Soberanía de datos
La soberanía de datos es el conjunto de limitaciones impuestas legalmente en cuanto a la circulación de información de ciudadanos o empresas más allá de las fronteras del país de origen de dichos ciudadanos o empresas, o la declaración de titularidad sobre datos que reposen en servidores dentro de un país (Es el problema actual de quién tiene poder sobre información dentro de sus fronteras y cómo). Como se ve, es el problema de la computación en la nube (ver “Reglamento general de protección de datos” de Europa): sus datos (y los míos, claro) pueden estar en el extremo del mundo y en más de un país. Aspectos como este complican ciertos escenarios empresariales cuando un país se sustrae a un marco comunitario de protección de datos (un caso: “Amazon prevé abrir centro de datos en Reino Unido pese a Brexit” en Bloomberg).
Para examinar el tema, vamos a echar una ojeada a la Sentencia en el asunto C-362/14 del Tribunal de Justicia de la Unión Europea. El caso se resumen así:
“El Sr. Maximillian Schrems, ciudadano austriaco, es usuario de F acebook desde 2008. Como ocurre con los demás usuarios que residen en la UE, los datos proporcionados por el Sr. Schrems a Facebook se transfieren total o parcialmente de la filial irlandesa de dicha red social a servidores situados en territorio de los Es tados Unidos, donde son objeto de tratamiento. El Sr. Schrems presentó una denuncia ante la autoridad irlandesa de control , considerando que, a la luz de las revelaciones realizadas en 2013 por el Sr. Edward Snowden en relación con las actividades de los servicios de información de Estados Unidos (en particular, la National Security Agency o «NSA»), la normativa y la práctica de Estados Unidos no garantizaban una protección suficiente de los datos transferidos a ese país frente a las actividades de vigilanc ia por las autoridades públicas. La autoridad irlandesa desestimó esa reclamación debido en particular a que, en su Decisión de 26 de julio de 2000 la Comisión había considerado que, en el marco del régimen denominado de «puerto seguro», Estados Unidos garantiza un nivel adecuado de protección de los datos personales transferidos.“ (Tribunal de Justicia de la Unión Europea, COMUNICADO DE PRENSA nº 117/15, Luxemburgo, 6 de octubre de 2015).
El caso Snowden precisamente llevó al gran público el problema de la posible intromisión del gobierno en información que circula por internet y es tratada en países distintos al del propietario (ver “Así recuperamos Internet” en TedTalk, una de las pocas charlas que dura más de veinte minutos en esa plataforma; ocurre lo mismo con la respuesta de la NSA en TedTalk).
En el asunto C-362/14 del Tribunal de Justicia de la Unión Europea, los tribunales irlandeses (donde se encontraban los servidores de Facebook) preguntaban si la existencia de la una decisión comunitaria que declaraba a Estados Unidos como destino seguro (“safe harbor”) para tratamiento de datos personales, impedía a las autoridades nacionales europeas investigar la situación real de seguridad de la información. La directiva es la Decisión 2000/520/CE de la Comisión, de 26 de julio de 2000, y se lee en su artículo 1o parcial:
“A los efectos del apartado 2 del artÌculo 25 de la Direc- tiva 95/46/CE, para todas las actividades cubiertas por la misma, se considerar· que los principios de puerto seguro, (en lo sucesivo denominado s ́los principios, que figuran en el anexo I de la presente DecisiÛn, aplicados de conformidad con la orientaciÛn que proporcionan las preguntas m·s frecuentes (en lo sucesivo denominadas ́FAQª) publicadas por el Departa- mento de Comercio de Estados Unidos de AmÈrica con fecha 21 de julio de 2000, que figuran en el anexo II de la presente DecisiÛn, garantizan un nivel adecuado de protecciÛn de los datos personales transferidos desde la Comunidad a entidades establecidas en Estados Unidos de AmÈrica, habida cuenta de los siguientes documentos publicados por el Departamento de Comercio de Estados Unidos de AmÈrica:
El Tribunal de Justicia de la Unión Europea sostiene sin ambages:
“El régimen estadounidense de puerto seguro posibilita de ese modo injerencias por parte de las autoridades públicas estadounidenses en los derechos fundamentales de las personas, y la Decisión de la Comisión no pone de manifiesto que en Estados Unidos haya reglas destinadas a limitar esas posibles injerencias ni que exista una protección jurídica eficaz contra éstas. “ (Tribunal de Justicia de la Unión Europea, COMUNICADO DE PRENSA nº 117/15, Luxemburgo, 6 de octubre de 2015)
Señala el Tribunal que una autorización de circulación de información no puede entenderse como limitante del derecho de las personas a sus datos personales.
“Finalmente, el Tribunal de Justicia declara que la Decisión de la Comisión de 26 de julio de 2000 priva a las autoridades nacionales de control de sus facultades, en el supuesto de que una persona impugne la compatibilidad de la Decisión con la protección de la vida privada y de las libertades y derechos fundamentales de las personas. El Tribunal de Justicia considera que la Comisión carecía de competencia para restringir de ese modo las facultades de las autoridades nacionales de control.” (misma fuente)
la decición es declarada inválida, y se afirma que la autoridad irlandesa de control puede examinar la idoneidad de la operación de datos de Facebook hacia Estados Unidos, y si es del caso suspender las transmisiones.
La sentencia completa del Tribunal de Justicia Europeo puede examinarse aquí.