Una de las grandes dudas que surgen a los usuarios de ese medio tan extendido como es Facebook es el relativo a los ficheros que conserva los datos que suministran los usuarios, y hasta qué punto podemos encontrarnos protegidos. Como ciudadano europeo me pongo a reflexionar sobre ese rumor que me llega relativo a uso indiscriminado de nuestros datos y de las posibles controversias surgidas entre la Unión Europea y los Estados Unidos, por ser este último el lugar donde están residenciados los servidores de la red social, y en el que parece no existir una protección adecuada.

         La legislación europea aplicable aparece contenida en la Directiva 85/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de los mismos. Esta disposición contempla la posibilidad de transferencia de datos a un país tercero, no integrado en la Unión Europea, siempre que quede garantizado un nivel de protección adecuado por parte del país receptor. Quien puede tomar esta decisión de quedar garantizada la protección exigida es, según la Directiva, la Comisión europea. Y desde el momento de la decisión, la transferencia de datos personales al país tercero puede tener lugar.

         Tomando en consideración estas exigencias legales, y en su aplicación, a través de la Decisión 2000/520/CE, de 26 de julio de 2000, la Comisión había considerado que, en el marco del régimen denominado de Safe Harbor o “Puerto seguro”, Estados Unidos garantiza un nivel adecuado de protección de los datos personales transferidos. Supone, por tanto, que los datos obrantes en los servidores de Facebook, que se transfieren total o parcialmente de la filial irlandesa de dicha red social a servidores situados en territorio de los Estados Unidos, donde se conservan, están garantizados suficientemente. O, al menos así debiera ser.

         Pero un ciudadano austriaco, usuario de Facebook desde 2008, discrepaba de esta decisión y presentó denuncia ante la autoridad irlandesa de protección de datos, considerando que, a la luz de las revelaciones realizadas en 2013 por el Sr. Edward Snowden en relación con las actividades de los servicios de información de Estados Unidos (en particular, la National Security Agency o “NSA”), la normativa y la práctica de Estados Unidos no ofrecen protección real alguna frente a la supervisión, por parte del Estado americano, de los datos transferidos a ese país.

         La autoridad irlandesa desestimó la denuncia por la aplicación estricta de la antes aludida Decisión 2000/520/CE que, como decía antes, viene a resolver que está garantizado un nivel adecuado de protección de los datos personales transferidos. No obstante, la High Court of Ireland, que conoce del asunto, planteó al Tribunal de Justicia de la Unión Europea (TJUE) si esta decisión de la Comisión impide a una autoridad nacional de control investigar una denuncia en la que se alega que un país tercero no garantiza un nivel de protección adecuado y, en su caso, suspender la transferencia de datos denunciada.

          El TJUE dicta sentencia en fecha 6 de octubre de 2015, declarando que la normativa sobre protección de datos de la Unión Europea debe interpretarse en el sentido de que la existencia de una Decisión de la Comisión como la comentada, no impide a una autoridad de control de un Estado miembro evaluar una solicitud de una persona relativa a la protección de sus derechos y libertades, frente al tratamiento de los datos personales que la conciernen y que se hayan transferido desde un Estado miembro a ese tercer país, cuando esa persona alega que el Derecho y las prácticas en vigor en éste no garantizan un nivel de protección adecuado. De este modo, existe ya la posibilidad de que cada Estado miembro pueda impedir las transferencias de datos a terceros países si consideran que no existen garantías en el tratamiento de estos datos en el país destino de los mismos. El trámite no es directo, sino que cuando una autoridad nacional de control o bien la persona que haya presentado una solicitud a ésta consideren que una decisión de la Comisión es inválida, deben acudir ante los tribunales nacionales para que, en caso de que éstos también duden de la validez de la decisión de la Comisión, puedan plantear una cuestión prejudicial al Tribunal de Justicia de la Unión Europea. Así pues, corresponde en último término a este Tribunal decidir si una decisión de la Comisión es válida o no.

