México ¿y Safe Harbor?

El pasado 6 de octubre 2015 el Tribunal de Justicia de la Unión Europea emitió la ya conocida como “Sentencia Safe Harbor” (aunque otros gusten de llamarla “Sentencia Facebook”); el 8 de octubre aporté en la Asociación Profesional Española de Privacidad (APEP) mi particular visión sobre los primeros efectos que dicha sentencia podría tener, en cualquier empresa americana que importa datos personales desde Europa.

En esa fecha (8 de octubre) me encontraba en México y seguía a través de las redes sociales las diversas posturas, críticas, análisis y reacciones a la Sentencia Safe Harbor. Existían (y existen) un montón de preguntas en mi cabeza, pero estando donde estaba, dos tenían un peso específico: ¿qué efectos podría tener la Sentencia en México? y ¿cuándo se dejarían sentir dichos efectos?

En mi caso, la ola expansiva llegó el 20 de octubre, a través de un “addendum” fechado el 5 de octubre de 2015.

Por obvias razones, me reservo los detalles sobre las partes y los servicios involucrados, pero baste decir que los efectos tomaron forma a partir de un compromiso que hasta antes del 6 de octubre era relativamente normal encontrar en un acuerdo sobre tratamiento de datos personales, en el que se previera la subcontratación de servicios.

Dando por sentado que la transferencia de datos personales desde el responsable europeo hacia la empresa mexicana estaba previamente autorizada por la autoridad nacional competente de aquél, el giro de tuerca vino cuando en el indicado addendum se pidió a la empresa mexicana garantizar (palabras más, palabras menos) que en la hipótesis de que ésta llevara a cabo la subcontratación de terceros con residencia en los EEUU (sub-encargados, a todos los efectos):

  1. Éstos estarían adheridos a los Principios de Puerto Seguro, con anterioridad a la fecha de su contratación,
  2. Que éstos conservarían su adhesión a los Principios de Puerto Seguro,
  3. Que en caso de que los terceros (insisto, sub-encargados a efectos del tratamiento de los datos) perdiesen o no renovasen su adhesión a los Principios de Puerto Seguro, se comunicaría esta situación al responsable (europeo) y se detendría de inmediato el tratamiento de datos personales en los Estados Unidos de América.

Ni más, ni menos.

La parte mexicana, enterada de la Sentencia Safe Harbor (porque se la resumí), ha atinado a preguntar: ¿y cómo garantizo yo todo eso que me piden desde Europa, si me dices ahora que esto de Puerto Seguro ya no sirve?

Si lo de Puerto Seguro ha sido declarado inválido, ¿no estamos en una situación parecida a la tercera exigencia? Porque ya no se trata de que mis subcontratistas estén o no estén adheridos, sino que dicha adhesión, por sí misma, ya no tiene valor ¿correcto? A efectos prácticos, da lo mismos si están o no adheridos, pues aunque lo estuvieran, eso ya no garantiza nada a los europeos, ¿correcto?

Y siguió en su particular análisis: Si todo lo anterior es así, cuando trate con clientes europeos, ya puedo descartar eso de enviar los datos hacia los EEUU, ¿no? Porque directamente pueden acusarme de enviar los datos hacia un lugar que ellos mismos han declarado no seguro, ¿correcto?

El cliente no es tonto. A todas sus preguntas, era imposible contestar otra cosa que no fuera: estás en lo correcto.

Y mientras no cambien las cosas, hará bien en pensar de esa forma, y hará bien en detener el flujo de datos (al menos de sus clientes europeos) hacia sub-encargados con residencia en los EEUU, pues el propio Grupo de Trabajo del Artículo 29 ha dejado claro que después de la sentencia, cualquier transferencia amparada en la Decisión 2000/520 de la Comisión Europea, es ilegal.

Quise darle alternativas.
Le conté de las Cláusulas Tipo y de las Reglas Corporativas Vinculantes, le hablé del consentimiento expreso del titular de los datos personales… pero llegaron los alemanes y anunciaron que las primeras tampoco les parecen opciones adecuadas, y que con el consentimiento del titular/afectado, hay que andarse con mucho cuidadito.

O sea… un gran desorden, aunque se anuncie un “principio de acuerdo” del cual no ha salido una fecha (al menos tentativa) para resolver el entuerto.

Lo cierto es que a día de hoy (28 de octubre) nadie se ha puesto realmente de acuerdo, y parece que esto irá para largo (al menos, para las empresas, será un plazo muuuuuy largo).

Anuncios

3 comments

  1. Buen artículo! Estoy de acuerdo que ahorita nadie tiene seguridad legal. Hay mil opiniones al respecto en especial me gusta la opinión de de Daniel Solove (que copio al final).

    Las implicaciones para empresas mexicanas pueden ser graves, y más si tomamos que la mayoría de las empresas en el ramo de las plataformas digitales usan Amazon Web Services (bueno desde Dropbox) para almacenar datos personales, con lo que hay una transferencia de la unión Europea a México (hacia los responsables mexicanos) y luego una “Remisión” a EE.UU (hacia los encargados americanos)

    Sin embargo aquí tenemos dos puntos especiales que vale la pena comentar:

    1. ¿La transferencia es legal? ¿De conformidad con el articulo 25 de la Directiva, México proporciona un nivel adecuado? Si en México la Ley ni el INAI no obligan a autoridades ni a partidos políticos, yo dudo que el nivel pueda ser considerado adecuado con base en el “Charter”. Pero bueno ese es un tema que vale la pena discutir en México para efectos de modificar nuestras leyes de autodeterminación informativa. Pero ese es tal vez es otro tema

    2.- En consecuencia, ¿la remisión es legal? (punto en comento) Pues no (en mi opinión), hasta que EE.UU no modifique su legislación y en mi opinión no basta con leyes que eviten la extrema vigilancia de la NSA (fundamento específico de la sentencia del TJE) sino que, de conformidad con el “Charter” EE.UU necesita más leyes de autodeterminación informativa, al menos leyes generales que le permitan homologar sus legislaciones a las de la UE (si quieren hacer negocio con ellos) (En este sentido platicaba con Giovanni Buttarelli cuando vino a dar una charla a Berkeley)

    Por ello, coincido contigo. Es un desorden. Pero cambiar legislaciones no es el único método para asegurar niveles adecuados de protección y eso es lo que debe entender la Unión Europea. IDEA: ¿Porqué no siguen el ejemplo de la legislación mexicana? En dónde el tercero receptor, se obliga contractualmente a asegurar el nivel adecuado de protección. Y si quieren que registren los acuerdos ante las oficinas de protección de datos personales y en EE.UU con la Federal Trade Commission.

    Nunca lo sabremos, pero lo que estoy de acuerdo, se vienen tiempos interesantes…..

    Saludos y gracias por la nota, interesantísimo y me interesaría formar parte de la discusión del tema a niveles doctrinales para aportar algo para enriquecer el debate.

    1. Muchas gracias Hernandez Conde por todo lo comentado y las fuentes aportadas.
      Soy fan de D. Solove y coincido mucho con su forma de analizar las cosas y proponer soluciones.
      Con mucho gusto seguiré tu blog y todas las ideas que difundas.
      Creo que aún tendremos material para debatir y enriquecer los puntos de vista.

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s