Saltear al contenido principal
Soporte Técnico: +34 913 518 558 Login

Las Autoridades de Protección de Datos europeas se pronuncian sobre la sentencia SAFE HARBOR

Requieren soluciones políticas, jurídicas y técnicas que permitan la transferencia de datos a EEUU respetando los derechos fundamentales.
Artículo escrito por Mario Embid, Asesor Legal de Branddocs y socio del bufete de abogados Embid&Oliver.

Tras la resolución del TJUE que invalidó por completo el sistema de Puerto Seguro o SAFE HARBOR, las distintas autoridades de control europeas se apresuraron en anunciar que se procedería a un análisis conjunto y coordinado de la sentencia con el objetivo de garantizar una aplicación consistente de la sentencia en todos los países de la UE. Cumpliendo lo prometido, ayer, 19 de octubre de 2015, se publicaba en la página web de la AEPD una declaración conjunta sobre “las primeras consecuencias que se pueden extraer a nivel europeo y nacional tras el histórico fallo de la Corte de Justicia de la Unión Europea (TJUE) de 6 de octubre de 2015 en el caso Maximilian Schrems vs. Comisionado de Protección de Datos (C-362-14)”.

Esta declaración dista mucho de ser un punto y final, pero sí puede ayudarnos a vislumbrar el futuro en materia de transferencia internacional de datos a EEUU. En este sentido, parece que las autoridades europeas consideran que el volumen de transferencia de datos UE-EEUU imposibilitan la aplicación de un sistema de autorización individual o, en su defecto, que se base en alguna de las excepciones recogidas en el art. 26 de la Directiva 95/46/CE. Por ello, instan a los Estados Miembros e Instituciones Europeas a encontrar soluciones políticas, jurídicas y técnicas poniendo como ejemplo la formalización de un nuevo acuerdo de Puerto Seguro que, esta vez sí, goce de “mecanismos claros y vinculantes” e incluya, “al menos, obligaciones sobre la necesaria supervisión del acceso por parte de las autoridades públicas, sobre transparencia, proporcionalidad, mecanismos de reparación y derechos recogidos en la legislación de protección de datos”. La declaración marca como fecha tope para la consecución de este acuerdo enero del 2016, advirtiendo de que, en caso contrario, se tomarán todas las medidas necesarias y apropiadas, “que pueden incluir acciones coordinadas de aplicación de la ley (enforcement)”. No puede escaparse que dentro de esta velada amenaza se encuentra la posibilidad de prohibir las transferencias de datos a este país (vía art. 28 de la Directiva) o a no autorizar ninguna solicitud individual al considerar que ninguna empresa radicada en EEUU podrá acreditar un nivel de protección adecuado. Ambas alternativas, a grandes rasgos, terminan surtiendo efectos parecidos.

Sin embargo, ¿Es posible un acuerdo que cumpla con las características que exige la normativa europea? A priori, los requisitos enumerados por las autoridades europeas parecen chocar frontalmente con la configuración propia del sistema legal norteamericano, la defensa a ultranza que sobre el concepto de soberanía realiza y la práctica impunidad de la que gozan todas las actuaciones gubernamentales realizadas bajo el paraguas de la seguridad nacional, pues no podemos olvidar que la NSA accedía a los datos de los ciudadanos europeos, estadounidenses y de cualquier otra nacionalidad. No obstante, habrá que esperar acontecimientos y confiar en que ambos están obligados a entenderse.

En cuanto a los efectos de la sentencia en el día a día de las empresas, la declaración se limita a afirmar que toda transferencia que “aún se estén llevando a cabo bajo la Decisión Puerto Seguro tras la sentencia del TJUE son ilegales”, anunciando la puesta en marcha de campañas de información y llamando al entendimiento entre los  agentes implicados (Autoridades de Protección de Datos, Instituciones Europeas, Estados Miembros y empresas) para “encontrar soluciones sostenibles para aplicar la sentencia del Tribunal”.

Parece que toca seguir esperando.

Volver arriba