Puerto Seguro
Este artículo es un complemento de la información sobre derecho financiero, en esta revista de derecho corporativo. Aparte de ofrecer nuevas ideas y consejos clásicos, examina el concepto y los conocimientos necesarios, en el marco de los aspectos jurídicos financieros, sobre este tema. Te explicamos, en relación a los principios, prácticas y normas jurídicas financieras y bancarias, qué es, sus características y contexto.
Sentencia del Tribunal Europeo de Justicia
En octubre de 2015, una demanda judicial iniciada por un joven austríaco de 28 años llamado Max Schrems, activista por la privacidad y estudiante de posgrado de la Universidad de Viena, llevó a la invalidación del acuerdo de protección de datos (basado en los “principios de puerto seguro”) que regulaba el cumplimiento de las leyes de privacidad europeas por parte de empresas estadounidenses.
La decisión del Tribunal Europeo de Justicia dejó en un limbo jurídico las actividades de recolección, manejo, transferencia y almacenamiento de datos de usuarios de unas 4500 empresas estadounidenses. La sentencia llevó a que muchos en Europa compararan a Schrems con Edward Snowden, el contratista de inteligencia que filtró información clasificada sobre los programas de vigilancia global de Estados Unidos.
.
De hecho, la demanda de Schrems se basó en gran medida en revelaciones de Snowden, entre ellas detalles de un programa de la Agencia Nacional de Seguridad (NSA) de los EE. UU. por el cual las empresas estadounidenses presuntamente entregaban a la NSA datos personales almacenados en sus sistemas informáticos. Nunca te pierdas una historia sobre derecho bancario y financiero, de esta revista de derecho empresarial:
Según la sentencia del Tribunal Europeo de Justicia, la cooperación entre empresas y organismos de inteligencia estadounidenses viola el derecho a la privacidad y a la protección de datos garantizado por la Carta de Derechos Fundamentales de la Unión Europea. El mensaje del tribunal fue claro: si el gobierno estadounidense no modificaba sus prácticas de recolección de inteligencia (de modo de restringir el acceso a datos personales y llevar a cabo sus investigaciones en forma particularizada), la transferencia de información de consumidores desde la UE hasta EE. UU. en el marco de los principios de puerto seguro no podía continuar. Autor: Cambó
Conclusiones del Abogado General de la Unión Europea
Basado en las Conclusiones del Abogado General de la Unión Europea, en la célebre sentencia sobre transferencia de datos de los usuarios de Facebook: Con arreglo al artículo 25, apartado 6, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos, la Comisión podrá hacer constar que un país tercero garantiza un nivel de protección adecuado de los datos personales a la vista de su legislación interna o de sus compromisos internacionales.
.
Desde el momento en que la Comisión adopte una Decisión en este sentido, podrá efectuarse la transferencia de datos personales al país tercero de que se trate. 11.
En aplicación de dicha disposición, la Comisión adoptó la Decisión 2000/520.
.
Del artículo 1, apartado 1, de dicha Decisión, resulta que se considerará que «los principios de puerto seguro», aplicados de conformidad con la orientación que proporcionan las «preguntas más frecuentes», (6) garantizan un nivel de protección adecuado de los datos personales transferidos desde la Unión a entidades establecidas en Estados Unidos. 12.
En consecuencia, la Decisión 2000/520 autoriza la transferencia de datos personales desde los Estados miembros a empresas establecidas en Estados Unidos que se han comprometido a respetar los principios de puerto seguro. Los principios de puerto seguro se formularon «en consulta con la industria y la opinión pública para facilitar el comercio y las transacciones entre Estados Unidos [...] y la Unión [...]. Nunca te pierdas una historia sobre derecho bancario y financiero, de esta revista de derecho empresarial:
Son de utilización exclusiva de las entidades estadounidenses que reciben datos personales de la Unión Europea, al efecto de reunir los requisitos de “puerto seguro” y obtener la correspondiente presunción de “adecuación”». (Párrafo segundo del anexo I de la Decisión 2000/520) 16.
Los principios de puerto seguro, que figuran en el anexo I de la Decisión 2000/520, prevén, en especial: – La obligación de notificación, según la cual las «entidades informarán a los particulares de los fines con los que cuales recogen y utilizan información sobre ellos; la forma de contactar con ellas para cualquier pregunta o queja; los tipos de terceros a los cuales se revelará la información; las opciones y medios que la entidad ofrece a los particulares para limitar su uso y su divulgación.