          En el caso que nos ocupa, de servidores en Estados Unidos, ocurre que el régimen de este país de “Puerto seguro”, es más flexible que el existente en la legislación europea, de modo que posibilita injerencias por parte de las autoridades públicas estadounidenses en los derechos fundamentales de las personas. Queda, de este modo, desprotegida la persona ante una normativa que, además, no prevé posibilidad alguna de ejercer acciones en Derecho para acceder a los datos personales que le conciernen o para obtener su rectificación o supresión. Se vulnera el contenido esencial del derecho fundamental a la tutela judicial efectiva. Y, como consecuencia de todo ello, se considera viable el control por parte de las autoridades nacionales.

          Con motivo de esta sentencia, la Agencia Española de Protección de Datos hizo público un comunicado considerando que las implicaciones que se extraían del pronunciamiento marcaban un punto de inflexión sobre la forma en la que se realizan las transferencias internacionales de datos a Estados Unidos, de modo que “reafirman la importancia de la intimidad y la protección de datos, derechos fundamentales que deben gozar de las mayores garantías posibles”.

          Pues bien, el asunto reviste especial trascendencia y, como hay bastantes intereses en juego, se produce un primer paso tras el pronunciamiento. El pasado día 2 de febrero la Comisión Europea anuncia el acuerdo político alcanzado con los Estados Unidos sobre un nuevo marco jurídico que dé cobertura a las transferencias de datos de carácter personal entre Europea y Estados Unidos.

De este acuerdo podemos considerar varios aspectos:

• Nuevas obligaciones y medidas de control sobre las empresas que transfieran datos de ciudadanos europeos.

         El nuevo acuerdo establece condiciones más estrictas para las compañías radicadas en Estados Unidos respecto de la protección de los datos personales de los ciudadanos europeos objeto de transferencia, incluyendo un control más riguroso de la gestión de los mismos.

        Se prevé que el Departamento de Comercio de los Estados Unidos controle que las empresas americanas hagan públicos sus compromisos al respecto, que serán de obligado cumplimiento conforme a la ley norteamericana y cuyo incumplimiento será sancionable por la Comisión Federal de Comercio.

         Se prevé también que toda compañía que transfiera datos desde Europea a Estados Unidos se debe comprometer a cumplir las decisiones de las autoridades europeas de protección de datos.

• Obligaciones de protección y transparencia de las autoridades americanas.

       Por primera vez en la historia se ha conseguido que Estados Unidos se comprometa a presentar garantías detalladas y por escrito acerca de las salvaguardias y limitaciones que aplicarán a los programas de vigilancia.

      Se prevé una reunión anual de seguimiento del acuerdo, que incluirá también los aspectos de seguridad nacional.

• Protección efectiva de los derechos de los ciudadanos europeos, incluyendo medidas reales de salvaguarda.

       Creación de mecanismos de resolución de conflictos y, previsiblemente, sumisión a arbitraje.

       Acceso a los tribunales de Estados Unidos por parte de ciudadanos europeos en aspectos relacionados con sus datos personales.

       Marco sancionador para aquellas empresas que incumplan los compromisos asumidos bajo este acuerdo, que contempla incluso la expulsión del mismo.

        Creación de una nueva figura, el Defensor del Pueblo, independiente de los servicios de inteligencia de Estados Unidos, que seguirá y responsabilizará de quejas y solicitudes realizadas por individuos o autoridades de protección de datos europeas.

       Este acuerdo debe ser objeto de plasmación en un documento jurídicamente vinculante, que se prevé concluirlo en unos tres meses. Podemos decir, por ello, que estamos en vías de disponer de una protección que hasta hace bien poco no gozábamos, y que hacía movernos en la más absoluta ignorancia e indefensión y con una alegría inusitada de incorporar a las redes sociales todo tipo de información que, a buen seguro, servía para que muchas entidades tuvieran claro el perfil de nuestra personalidad.