EEUU

México ¿y Safe Harbor?

El pasado 6 de octubre 2015 el Tribunal de Justicia de la Unión Europea emitió la ya conocida como “Sentencia Safe Harbor” (aunque otros gusten de llamarla “Sentencia Facebook”); el 8 de octubre aporté en la Asociación Profesional Española de Privacidad (APEP) mi particular visión sobre los primeros efectos que dicha sentencia podría tener, en cualquier empresa americana que importa datos personales desde Europa.

En esa fecha (8 de octubre) me encontraba en México y seguía a través de las redes sociales las diversas posturas, críticas, análisis y reacciones a la Sentencia Safe Harbor. Existían (y existen) un montón de preguntas en mi cabeza, pero estando donde estaba, dos tenían un peso específico: ¿qué efectos podría tener la Sentencia en México? y ¿cuándo se dejarían sentir dichos efectos?

En mi caso, la ola expansiva llegó el 20 de octubre, a través de un “addendum” fechado el 5 de octubre de 2015.

Por obvias razones, me reservo los detalles sobre las partes y los servicios involucrados, pero baste decir que los efectos tomaron forma a partir de un compromiso que hasta antes del 6 de octubre era relativamente normal encontrar en un acuerdo sobre tratamiento de datos personales, en el que se previera la subcontratación de servicios.

Dando por sentado que la transferencia de datos personales desde el responsable europeo hacia la empresa mexicana estaba previamente autorizada por la autoridad nacional competente de aquél, el giro de tuerca vino cuando en el indicado addendum se pidió a la empresa mexicana garantizar (palabras más, palabras menos) que en la hipótesis de que ésta llevara a cabo la subcontratación de terceros con residencia en los EEUU (sub-encargados, a todos los efectos):

  1. Éstos estarían adheridos a los Principios de Puerto Seguro, con anterioridad a la fecha de su contratación,
  2. Que éstos conservarían su adhesión a los Principios de Puerto Seguro,
  3. Que en caso de que los terceros (insisto, sub-encargados a efectos del tratamiento de los datos) perdiesen o no renovasen su adhesión a los Principios de Puerto Seguro, se comunicaría esta situación al responsable (europeo) y se detendría de inmediato el tratamiento de datos personales en los Estados Unidos de América.

Ni más, ni menos.

La parte mexicana, enterada de la Sentencia Safe Harbor (porque se la resumí), ha atinado a preguntar: ¿y cómo garantizo yo todo eso que me piden desde Europa, si me dices ahora que esto de Puerto Seguro ya no sirve?

Si lo de Puerto Seguro ha sido declarado inválido, ¿no estamos en una situación parecida a la tercera exigencia? Porque ya no se trata de que mis subcontratistas estén o no estén adheridos, sino que dicha adhesión, por sí misma, ya no tiene valor ¿correcto? A efectos prácticos, da lo mismos si están o no adheridos, pues aunque lo estuvieran, eso ya no garantiza nada a los europeos, ¿correcto?

Y siguió en su particular análisis: Si todo lo anterior es así, cuando trate con clientes europeos, ya puedo descartar eso de enviar los datos hacia los EEUU, ¿no? Porque directamente pueden acusarme de enviar los datos hacia un lugar que ellos mismos han declarado no seguro, ¿correcto?

El cliente no es tonto. A todas sus preguntas, era imposible contestar otra cosa que no fuera: estás en lo correcto.

Y mientras no cambien las cosas, hará bien en pensar de esa forma, y hará bien en detener el flujo de datos (al menos de sus clientes europeos) hacia sub-encargados con residencia en los EEUU, pues el propio Grupo de Trabajo del Artículo 29 ha dejado claro que después de la sentencia, cualquier transferencia amparada en la Decisión 2000/520 de la Comisión Europea, es ilegal.

Quise darle alternativas.
Le conté de las Cláusulas Tipo y de las Reglas Corporativas Vinculantes, le hablé del consentimiento expreso del titular de los datos personales… pero llegaron los alemanes y anunciaron que las primeras tampoco les parecen opciones adecuadas, y que con el consentimiento del titular/afectado, hay que andarse con mucho cuidadito.

O sea… un gran desorden, aunque se anuncie un “principio de acuerdo” del cual no ha salido una fecha (al menos tentativa) para resolver el entuerto.

Lo cierto es que a día de hoy (28 de octubre) nadie se ha puesto realmente de acuerdo, y parece que esto irá para largo (al menos, para las empresas, será un plazo muuuuuy largo).