Alcanzaste el límite de notas gratuitas
inicia sesión o regístrate.
inicia sesión o regístrate.
Alcanzaste el límite de notas gratuitas
Nota exclusiva debe suscribirse para poder verla
Una reciente sentencia del Tribunal de Justicia de la Unión Europea (TJUE) -del 6 de octubre de 2015, Asunto C-362/14-, ha iniciado una nueva época en la comprensión de la privacidad de nuestros datos en la era digital.
El caso de Max Schrems, un estudiante austríaco de Derecho -hoy abogado y activista por el derecho a la privacidad online-, captó desde su origen una atención mediática inusitada en razón de haber sido un simple usuario quien ha pateado el tablero en relación a la violación al derecho a la privacidad de sus datos personales, y, desde luego, porque del otro lado se encuentra nada menos que el gigante informático Facebook. En esta historia de David contra Goliat 2.0, el joven en cuestión, ejerciendo su legítimo derecho de acceso a sus datos personales, solicitó a Facebook que le informe qué tipo de datos almacena sobre su cuenta ya cerrada, recibiendo en efecto un CD con más de 1.200 páginas de datos, incluyendo fotos, videos, y demás mensajes en su muro, muchos de los cuales juró haber borrado.
En visión de Schrems, la respuesta de Facebook Irlanda evidenciaba que sus prácticas en particular aquella consistente en la transferencia de los datos personales de los usuarios residentes en el territorio de la Unión Europea, en todo o en parte, a servidores pertenecientes a Facebook Inc., situados en el territorio de Estados Unidos, donde son objeto de tratamiento constituían una violación al Derecho Europeo en materia de privacidad de los datos personales. Entre sus consideraciones, se infiere que tanto los "términos y condiciones" como las prácticas de tratamiento de datos personales efectuadas por Facebook se encuentran estipuladas y llevadas a cabo al solo efecto del cumplimiento del Derecho Norteamericano, el cual, sin duda alguna, puede calificarse como laxo en relación a las prohibiciones de recabar información personal. Por otro lado, si se considera el paradigma europeo de protección de datos, se observa un ordenamiento legal teñido por la noción de privacidad como derecho humano fundamental, el cual deriva en dos ejes sobre los cuales Schrems justifica su pretensión: el respeto al principio del consentimiento previo en el procesamiento de los datos y la eliminación de todos los datos que resulten irrelevantes en relación a los fines para los cuales fueron recolectados.
En este marco, el interesado interpuso un reclamo ante la Agencia de Protección de Datos de Irlanda (donde Facebook tiene sus oficinas principales en Europa), dando su rechazo lugar a una revisión por órganos judiciales, entre ellos, la Corte Suprema de Justicia de Irlanda, quien finalmente, remitió el caso al TJUE.
Transferencia de datos y "puertos seguros"
La cuestión principal que fue sometida a decisión prejudicial por el TJUE, y cuyo entendimiento es necesario para comprender el fallo que se comenta, se refiere a la noción de transferencia internacional de datos. La norma europea que rige la transferencia de datos a países fuera del territorio de la Unión establece como principio general el de prohibición, debiendo sus excepciones ser expresamente autorizadas por la Comisión Europea. Así, los datos solamente pueden transmitirse a aquellos países que cuentan con niveles adecuados de protección (puertos seguros), existiendo a la fecha una lista de 13 países, entre los cuales se encuentra la Argentina. En el caso de las transferencias hacia EEUU, es de destacar que la Decisión 2000/520/CE de la Comisión Europea aprueba el llamado "Acuerdo de Puerto Seguro" con el Departamento de Comercio de EEUU, siendo este organismo el encargado de llevar una lista de aquellos procesadores que reciben datos de la Unión Europea (entre ellos: Google, Apple, Microsoft, AOL, Amazon, Facebook, Twitter, etc.), y que cumplen con los estándares mínimos impuestos por la Comisión.
El caso de Max Schrems, un estudiante austríaco de Derecho -hoy abogado y activista por el derecho a la privacidad online-, captó desde su origen una atención mediática inusitada en razón de haber sido un simple usuario quien ha pateado el tablero en relación a la violación al derecho a la privacidad de sus datos personales, y, desde luego, porque del otro lado se encuentra nada menos que el gigante informático Facebook. En esta historia de David contra Goliat 2.0, el joven en cuestión, ejerciendo su legítimo derecho de acceso a sus datos personales, solicitó a Facebook que le informe qué tipo de datos almacena sobre su cuenta ya cerrada, recibiendo en efecto un CD con más de 1.200 páginas de datos, incluyendo fotos, videos, y demás mensajes en su muro, muchos de los cuales juró haber borrado.
