Acaba de publicarse el Memorandum de la Comisión UE sobre el uso del safe harbour. (1) Ya he tenido ocasión de expresar mi opinión sobre este asunto; aquí intento traducir y resumir este documento, que afecta directamente la privacidad de los usuarios europeos y, de paso, las posibilidades de muchas empresas europeas de utilizar esta herramienta como servicio de hosting.

Para los interesados, pueden leer el texto completo (en inglés), aquí: MEMO-13-1059_EN

 

Recomendaciones de la Comisión

Se trata de 13 recomendaciones para que el uso de las herramientas propias del safe harbour respeten los principios de privacidad y protección de datos vigentes en los Países de la UE. Aquí van resumidas:

  1.  Las empresas estadonidenses que se adhieren a las normas del safe harbour deben publicar su política de privacidad.
  2. La política de privacidad debe contener siempre un link al Departamento de Comercio, donde se publica el listado de las empresas que, en cada momento, están adheridas a este estándar.
  3. Todas las empresas adheridas, deben publicar las normas de privacidad que incluyen en sus relaciones contractuales con las empresas con las que contratan total o parcialmente sus servicios (como, por ejemplo, en el caso de cloud computing).
  4. El Departamento de Comercio USA debe publicar los nombres de las empresas que ya han perdido (por cualquier motivo, incluso la retirada voluntaria) la condición de safe harbour.
  5. Todas las empresas adheridas, deben tener un link a un sistema de resolución de conflictos (ADR, Alternative Dispute Resolution, en inglés). Añado yo: y someterse a este ADR.
  6. El ADR debe ser visible y accesible (no he entendido si el término «affordable» se refiere también a una accesibilidad económica. Si el coste de una resolución de conflictos es demasiado alta, se convertiría en una medida inútil).
  7. El Departamento de Comercio debe vigilar más estrictamente el trabajo de los ADR y sus procesos de resolución de conflictos. Nada se dice si un ADR es un mero fake.
  8. Realizar inspecciones de oficio para las empresas adheridas, elegidas aleatoriamente. No he entendido bien quién debe realizar estas inspecciones. Yo me sentiría mucho más seguro si las realizaran Autoridades Europeas de Protección de Datos. Si se lo dejamos en manos del Departamento de Comercio…
  9. Si pillan a una empresa adherida que no cumple las reglas, «the company should be subject to follow-up specific investigation
    after 1 year«. Mmmm… Si no lo he entendido mal, una empresa que no cumple con los estándares del safe harbour (a los que se ha sometido voluntariamente, recordémoslo), ¿la volvemos a inspeccionar al año que viene? ¿Ésta es la sanción por saltarse las reglas? Sale barato…
  10. Esta es muy buena: en el caso de dudas sobre el real cumplimiento de las normas por parte de una empresa adherida, el Departamento de Comercio debe informar a las Autoridades Europeas de Protección de Datos. Sí, y de paso, nos dicen quién mató a Kennedy… ¡Venga ya!
  11. Las empresas que mienten (dicen que están adheridas a las normas de safe harbour pero, en realidad, pasan del asunto), deben ser investigadas. Faltaría más.
  12. Las empresas adheridas deben dejar claro en qué casos pueden estar sometidas a normativa nacional que les obliga a ceder datos a las autoridades nacionales, concretamente, por motivos de seguridad nacional, interés público y requerimientos judiciales. ¿Bastará con un simple link al Patriot Act?
  13. Las excepciones al respeto de las normas por motivos de seguridad nacional deben ser usadas sólo en casos de estricta necesidad.

 

Mis conclusiones

Me parece un planteamiento muy descafeinado por parte de la Comisión. Parece que las palabras de Ms. Viviane Reding caen en saco roto. Me refiero a la frase: «Data protection is not red tape or a tariff. It is a fundamental right and as such it is not negotiable

 

(1) Uso aquí el término safe harbour como si fuera una tecnología, y no es así. Con el ánimo de abreviar, entiendo (aquí), por safe harbour la práctica de muchas empresas (españolas también) de alojar sus datos (y los de sus clientes) en servidores de empresas estadounidenses. La razón de esta práctica es estrictamente económica: los precios de los servicios de housing, hosting y similares (también el mero storage data) es más barato, así de sencillo.