LOPD Safe Harbor: ¿golpe de timón del derecho anglosajón?

Parece irónico afirmar que fuera Estados Unidos un país pionero en cuanto a la protección del derecho a la intimidad (y/o privacidad). Allá por el año 1890, dos jóvenes abogados salidos del horno de Harvard, sentaron (quizá sin saberlo ni quererlo), las bases de la protección de la privacidad en aquél país.

En un artículo llamado “The Right to Privacy”, Samuel D. Warren and Louis D. Brandeis, se hacen eco del vertiginoso desarrollo de la prensa sensacionalista (apoyado por los rápidos avances tecnológicos de entonces, sobre todo en cuanto a la fotografía y la proliferación de las primeras cámaras portátiles) y de las incipientes formas de vulneración del derecho a la intimidad personal.

Este artículo, que tuvo gran influencia en el derecho de EEUU (tengamos en cuenta que el Common Law o Derecho Anglosajón sienta sus bases sobre las sentencias dictadas por los tribunales de justicia), sigue siendo punto de referencia incluso hoy en día. Resulta sorprendente como en uno de sus principales postulados consagra lo que hoy podríamos llamar el pilar básico de la legislación sobre protección de datos en nuestro país (y en toda Europa): el principio del consentimiento. El artículo de 1890 rezaba algo así: “el derecho a la intimidad cede ante el consentimiento del individuo”.

Con el paso de los años y los vertiginosos avances tecnológicos, el viejo continente tomó consciencia con antelación de la necesidad de regular de manera minuciosa el derecho a la intimidad, cuyo punto culminante (tras diversos avatares legislativos), podríamos establecerlo en la Directiva 95/46/CE, fuente del actual derecho sobre protección de datos de carácter personal en toda Europa. Mientras tanto EEUU se estancaba, carente de normas que han sido paliadas con una regulación sectorial.

En este contexto nace SAFE HARBOR, con el fin de crear un marco seguro en cuanto al tratamiento de datos personales en dos sistemas de derecho tan dispares. Aún así, hacer hincapié en que EEUU no es un “país seguro” (según la Comisón Europea), en cuanto a las transferencias internacionales de datos, sino que serán seguras determinadas entidades o empresas de ese país cuando estén adheridas a los principios de puerto seguro (SAFE HARBOR).

SAFE HARBOR no es más que la aplicación de nuestros principios jurídicos de la protección de datos a determinadas entidades (normalmente empresas) de EEUU, que voluntariamente se adhieren a sus postulados.

De esta manera para que las empresas norteamericanas puedan adherirse al puerto seguro, deben cumplir con 7 principios:

  • Notice”. Deber de información (o notificación). Las entidades adheridas a Safe Harbor deben informar a los interesados de las finalidades para las cuales han sido recabados sus datos así como de la identificación del Responsable del Fichero, a efectos de poder ejercitar los derechos ARCO. Este principio se encuentra recogido en el artículo 5 de nuestra Ley Orgánica de Protección de Datos de Carácter Personal.
  • Choice”. Corresponde al interesado o afectado el poder decidir acerca de la finalidad y destino de sus datos de carácter personal. Este postulado se corresponde con nuestro consagrado principio del consentimiento del afectado o interesado. (Art. 6 LOPD).
  • Transfers to Third Parties”. Según este principio, sólo será posible la transferencia de datos cuando las entidades o países destinatarios estén suscritos al acuerdo Safe Harbor o seán países miembros de la Unión Europea (sometidos a la Directiva 95/46/CE). Sería algo equivalente al Título V de nuestra Ley Orgánica de Protección de Datos, en relación con los artículos 9 y 12. Se entiende que estas transferencias están sometidas al principio anterior (consentimiento o poder de decisión).
  • Access”. No serviría de nada la información facilitada por el primero de los principios Safe Harbor si el interesado no pudiera hacer efectivos sus derechos. Nos encontramos ante los derechos-obligación recogidos en el Título III de la Ley Orgánica de Protección de Datos, los consabidos derechos ARCO (acceso, rectificación, cancelación y oposición).
  • Security”. Se corresponde plenamente con el artículo 9 de nuestra LOPD, el principio de seguridad de los datos: “adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado”. La única cuestión que plantea Safe Harbor en relación con nuestra LOPD, es que el primero habla de “precauciones razonables”, pareciendo dejar al libre albedrío del Responsable del Fichero, las medidas a adoptar.
  • Data integrity”. El importantísimo principio de “Calidad de los datos” acuñado por la Directiva 95/46/CE y recogido con precisión en nuestra LOPD, pasa a formar parte de los requisitos de Safe Harbor, aunque no con toda su extensión porque, por ejemplo, no se incluye aquí lo relativo a la cancelación de los datos y su posible conservación.
  • Enforcement”. Este principio se refiere a la concreta aplicación o ejecución de todo lo que conlleva Safe Harbour. Es un principio controvertido por su ambigüedad, que dispone que para garantizar el cumplimiento de los postulados de puerto seguro, deben articularse mecanismos independientes de resolución de conflictos y de verificación del cumplimiento de los principios Safe Harbor, con potestad para sancionar, en su caso. En España, estas competencias son asumidas por la Agencia Española de Protección de Datos. En cuanto a Safe Harbor, ese mecanismo de resolución de conflictos brilla por su ausencia.

CRÍTICAS.

En abril de 2004 la Comisión Europea de Justicia elaboró un minucioso estudio sobre el estado de la aplicación de Safe Harbor en EEUU. Como resultado, se encontraron importantes deficiencias que, en la práctica, ocasionaban que los principios de puerto seguro quedaran en papel mojado, en una ilusión optimista que distaba mucho de la realidad. Las graves deficiencias encontradas fueron las siguientes:

  • En cuanto al deber de información, se encontraron importantes dificultades por la falta de transparencia y por la inteligibilidad de la información proporcionada. Las políticas de privacidad eran farragosas y de difícil comprensión, y con demasiada frecuencia no proporcionaban una visión sobre las actividades a las que se refería el tratamiento de datos
  • No se hacía referencia al principio básico del consentimiento, entendiendo la Comisión Europea que este es un derecho crucial, a tener un control mínimo sobre el tratamiento de los datos personales, de los afectados o interesados.
  • Respecto a las transferencias a terceros, el concepto de “tercero” no siempre quedaba definido (socio, filial, miembro de grupo de empresas, etc.) estando ausente en muchos casos el compromiso de ese tercero de cumplir con las prescripciones de Safe Harbor. El estudio hace una muy importante reflexión sobre la aplicación de este principio: “la flexibilidad que ofrece este principio se podría utilizar para eludir la legislación de la UE”.
  • El principio del acceso tendía a estar muy difuminado en la práctica, ofreciendo las empresas simplemente una información o dirección de contacto, sin precisar que posibilidades o derechos se nos permitía ejercitar a través de esas direcciones. Otras veces, ni siquiera esa información de contacto estaba presente.
  • La integridad o calidad de los datos tampoco se hacía efectiva correctamente, siendo difícil determinar la adecuación o pertinencia de los datos en relación con las actividades o finalidades previstas.

Para mayor polémica, otros estudios sobre Safe Harbor han dado como resultado un escandaloso descontrol en cuanto a las empresas adheridas a este marco: listado desfasado de empresas (donde aparecen entidades que ya no existen o que han quedado fuera de Safe Harbor), empresas incluidas en la relación de entidades adheridas pero que carecen de política de privacidad y, lo más preocupante, la mayoría de empresas adheridas no cumplía con el séptimo principio (o lo hacían impracticable), relativo al mecanismo de resolución de controversias.