Seleccionar página

La soberanía de datos es el conjunto de limitaciones impuestas legalmente en cuanto a la circulación de información de ciudadanos o empresas más allá de las fronteras del país de origen de dichos ciudadanos o empresas, o la declaración de titularidad sobre datos que reposen en servidores dentro de un país (Es el problema actual de quién tiene poder sobre información dentro de sus fronteras y cómo). Como se ve, es el problema de la computación en la nube (ver “Reglamento general de protección de datos” de Europa): sus datos (y los míos, claro) pueden estar en el extremo del mundo y en más de un país. Aspectos como este complican ciertos escenarios empresariales cuando un país se sustrae a un marco comunitario de protección de datos (un caso: “Amazon prevé abrir centro de datos en Reino Unido pese a Brexit” en Bloomberg).

Para examinar el tema, vamos a echar una ojeada a la Sentencia en el asunto C-362/14 del Tribunal de Justicia de la Unión Europea. El caso se resumen así:

“El  Sr. Maximillian  Schrems,  ciudadano  austriaco,  es  usuario  de  F acebook  desde  2008.  Como  ocurre con los demás usuarios que residen en la UE, los datos proporcionados por el Sr. Schrems  a Facebook se transfieren total o parcialmente de la filial irlandesa de dicha red social a servidores  situados  en  territorio  de  los  Es tados  Unidos,  donde  son  objeto  de  tratamiento.  El  Sr.  Schrems  presentó  una  denuncia  ante  la  autoridad  irlandesa  de  control ,  considerando  que,  a  la  luz  de  las  revelaciones realizadas en 2013 por el Sr. Edward Snowden en relación con las actividades de los  servicios de información de Estados Unidos (en particular, la National Security Agency o «NSA»),  la  normativa  y  la  práctica  de  Estados  Unidos no  garantizaban  una  protección  suficiente  de  los  datos transferidos a ese país  frente a las actividades de vigilanc ia por las autoridades públicas.  La  autoridad irlandesa desestimó esa reclamación debido en  particular  a que, en  su Decisión de 26  de  julio  de  2000 la  Comisión  había  considerado  que,  en  el  marco  del  régimen  denominado  de  «puerto  seguro», Estados  Unidos garantiza un  nivel  adecuado  de  protección  de  los  datos  personales transferidos.“ (Tribunal de Justicia de la Unión Europea, COMUNICADO DE PRENSA nº 117/15, Luxemburgo, 6 de octubre de 2015).

El caso Snowden precisamente llevó al gran público el problema de la posible intromisión del gobierno en información que circula por internet y es tratada en países distintos al del propietario (ver “Así recuperamos Internet” en TedTalk, una de las pocas charlas que dura más de veinte minutos en esa plataforma; ocurre lo mismo con la respuesta de la NSA en TedTalk).

En el asunto C-362/14 del Tribunal de Justicia de la Unión Europea, los tribunales irlandeses (donde se encontraban los servidores de Facebook) preguntaban si la existencia de la una decisión comunitaria que declaraba a Estados Unidos como destino seguro (“safe harbor”) para tratamiento de datos personales, impedía a las autoridades nacionales europeas investigar la situación real de seguridad de la información. La directiva es la Decisión 2000/520/CE de la Comisión, de 26 de julio de 2000, y se lee en su artículo 1o parcial:

“A los efectos del apartado 2 del artÌculo 25 de la Direc- tiva 95/46/CE, para todas las actividades cubiertas por la misma, se considerar· que los principios de puerto seguro, (en lo sucesivo denominado s ́los principios, que figuran en el anexo I de la presente DecisiÛn, aplicados de conformidad con la orientaciÛn que proporcionan las preguntas m·s frecuentes (en lo sucesivo denominadas ́FAQª) publicadas por el Departa- mento de Comercio de Estados Unidos de AmÈrica con fecha 21 de julio de 2000, que figuran en el anexo II de la presente DecisiÛn, garantizan un nivel adecuado de protecciÛn de los datos personales transferidos desde la Comunidad a entidades establecidas en Estados Unidos de AmÈrica, habida cuenta de los siguientes documentos publicados por el Departamento de Comercio de Estados Unidos de AmÈrica:

(…)” (Decisión 2000/520/CE de la Comisión)

El Tribunal de Justicia de la Unión Europea sostiene sin ambages:

“El régimen estadounidense de puerto seguro posibilita de ese modo injerencias por parte de las autoridades públicas estadounidenses en los derechos fundamentales de las personas, y la Decisión de la Comisión no pone de manifiesto que en Estados Unidos haya reglas destinadas a limitar esas posibles injerencias ni que exista una protección jurídica eficaz contra éstas. “ (Tribunal de Justicia de la Unión Europea, COMUNICADO DE PRENSA nº 117/15, Luxemburgo, 6 de octubre de 2015)

Señala el Tribunal que una autorización de circulación de información no puede entenderse como limitante del derecho de las personas a sus datos personales.

“Finalmente, el Tribunal de Justicia declara que la Decisión de la Comisión de 26 de julio de 2000 priva a las autoridades nacionales de control de sus facultades, en el supuesto de que una persona impugne la compatibilidad de la Decisión con la protección de la vida privada y de las libertades y derechos fundamentales de las personas. El Tribunal de Justicia considera que la Comisión carecía de competencia para restringir de ese modo las facultades de las autoridades nacionales de control.” (misma fuente)

la decición es declarada inválida, y se afirma que la autoridad irlandesa de control puede examinar la idoneidad de la operación de datos de Facebook hacia Estados Unidos, y si es del caso suspender las transmisiones.

La sentencia completa del Tribunal de Justicia Europeo puede examinarse aquí.