La reciente Sentencia del Tribunal de Justicia de la Unión Europea C-362/2014 de 6 de octubre de 2015 que invalida la legalidad del llamado sistema de puerto seguro o “safe harbor” para transferir datos a Estados Unidos, ha puesto al sector “patas arriba” generando dudas y reticencias sobre las relaciones Unión Europea y Estados Unidos en lo que al intercambio de datos personales se refiere. No en vano, existe una gran cantidad de empresas que por motivos distintos han visto amparados sus envíos de datos a empresas de Estados Unidos amparadas precisamente por este sistema legitimado en virtud de la Decisión de la Comisión 2000/520/CE. No es tan extraño que los datos se almacenen con una empresa cuyos servidores se encuentran en Estados Unidos o que se trabaje con compañías que presten servicio en aquél país. El problema es que hasta ahora si la empresa americana estaba adscrita al sistema de puerto seguro, la transferencia no tenía ningún problema pues se suponía que los datos quedaban protegidos y su seguridad y privacidad garantizados. La Sentencia del TJUE ha constatado que no es así.
En Estados Unidos la privacidad puede verse comprometida por motivos diversos y por ello, en realidad no se garantiza el nivel de protección equivalente exigido por la legislación comunitaria. Mientras la UE y Estados Unidos renegocian un nuevo acuerdo, las autoridades comunitarias han acordado buscar medidas alternativas válidas al menos hasta finales de enero de 2016. Según nuestra LOPD, es necesaria la autorización de transferencia internacional de la Directora de la Agencia Española de Protección de Datos excepto en determinadas circunstancias que se recogen en el artículo 34 de la LOPD.
Pero, ¿qué podemos hacer ahora? La Agencia Española de Protección de datos está recomendando algunos procedimientos que por cierto ya se utilizaban para otras transferencias a terceros países que en principio no garantizan un nivel de protección equivalente al comunitario. A estos efectos se está dirigiendo a los titulares de transferencias internacionales ofreciendo las alternativas que existen para solucionar este tema en un plazo razonable:
Dicha autorización sólo se producirá si el solicitante aporta un contrato escrito celebrado entre el exportador y el importador de datos en el que consten las necesarias garantías para la protección de los datos y los derechos fundamentales de los interesados. ¿Y qué contratos reúnen dichas garantías? Pues precisamente los que incluyan las cláusulas tipo más arriba referenciadas. También se pueden autorizar transferencias internacionales de datos entre sociedades de un mismo grupo (habitualmente multinacionales) cuando se hubieran establecido normas internas vinculantes para las empresas del citado grupo: son las llamadas BINDING CORPORATE RULES (BCR) cuyo contenido se encuentra, igualmente, desarrollado en la Ley. Por lo tanto, ante el revuelo creado por la Sentencia del Tribunal de Justicia las recomendaciones serían las siguientes:
En estos días estamos asistiendo a movimientos diplomáticos tendentes a solventar esta situación y negociando nuevos acuerdos que son de interés de todos los involucrados. Seguiremos informando.
Paz Martín