miércoles, 30 de marzo de 2016

España contra las cuerdas en materia de Protección de Datos

Fuente: a100Plus

Dos sentencias del Tribunal de Justicia de la Unión Europea (TJUE) ponen a España contra las cuerdas en materia de protección de datos: 


- Una de ellas puede permitir declarar nulas todas las cesiones de datos personales realizadas entre administraciones, lo que invalidaría desde el cobro de multas por embargo realizado por Hacienda hasta las tasas de basuras si estas son gestionadas por una diputación y no por el ayuntamiento. 

- La otra sentencia prohíbe el envío de datos a servidores con sede en los Estados Unidos porque no es “puerto seguro”, lo que pondría en cuestión incluso la firma electrónica concedida por el fisco. La polémica (o el caos) está servida (o servido).


Respecto a la primera sentencia, fechada el pasado 1 de octubre, establece que “una Administración pública de un Estado miembro que transmita datos personales a otra Administración pública, ha de informar a los interesados de esa transmisión y tratamiento de datos”. De hecho, la sentencia recuerda a todos los países que han de aplicar el artículo 6 de la directiva 95/46. De no ser así, las notificaciones de cualquier Administración pública a otra Administración pueden ser anuladas jurídicamente porque la mayoría de ellas no se ajustan a las directrices de la Unión Europea. Eso incluye los embargos efectuados por Hacienda con motivo de procedimientos e incluso las mismísimas multas de tráfico.

Entrada del Tribunal de Justicia de la Unión Europea con sede en Luxemburgo. (EFE)
“Esta sentencia significa cambiar todos los procedimientos que gestionan los datos personales. Las consecuencias son que las administraciones no podrán ocultar más lo que hasta ahora han ocultado. Por ejemplo, si un ayuntamiento cede tus datos personales a la Seguridad Social, ha de comunicártelo. O cuando los cede para que la diputación gestione el cobro de una multa de tráfico. Y lo mismo pasa con los datos que una Administración, sea cual sea, cede a la Agencia Tributaria. Lo que hace la sentencia es, en resumen, establecer un protocolo de aviso al ciudadano, con dos excepciones: en cuestiones de seguridad nacional o con motivo de una persecución de un delito penal. Pero no excluye a los juzgados, por lo que si un juzgado laboral pide un requerimiento a la Tesorería de la Seguridad Social, por ejemplo, lo tiene que comunicar al usuario”, explica a El Confidencial Josep Jover, el abogado que ha llevado varios pleitos contra la cesión no consentida de datos personales.

El tema es más grave y complejo de lo que parece. Cuando un ayuntamiento ofrece los datos de un ciudadano para que la diputación tramite el cobro de las basuras, ha de comunicar la cesión de datos. De lo contrario, se arriesga a que todo el procedimiento sea declarado nulo. “Lo malo es que toda la estructura española está montada sobre la base de que las administraciones pueden hacer con tus datos lo que les dé la gana. Y la sentencia pone un límite a ese abuso”, subraya Jover.

Eulalio Ávila Cano, presidente del Colegio Oficial de Secretarios, Interventores y Tesoreros de la Administración Local (Cosital), señala a El Confidencial que esta sentencia, “lógicamente, afecta y mucho al funcionamiento de las administraciones. Hay que tener en cuenta que si hay que comunicar datos a la AEAT o a la Dirección General de Tráfico para pagar el impuesto municipal, o incluso pedir un embargo a Hacienda, se ha de comunicar la transmisión de datos, por lo que ahora hay que desarrollar un reglamento para adaptarse a la normativa europea”.

Crecimiento burocrático


Ávila destaca que ello provocará “un crecimiento burocrático”. Pero queda una duda en el aire: es evidente que hay que desarrollar un nuevo protocolo de procedimiento, pero “falta delimitar a qué se refiere la transmisión de datos que se ha de notificar, si es solo cuando una Administración pide los datos a otra o si se ha de realizar siempre que se transmitan datos personales aunque sea en una petición más amplia. Esa es la gran pregunta. De momento, tenemos muy claro que, si se piden o se transfieren datos personales, el ciudadano ha de ser informado. Nos falta saber si también se le ha de comunicar cuando se envían datos en otro contexto”.

