Esperada con gran impaciencia y expectación, el viernes 16 de octubre se publicó la primera reacción ‒en forma de declaración‒ del Grupo de Trabajo del Artículo 291 sobre la Sentencia del Tribunal de Justicia de la Unión Europea, de 6 de octubre, que declaraba la invalidez del sistema Safe Harbor (la “Declaración” y la “Sentencia”, respectivamente). La relevancia de la Declaración radica en que es la primera reacción oficial y conjunta a la Sentencia de las autoridades europeas de protección de datos (incluida la Agencia Española de Protección de Datos, “AEPD”), que ya habían declarado por separado y en sus respectivos países que buscarían criterios comunes para aplicar la Sentencia de forma homogénea en los Estados miembros.
Pues bien, ¿qué han dicho las autoridades a través de este foro común? Aunque se esperaba que lanzaran un mensaje tranquilizador a las empresas europeas que hasta la fecha de la Sentencia realizaban transferencias internacionales de datos personales a EEUU amparadas en el sistema Safe Harbor, esta primera respuesta de las autoridades sorprende por generar nuevas incertidumbres.
Éstas son las principales manifestaciones y conclusiones de la Declaración:
TRANSFERENCIAS AMPARADAS EN SAFE HARBOR |
Las transferencias internacionales que se ampararon en el Safe Harbor y que aún se estén realizando son ilícitas.
Esta manifestación no resulta novedosa puesto que la ilicitud de estas transferencias era un efecto jurídico directo de la Sentencia. Sin embargo, debe recordarse que esta ilicitud tiene un impacto relevante en España, donde la normativa sanciona las transferencias internacionales ilícitas con multas de hasta 600.000 euros.
EFECTOS SOBRE TRANSFERENCIAS A EEUU AMPARADAS EN OTRAS CAUSAS LEGALES |
Las autoridades europeas destacan que la Sentencia considera incompatible con la normativa europea el que las autoridades del país receptor de los datos puedan realizar “controles masivos e indiscriminados” de los datos de ciudadanos europeos.
Sobre esta premisa, el Grupo de Trabajo del Artículo 29 informa que está analizando posibles efectos de la Sentencia más allá del derogado Safe Harbor, esto es, el posible impacto en otros de los mecanismos legales que permiten las transferencias en la medida que esos mecanismos tampoco solucionen posibles “injerencias” de autoridades públicas del país receptor. Con ello, cierta sombra de duda se cierne sobre determinadas herramientas jurídicas que actualmente amparan las transferencias a EEUU como son las Cláusulas Contractuales Tipo (“CCTs”) o las Reglas Corporativas Vinculantes (“RCVs”), cuyo uso en España se debe completar con la autorización del Director de la AEPD.
No obstante, la Declaración aclara que, mientras se completa este análisis, los mecanismos legales de las CCTs o las RCVs pueden seguir usándose, sin perjuicio de que las autoridades, en el caso de España la AEPD, puedan investigar los casos en los que existan denuncias de particulares o ejercitar sus competencias para garantizar los derechos de los ciudadanos.
¿CÓMO SE PUEDE RESOLVER ESTA SITUACIÓN DE INCERTIDUMBRE? |
La Declaración no ofrece soluciones concretas a las empresas afectadas que, además de no poder utilizar el recurso al Safe Harbor, ven cómo se podría cuestionar en el futuro la validez de otros mecanismos legales. El propio Grupo de Trabajo del Artículo 29 señala a los Estados miembros, a las instituciones de la Unión Europea y a las autoridades de EEUU como los principales sujetos capaces de resolver esta incertidumbre, instándoles urgentemente a abrir vías de negociación para acordar soluciones que permitan las transferencias internacionales a EEUU con respeto a los derechos fundamentales de los ciudadanos europeos (p.e., el acuerdo de Safe Harbor 2.0. actualmente en negociación).
¿LAS AUTORIDADES DAN ALGÚN PLAZO? |
Sí. Si para finales de enero de 2016 no se ha alcanzado una solución con las autoridades estadounidenses y dependiendo de las conclusiones que alcance el Grupo de Trabajo del Artículo 29 sobre el resto de mecanismos de transferencia (entre otros, las CCTs o las RCVs), las autoridades europeas de protección de datos se comprometen a adoptar e iniciar las acciones que consideren necesarias y apropiadas, lo que puede incluir acciones coordinadas para exigir el cumplimiento de la normativa.
¿QUÉ SE PIDE A LAS EMPRESAS? |
En concreto, las autoridades europeas piden a las empresas que desde este momento:
- que reflexionen sobre los eventuales riesgos que asumen al transferir datos a EEUU; y
- que pongan en práctica todas las soluciones legales y técnicas a su disposición para mitigar esos riesgos y respetar la normativa de protección de datos.
Además de las campañas de información pública que iniciarán las autoridades en cada país, no descartan informar directamente a aquellas empresas que les conste que hayan basado sus transferencias en el sistema Safe Harbor. Con la Declaración, las autoridades exigen a las empresas que inicien ya acciones tendentes a regularizar aquellas transferencias que hasta ahora amparaban en el Safe Harbor y ello en un marco jurídico inestable, mientras el mercado queda a la espera de soluciones institucionales y políticas definitivas a esta situación. Cuando menos, las empresas y sus administradores deberán adoptar aquellas medidas que les permitan acreditar haber desplegado una diligencia adecuada a sus circunstancias.
volver al inicio