En visión de Schrems, la respuesta de Facebook Irlanda evidenciaba que sus prácticas en particular aquella consistente en la transferencia de los datos personales de los usuarios residentes en el territorio de la Unión Europea, en todo o en parte, a servidores pertenecientes a Facebook Inc., situados en el territorio de Estados Unidos, donde son objeto de tratamiento constituían una violación al Derecho Europeo en materia de privacidad de los datos personales. Entre sus consideraciones, se infiere que tanto los "términos y condiciones" como las prácticas de tratamiento de datos personales efectuadas por Facebook se encuentran estipuladas y llevadas a cabo al solo efecto del cumplimiento del Derecho Norteamericano, el cual, sin duda alguna, puede calificarse como laxo en relación a las prohibiciones de recabar información personal. Por otro lado, si se considera el paradigma europeo de protección de datos, se observa un ordenamiento legal teñido por la noción de privacidad como derecho humano fundamental, el cual deriva en dos ejes sobre los cuales Schrems justifica su pretensión: el respeto al principio del consentimiento previo en el procesamiento de los datos y la eliminación de todos los datos que resulten irrelevantes en relación a los fines para los cuales fueron recolectados.
En este marco, el interesado interpuso un reclamo ante la Agencia de Protección de Datos de Irlanda (donde Facebook tiene sus oficinas principales en Europa), dando su rechazo lugar a una revisión por órganos judiciales, entre ellos, la Corte Suprema de Justicia de Irlanda, quien finalmente, remitió el caso al TJUE.
Transferencia de datos y "puertos seguros"
La cuestión principal que fue sometida a decisión prejudicial por el TJUE, y cuyo entendimiento es necesario para comprender el fallo que se comenta, se refiere a la noción de transferencia internacional de datos. La norma europea que rige la transferencia de datos a países fuera del territorio de la Unión establece como principio general el de prohibición, debiendo sus excepciones ser expresamente autorizadas por la Comisión Europea. Así, los datos solamente pueden transmitirse a aquellos países que cuentan con niveles adecuados de protección (puertos seguros), existiendo a la fecha una lista de 13 países, entre los cuales se encuentra la Argentina. En el caso de las transferencias hacia EEUU, es de destacar que la Decisión 2000/520/CE de la Comisión Europea aprueba el llamado "Acuerdo de Puerto Seguro" con el Departamento de Comercio de EEUU, siendo este organismo el encargado de llevar una lista de aquellos procesadores que reciben datos de la Unión Europea (entre ellos: Google, Apple, Microsoft, AOL, Amazon, Facebook, Twitter, etc.), y que cumplen con los estándares mínimos impuestos por la Comisión.
Un futuro promisorio
Ahora bien, la parte resolutiva de la sentencia del TJUE, puede resumirse en la declaración del "Acuerdo de Puerto Seguro" como inválido, en tanto la transferencia de datos desde la Unión Europea hacia los Estados Unidos, viola derechos garantizados por las normas primarias (Arts. 7 y 8 de la Carta Europea de Derechos Fundamentales y Art. 8 de la Convención Europea de Derechos Humanos) y secundarias (Arts. 25 y 28 de la Directiva 95/46/CE relativas a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos) del Derecho Europeo.
El fallo en ciernes es un verdadero hito en la determinación, por un lado, del alcance de los derechos a la privacidad y a la autodeterminación informativa de los ciudadanos europeos, y por otro lado, las responsabilidades que corresponden a los proveedores de servicios de Internet con base en Estados Unidos.
En este sentido, la importancia de lo que se ha dirimido no es menor, dado que las cuestiones prejudiciales traídas a consideración del TJUE tienen carácter vinculante para todos los países de la Unión Europea. Además, dicho precedente reviste gran relevancia en otras latitudes, en particular, en nuestro ordenamiento jurídico, pues nuestra Ley de Protección de Datos Personales Nº 25.326, tiene como principal y directa fuente a la Ley Española, estando esta última adaptada al marco de la Directiva Europea de Datos Personales, cuya letra ha sido interpretada.
Finalmente, es preciso señalar que el camino que nos espera de cara al futuro en materia de privacidad en Internet parece estar signado por la lucha por los derechos de los usuarios a través de batallas judiciales (el propio TJUE ha resuelto con anterioridad en favor del llamado "derecho al olvido" en los motores de búsqueda [Asunto C-131/12], como así también declarando la nulidad de la Directiva 2006/24/CE que ordenaba la retención de datos de tráfico de usuarios con fines de investigación judicial [Asuntos C293/12 y C-594/12]), de normas y proyectos legislativos actualizados (en Europa, la Directiva de los Derechos de los Consumidores y la Propuesta de Regulación General para la Protección de Datos Personales), pero, fundamentalmente, de una fuerte concientización en nuestros hábitos de divulgación de datos que hacen a nuestra intimidad.
PUBLICIDAD