De otro parecer es Víctor Almonacid, secretario del Ayuntamiento de Alzira y uno de los mayores expertos en administraciones públicas, quien señala que “en principio, la sentencia tiene un gran impacto, porque los ayuntamientos transmitimos miles de datos cada día. Es cierto que ahora no recabamos la autorización del ciudadano, pero al fin y al cabo esa es solo una cuestión formal”. Almonacid señala que “algunas administraciones no conocen todavía la sentencia, que obviamente hay que cumplir. Pero yo soy de la opinión de que el ciudadano no sufre ningún menoscabo en sus derechos por que una Administración municipal, por ejemplo, envíe sus datos a Hacienda, cosa natural por la interrelación de las administraciones”.

Los expertos creen que "en principio, la sentencia tiene un gran impacto, porque los ayuntamientos transmiten miles de datos cada día"

El secretario de Alzira propone “que se firme una especie de protocolo o autorización una sola vez, por el que el ciudadano da su permiso para la transmisión de datos. Él ya es consciente de los datos que tenemos las administraciones, y lo que se haría sería simplificar los trámites. Esa autorización se podría validar incluso telemáticamente. Es la manera más sencilla que veo para que no se produzca un colapso de las administraciones, porque no tiene sentido que tengamos que enviar una notificación cada vez que pedimos o enviamos un dato personal”.

Segunda sentencia


Pero eso es solo la punta del iceberg. Otra sentencia fechada el 6 de octubre es todavía más alarmante: prohíbe transferir datos de carácter personal y datos de especial protección a países que no sean puerto seguro. Y como puerto seguro, de momento, solo se entiende el ámbito de la UE. A este respecto, los grandes servidores de internet, la mayoría alojados en Estados Unidos, no están considerados dentro de esta categoría.

A este respecto, la Agencia de Protección de Datos ya comenzó a enviar cartas de requerimiento a determinadas empresas a finales del pasado año para que se adecúen a la normativa. Las misivas explican que en sus registros “constan ficheros a nombre de esa entidad [la empresa destinataria de la carta] en los que en el apartado de Transferencias Internacionales figuran declaradas transferencias de datos a una entidad estadounidense adherida a los principios de puerto seguro (…) Con fecha 6 de octubre de 2015, el TJUE ha declarado inválida la Decisión de la Comisión 2000/520/CE que establece el nivel adecuado de protección de las garantías internacionales de datos a EEUU ofrecidas por el acuerdo de puerto seguro, por lo que las transferencias no pueden ampararse en esa base legal”. Y terminaba señalando que “se le requiere para que a la mayor brevedad, y en todo caso antes del 29 de enero de 2016, informe al Registro General de Protección de Datos sobre la continuidad de las transferencias y, en su caso, sobre la adecuación a la normativa de protección de datos”.

“Ya es la segunda vez que el TJUE falla contra el acuerdo de puerto seguro por insuficiencia de garantías sobre los datos personales de los europeos”


¿A qué se debe esta iniciativa? Sencillamente, a que los servidores de Estados Unidos y sus empresas no pueden calificarse de seguros, a pesar de que hace años la UE firmó un convenio con aquel país. En estos momentos, ese convenio es papel mojado. El procedimiento que desembocó en esta sentencia fue iniciado por Maximilian Schrems, un ciudadano austriaco, cuyos datos en Facebook se conservaban en un servidor del país norteamericano. Una nota informativa del TJUE señala que Schrems presentó su reclamación tras la denuncia de Edward Snowden de que la NSA espía la mayoría de las comunicaciones y, dado que sus datos iban a un servidor estadounidense, “no garantizaban una protección suficiente de los datos transferidos a ese país frente a las actividades de vigilancia por las autoridades públicas”. “Ya es la segunda vez que el TJUE falla contra el acuerdo de puerto seguro por insuficiencia de garantías sobre los datos personales de los europeos”, subraya Josep Jover.

En este caso, además, existe un problema añadido: el fisco español, por ejemplo, utiliza esos servidores para conceder la firma digital, por lo que en una cantidad importante de transferencias de datos (cuando se hace referencia a datos personales), se estaría vulnerando la ley comunitaria. En consecuencia, esas transmisiones podrían ser declaradas ilegales.

Fuente: a100Plus

No hay comentarios:

Publicar un comentario

¡Gracias por su aportación!

Quedamos a su disposición en nuestra Web:

www.alianza-abogados-cartagena.com