El pasado 6 de octubre de 2015 una sentencia del Tribunal de Justicia de la Unión Europea (TJUE) invalidó el acuerdo conocido internacionalmente como Safe Harbor, en activo desde el año 2000.
Este acuerdo suponía a grandes rasgos que las empresas europeas que utilizaban servicios de cloud computing establecidos en Estados Unidos podían almacenar la información de sus usuarios en territorio estadounidense sin mayor mediación.
Mientras pasaban los años todo fluía sin importantes incidentes, pero los recientes casos de Edward Snowden y Max Schrems hicieron cambiar el panorama internacional en este sentido. Snowden planteó los grandes problemas de seguridad en relación a la información almacenada en Estados Unidos, mientras que el austríaco Schrems ganó un juicio contra Facebook, empresa a la que acusaba de no garantizar la protección de sus datos almacenados en Estados Unidos como ciudadano europeo, en base a todos los datos revelados por Snowden.
La sentencia motivó la nulidad de Safe Harbor y un acuerdo temporal de solucionar la situación a principios de 2016. Se consideró todo un logro para la preservación de la privacidad, pero lo cierto es que en la actualidad la situación es todavía algo inestable.
En estos momentos, sólo el 3% de las miles de empresas afectadas ha realizado algún cambio significativo. Entre ellas destaca Atari, LinkedIn, MailChimp, Box, Salesforce... Pero de las grandes no hay noticias, ya que ni Facebook ni Google han hecho (al menos públicamente) ningún cambio que suponga una situación de legalidad, cuando no de normativa, para la información de sus usuarios europeos.
La compañía más grande que sí ha realizado movimientos significativos es Microsoft. La multinacional ha realizado el paso más lógico para ofrecer un servicio dentro de la legalidad vigente y ha asegurado que en 2016 la información de sus usuarios europeos se encontrará físicamente alojada en Europa, respetando de esta forma la sentencia del pasado mes de octubre.
Otras acciones ocasionadas por la anulación de Safe Harbor
El TJUE no obliga a las empresas estadounidenses que almacenan información de usuarios europeos a mover los datos como única solución, sólo solicita modificar la situación para que se enmarquen dentro de la legalidad vigente. Apoyarse en el acuerdo de Safe Harbor no se encuentra dentro de esta legalidad, pese a que algunas empresas insistan en mantener su estatus.
Por ello, se están buscando soluciones alternativas. Una de ellas que es la más extendida, solicita al usuario que de forma voluntaria, consentida y explícita, permita a dichas empresas seguir almacenando con el mismo método y en la misma ubicación que hasta ahora la información personal registrada.
Otra metodología consiste en un cambio contractual del servicio que, lógicamente, en caso de aprobarse por ambas partes sería completamente legal. Este era el paso que Safe Harbor quería evitar en su origen para eliminar trámites que pudieran retrasar o alargar el proceso de registro y obtención de datos de usuarios.
Y, por último, está la elaboración de un nuevo acuerdo. Ard van der Steur, Ministro de Justicia holandés, va a tener la responsabilidad de estas negociaciones. Su país presidirá a partir del 1 de enero de 2016 la Unión Europea y éste es uno de los temas más polémicos con Estados Unidos que debe zanjarse cuanto antes. Sin embargo, el propio ministro ha admitido a la prensa que llegar a un nuevo acuerdo antes de la fecha límite de 31 de enero de 2016 es inviable en la práctica. Según la sentencia del TJUE, a partir de entonces las multas a las empresas implicadas podrían iniciar su proceso.