Publicaciones

El TJUE ha declarado inválido el sistema europeo de transferencia de datos a EEUU basado en el acuerdo conocido como “Safe Harbor” (puerto Seguro). La Sentencia dictada el 6 de octubre por el Tribunal de Justicia de la Unión Europea invalida la Decisión 2000/520, relativa a la certificación “Safe Harbor”, que autorizaba la transferencia de datos personales desde la Unión Europea a empresas establecidas en Estados Unidos que garantizasen un adecuado nivel de protección y respetasen la normativa sobre privacidad de los Estados Miembros.

El Tribunal razona que los principios en los que se basa la certificación de Puerto Seguro son únicamente aplicables a corporaciones mercantiles, no así a agencias estatales u organismos gubernamentales norteamericanos, que podrían llevar a cabo injerencias en la privacidad de los ciudadanos europeos en base a la “seguridad nacional, el interés público y el cumplimiento de la Ley de Estados Unidos” sin que se haya constatado la existencia de reglas estatales o mecanismos jurídicos eficaces destinados a limitar dichas injerencias.

Afirma el Tribunal en este sentido que las políticas de conservación de datos personales existentes en Estados Unidos en relación con el interés general y la seguridad nacional, así como la falta de limitación, diferenciación y criterios objetivos que rijan la intromisión por parte del sector público en la privacidad de los ciudadanos europeos no cumple con lo exigido por los principios de protección de datos instaurados en el Viejo Continente a raíz de la Directiva 95/46, que imponen reglas claras y precisas que protejan a los ciudadanos frente a injerencias abusivas, injustificadas y no proporcionadas por parte de los poderes públicos en su privacidad.

Hasta esta Sentencia, la Agencia Española de Protección de Datos aceptaba la mera notificación (sin necesidad de autorización) de la transferencia a Estados Unidos por parte del responsable del fichero, siempre que la empresa importadora de los datos estuviera adherida al programa de Puerto Seguro. Tras la Sentencia, quedan en el aire multitud de cuestiones, como las medidas que las autoridades de protección de datos nacionales tomarán respecto de las transferencias internacionales a Estados Unidos que ya hubieran sido autorizadas, así como respecto de las que fueran solicitadas en el futuro. En particular, la  Agencia Española de Protección de Datos se hace eco del fallo en su web a través de esta nota de prensa, indicando que se va a proceder a la fijación de criterios por parte de los reguladores europeos de cara a la aplicación práctica uniforme de los criterios sentados por la resolución. Fuentes internas de dicha Agencia aconsejan que, hasta que no exista una posición tanto interna como común con las distintas autoridades nacionales europeas y se fijen criterios de actuación, los responsables de ficheros no realicen ningún movimiento tendente a modificar o notificar transferencias a Estados Unidos ante el regulador nacional.

Lo que se aconseja en este período de “limbo” jurídico es que, a pesar de que se plantee un futuro incierto hasta que se fijen criterios de actuación por las distintas agencias europeas, los responsables afronten el cambio de manera proactiva. Hasta que dicha hoja de ruta llegue, resultará muy útil avanzar en soluciones alternativas tendentes a minorar los riesgos y a reducir el impacto de la aplicación práctica de la sentencia. Dichas medidas pueden comenzar por listar pormenorizadamente todas las transferencias internacionales realizadas, revisar concienzudamente los acuerdos de cesión de datos con las empresas norteamericanas,  examinar si se han tenido en cuenta las Cláusulas Modelo Europeas, así como verificar que el importador norteamericano cumple con las exigencias de seguridad marcadas por la legislación europea.