La notificación se hará [...] la primera vez que se invite a los particulares a proporcionar a la entidad información personal o, posteriormente, tan pronto como sea posible, pero en cualquier caso antes de que la entidad use dicha información para un fin distinto de aquel con el que inicialmente la recogió o trató la entidad que la transfiere o la divulga por primera vez a un tercero». (Véase el anexo I, bajo el título «Notificación»). – La obligación de las entidades de ofrecer a los particulares la posibilidad de decidir si su información personal puede divulgarse a un tercero o bien puede usarse para un fin incompatible con el objetivo inicial con el que fue recogida o que no haya sido autorizado posteriormente por el particular. Nunca te pierdas una historia sobre derecho bancario y financiero, de esta revista de derecho empresarial:
Si se trata de información delicada, «la opción de participar será afirmativa o explícita (aceptación) si la información va a revelarse a un tercero o a utilizarse para un fin distinto del que inicialmente motivó la recogida de información o de una manera distinta a la autorizada con posterioridad por éste al optar por la “aceptación”». (Véase el anexo I, bajo el título «Opción»). – Normas relativas a la transferencia ulterior de los datos. Así, para revelar información a terceros, las entidades deberán aplicar los principios de notificación y opción.
(Véase el anexo I, bajo el título «Transferencia ulterior»). – En cuanto a la seguridad de los datos, la obligación de que «las entidades que creen, mantengan, utilicen o difundan información personal tom[en] precauciones razonables para evitar su pérdida, su mal uso y consulta no autorizada, su divulgación, su modificación y su destrucción». (Véase el anexo I, bajo el título «Seguridad»). – En lo que atañe a la integridad de la información, la obligación de que las entidades, «[...] adopt[en] medidas razonables para que los datos tengan fiabilidad para el uso previsto y sean exactos, completos y actuales». (Véase el anexo I, bajo el título «Integridad de los datos»). – Que las entidades que tengan información privada de personas físicas deberán dar en principio a dichas personas «acceso a la información personal [y permitirles] corregir, modificar o suprimir dicha información si resultase inexacta» (véase el anexo I, bajo el título «Acceso»); – La obligación de prever «mecanismos para garantizar la conformidad con los principios [de puerto seguro], una vía de recurso para las personas a que se refieran los datos y se vean afectadas por el incumplimiento de dichos principios y sanciones contra la entidad incumplidora». (Véase el anexo I, bajo el título «Aplicación»). 17.
Toda entidad estadounidense que desee adherirse a los principios de puerto seguro estará obligada a indicar, en su política de protección de la vida privada, que manifiesta públicamente que se adhiere a dichos principios y que los cumple, y a autocertificar su adhesión a los principios mediante la notificación al Departamento de Comercio de Estados Unidos del compromiso de cumplirlos. (Artículo 1, apartados 2 y 3, de la Decisión 2000/520. Véase, asimismo, el anexo II, Preguntas y Respuestas Frecuentes). 18.
Desarrollo de la Idea
Las entidades disponen de diversos medios para cumplir los principios de puerto seguro.
En este sentido, pueden, por ejemplo, «[integrarse] en un programa autorregulado de protección de la vida privada que siga los principios mencionados» o reunir las condiciones de puerto seguro «elaborando sus propias medidas autorreguladoras de protección de la vida privada siempre que se adecuen a dichos principios». «Además, las entidades sujetas a disposiciones de naturaleza legal, reglamentaria, administrativa u otra (o a reglamentaciones), que protejan con eficacia el secreto de los datos personales, podrán acogerse también a los beneficios del puerto seguro». (Párrafo tercero del anexo I). 19. Existen diversos mecanismos, que combinan el arbitraje privado y la supervisión de las autoridades públicas, para comprobar que se respetan los principios de puerto seguro.
En este sentido, puede llevar a cabo el control de dicho cumplimiento un tercero independiente a través de un sistema de resolución extrajudicial de controversias.
Además, las entidades pueden comprometerse a cooperar con el grupo de expertos de la Unión Europea en protección de datos.
Desarrollo de la Idea
Por último, la Federal Trade Commission (Comisión Federal del Comercio; en lo sucesivo, «FTC»), en virtud de la competencia que le confiere el artículo 5 de la Ley relativa a la Comisión Federal del Comercio Federal (Trade Commission Act), y el Department of Transportation (Departamento de Transporte), en virtud de la competencia que le confiere el artículo 41712 del Código de Estados Unidos de América (United States Code) que figura en su título 49, son competentes para tramitar denuncias. 20.
Con arreglo al párrafo cuarto del anexo I de la Decisión 2000/520, la adhesión a los principios de puerto seguro puede, no obstante, limitarse, en particular, «cuanto sea necesario para cumplir las exigencias de seguridad nacional, interés público y cumplimiento de la ley» y por «disposición legal o reglamentaria, o jurisprudencia que originen conflictos de obligaciones o autorizaciones explícitas, siempre que las entidades que recurran a tales autorizaciones puedan demostrar que el incumplimiento de los principios se limita a las medidas necesarias para garantizar los intereses legítimos esenciales contemplados por las mencionadas autorizaciones». (Véase, asimismo, el anexo IV B).