidos no necesitó formalizar ningún cambio en su sistema legal, solamente sus empresas. Las compañías con normas de privacidad equivalentes a las europeas pasaron a considerarse “puertos seguros” en una lista que va por 4.000 miembros. Facebook, Google, Microsoft, Apple, Amazon, Dropbox están en la lista de Safe Harbor.
¿Por qué se ha anulado?
Tras estudiar la denuncia de Max Schrems, el Tribunal de Justicia de la Unión Europea invalida el tratado de Safe Harbor con Estados Unidos porque no es un país seguro para almacenar datos personales. Luxemburgo culpa a la Comisión Europea (Bruselas) de no verificar con el acuerdo del año 2000 que Estados Unidos garantizase la protección de los derechos fundamentales de privacidad de los ciudadanos europeos:
El régimen estadounidense de puerto seguro posibilita de ese modo injerencias por parte de las autoridades públicas estadounidenses en los derechos fundamentales de las personas, y la Decisión de la Comisión no pone de manifiesto que en Estados Unidos haya reglas destinadas a limitar esas posibles injerencias ni que exista una protección jurídica eficaz contra éstas
Los acuerdos de Safe Harbor no eran protección suficiente para los europeos. Las filtraciones de Edward Snowden fueron claves para determinar esto. La sección 702 del Acta de Vigilancia de Inteligencia Exterior de Estados Unidos (FAA 702) permitía a la NSA meter las narices en los servidores de Google, Yahoo, Microsoft y Facebook sin ninguna orden judicial; gracias a Safe Harbor, esto permitía que la inteligencia de Estados Unidos interceptar el correo de Hotmail de un ciudadano español (por ejemplo) por el mero hecho de ser sospechoso.
“Doy la bienvenida a la decisión de la corte, que con suerte se convertirá en un hito sobre derecho a la privacidad online. Esta sentencia traza una línea clara. Especifica que la vigilancia masiva nuestros derechos fundamentales y destaca que los gobiernos y las empresas no pueden ignorar nuestro derecho a la privacidad”, ha declarado Max Schrems, tremendamente satisfecho con la resolución. Por su parte, la Comisión Europea ha aceptado el palo del Tribunal de Justicia. “Trabajaremos en un marco renovado y seguro de transferencia de datos” ha dicho Frans Timmermans, vicepresidente de la Comisión, en rueda de prensa.
Mark Zuckerberg hablando de “Facebook Places” (Tony Avelar/AP)
¿Cómo afecta a las grandes empresas?
Mientras Estados Unidos y la Comisión Europea llegan a un nuevo acuerdo, las empresas podrán continuar con la transferencia de datos personales mediante otros mecanismos previstos por la ley europea. El reemplazo de Safe Harbor no se prolongará demasiado, de lo contrario las agencias de protección de datos tendrían que autorizar los diferentes casos uno por uno. Internet es, además, un sector estratégico para Estados Unidos en el extranjero.
Sin embargo, las grandes empresas se muestran “muy decepcionadas” y creen que “el fallo perjudica a la economía de la Unión Europea”. Es un comunicado de DigitalEurope, una plataforma que representa a las multinacionales tecnológicas en Europa (Apple, Google y Microsoft son tres de sus miembros):
DigitalEurope está decepcionada con el fallo del Tribunal de Justicia de la Unión Europea en el caso de Maximillian Schrems contra el Comisionado para la protección de datos. La invalidación del flujo de datos transatlántico causará daños inmediatos a la economía Europea e impactará negativamente en incontables consumidores, empleados y empleadores. Tenemos serias preocupaciones sobre las implicaciones a largo plazo que tendrá esta sentencia en la manera en que Europa transfiere datos al resto del mundo
Por su parte, la empresa que se ha llevado más titulares, Facebook, ha declarado que “esto no va sobre ellos” que “no han hecho nada malo” y que “es importante que los Gobiernos de la Unión Europea y de Estados Unidos faciliten métodos fiables para la transferencia legal de datos”.
