Selecciona Edició
Connecta’t
protecció de dades

El Tribunal de la UE creu que els EUA no protegeixen les dades dels europeus

Els Estats membre podran bloquejar l'enviament de dades dels seus ciutadans als EUA

Logotip de Facebook.
Logotip de Facebook. Reuters

La Unió Europea ha llançat aquest dimarts un rotund missatge als Estats Units en matèria de protecció de dades. Qualsevol Estat membre podrà a partir d'ara bloquejar l'enviament de dades personals als EUA, segons una sentència del Tribunal de Justícia de la UE que no es pot recórrer. La sentència, publicada aquest matí, habilita les agències nacionals de protecció de dades perquè frenin les transferències de dades de ciutadans europeus a tercers països (inclòs els EUA) si consideren que l'empresa —o territori— a la qual es destinen no és fiable. En virtut d'aquest dictamen, el criteri de les agències prevaldrà sobre el de la Comissió Europea, que des de l'any 2000 fins avui considerava el territori nord-americà com un port segur.

La legislació europea no permet que les dades personals s'enviïn fora de les seves fronteres excepte si el país de destinació disposa d’un reglament de protecció adequat. Malgrat que Brussel·les sí que el considerava segur —tant el país com les seves empreses—, des de l'escàndol d'espionatge de l’Agència de Seguretat Nacional dels EUA (NSA, per les seves sigles en anglès) revelat per Edward Snowden el 2013, la confiança de la capital europea cap al tractament de les dades personals d'europeus als EUA penjava d'un fil. La Cort creu, segons la sentència de tres pàgines, que tant en la llei com en la pràctica, "els EUA no garantien una protecció suficient de les dades transferides a aquest país" i per tant demana a la Comissió que reculi i invalidi la norma per la qual sí que es considerava un territori segur per a la intimitat dels ciutadans europeus des de feia 15 anys. El dictamen arriba, a més, en un moment en el qual la renegociació sobre l'intercanvi d'informació i dades personals entre tots dos blocs acaba de ser llançada.

La Justícia europea retreu a l’Executiu comunitari que no va dur a terme la seva obligació de comprovar si els EUA garanteixen un nivell de protecció dels drets fonamentals substancialment equivalent al garantit a la UE i que es va limitar simplement a "analitzar".

El cas va saltar a la llum quan l'austríac Max Schrems va interposar una denúncia contra la companyia tecnològica al Comissionat de Protecció de Dades d'Irlanda, organisme homòleg de l'Agència Espanyola de Protecció de Dades en aquell país, en ser seu de l'empresa a Europa. Schrems entenia que Facebook no garantia la seguretat de les seves dades, després que Edward Snowden, exagent de l'Agència de Seguretat Nacional dels EUA, revelés que la intel·ligència d'aquell país tenia accés a les dades de la companyia. La Cort irlandesa va remetre una consulta al Tribunal europeu que ha fallat avui a favor de Schrems.

La sentència d'aquest dimarts no és una sorpresa per al gegant tecnològic —que es defensa al·legant que la fallada no va contra ells sinó contra els mecanismes d'intercanvi i protecció de dades— ja que incorpora el criteri de l'advocat general del Tribunal, Yves Bot, que es va fer públic el 23 de setembre passat. "Aquesta opinió [de l'advocat general] és un cop dur per a la vigilància global dels EUA que en gran mesura depèn de les entitats privades. El judici deixa clar que les empreses nord-americanes no poden ajudar els EUA en els seus esforços per violar els drets fonamentals dels europeus", va dir Schrems fa un parell de setmanes. El dictamen, que especifica que en tot cas "ha de ser el tribunal nacional [irlandès] qui ha de resoldre el litigi", obliga tots els tribunals dels Vint-i-vuit a assumir-lo en les seves deliberacions i fallades en casos similars. "És important que els EUA i la UE assegurin mètodes fiables i legals per a la transferència de dades i per resoldre assumptes de seguretat nacional", ha explicat Facebook aquest dimarts.

Per l'advocat especialista en protecció de dades digitals Joaquín Muñoz, del bufet Abanlex, que va gestionar el cas Google, "el poc temps que ha passat des de la publicació del criteri de l'advocat a la publicació avui de la sentència feia previsible que no hi hauria sorpreses". Fonts de la Cort a Luxemburg sostenen que l'opinió dels advocats generals acostumen a seguir-se en el 80% dels casos.

"La conseqüència més immediata és que les empreses americanes amb seu a Europa hauran de legitimar la transferència de dades cap als Estats Units. Per fer-ho, el més senzill serà tenir el consentiment inequívoc de l'usuari per fer aquesta transferència. L'usuari ha de ser informat i consentir-ho", ha explicat Muñoz. "El més fàcil serà que a partir d'ara, Facebook, enviï un missatge a tots els usuaris a la Unió Europea, perquè sàpiguen que les dades es traslladaran a la seva matriu als Estats Units", ha afegit l'advocat.

Per Muñoz, "la decisió més legalista per part de l'empresa hauria de tenir en compte que Facebook està obligada per la Patriot Act, la llei de seguretat americana que preveu que la NSA els requereixi informació. Una altra possibilitat, tècnicament poc viable, seria fer un Facebook només per a Europa".

L’Agència Espanyola de Protecció de Dades considera en un comunicat que les implicacions de la sentència "reafirmen la importància de la intimitat i la protecció de dades, drets fonamentals que han de gaudir del màxim de garanties possibles". Els organismes estatals de protecció de dades "han planificat actuacions de coordinació" per analitzar la sentència, a fi que s'apliqui de manera "consistent" en tots els països de la UE. L’Agència ha incidit que les autoritats europees "ja van observar deficiències en el Port Segur" i així ho van plasmar en "cartes i dictàmens".