¿Cómo lo ven los emprendedores europeos?
En general, la sentencia afecta a todos aquellos que almacenen datos personales de ciudadanos europeos en servidores de Estados Unidos, tanto si son empresas españolas como americanas. Hemos consultado a Carlos Sánchez Almeida, abogado especializado en protección de datos, sobre cuál es el siguiente paso para las pequeñas startups que operan entre Europa y Estados Unidos: “Recomendaría a todas las empresas españolas de Internet que tengan el hosting en Estados Unidos que, primero de todo, consulten a su auditor de protección de datos, aprovechen para ponerse al día en protección de datos y, de paso, hagan una auditoría legal, porque con la nueva Ley de Enjuiciamiento Criminal el tema de la protección de datos se pone serio”.
También preguntado a las startups españolas más conocidas cómo han recibido la noticia. Las sensaciones son opuestas a las que manifestaban las multinacionales a través de DigitalEurope. Raúl Jiménez, CEO de minube, declaró a Gizmodo en Español que este es un paso importante para proteger la privacidad de los usuarios: “Si algo mantiene la evolución de Internet de los últimos 15 años es la confianza de los usuarios en que se trata de un espacio donde existen reglas que les amparan, por lo que la desaparición de medidas como Safe Harbor ayuda a mantener ese entorno seguro. Nos jugamos la credibilidad no sólo de las empresas, sino del propio medio en sí, por lo que debe haber unos límites a la información que se comparte de los usuarios, y por supuesto, el respeto a sus decisiones y a la capacidad de poder tomarlas cuando de su privacidad se trata”.
Al igual que minube, Red Karaoke aplica a todos sus usuarios la legislación europea de protección de datos. “La idea es aplicar la legislación que ofrece más garantías al usuario para estar así cubiertos en todo el mundo, y que el usuario salga ganando al estar más protegido” nos explica Miguel Ángel Díaz Ferreira, fundador de la empresa, en un correo electrónico. “En Red Karaoke nunca hemos comerciado con los datos de nuestros usuarios, no vendemos ningún tipo de información ni datos a ninguna empresa, la medida afecta a compañías americanas que hagan negocio en Europa y que exploten los datos personales de los usuarios”.
Imagen: Bert Boerland/Flickr
¿Cómo te afecta a ti?
Max Schrems y todas las personas que han apoyado la causa a través de Facebook vs Europe han ganado una batalla histórica en favor de uno de los derechos fundamentales de todos los europeos: la privacidad. Nuestros datos personales ya no podrán viajar libremente a Estados Unidos, donde no están protegidos con la misma severidad que en Europa. En Europa han ganado los derechos ARCO: los de acceso, rectificación, cancelación y oposición al tratamiento automatizado de datos de carácter personal.
Carlos Almeida, que además de abogado es uno de los activistas más reconocidos de España en el tema de la protección de datos, nos cuenta por teléfono que el fallo es un logro para todos y que pone de manifiesto —una vez más— la laxitud de Estados Unidos con un tema tan importante:
“En Estados Unidos se tienen que poner las pilas para prestar un nivel de protección de datos equivalente a Europa, es un tema de derechos fundamentales. Los derechos fundamentales nunca pueden perjudicar a nadie. Cuando las empresas americanas te regalan un servicio gratuito, entonces el producto eres tú. Se ha estado especulando mucho sobre la venta de tus datos personales. Las empresas se han estado aprovechando de esto y gracias a esto han ido ganando cuota de mercado”.
Gracias a Max Schrems, gracias a Edward Snowden y a las miles de demandas que surgirán ahora contra empresas de Internet, ya empezamos a visualizar el día en que las multinacionales norteamericanas cierran definitivamente la puerta trasera a la inteligencia de los Estados Unidos. Y a su vez nos acerca a lo que parecía imposible: que Washington revise su legislación.
***
Psst! también puedes seguirnos en Twitter, Facebook o Google+ :)