Artículos de 2017
Artículos de 2016
Artículos de 2015
Artículos de 2014
Artículos de 2013
Artículos de 2012
Artículos de 2011
Artículos de 2010
Artículos de 2009
Artículos de 2008

El problema de la transferencia de datos internacionales a EEUU


La reciente sentencia del 6 de octubre de 2015 del Tribunal de Justicia de la Unión Europea (TJUE) sobre el asunto C-362/14, conocido popularmente como “Decisión Schrems”, ha convertido la transferencia internacional de datos basada en el Safe Harbor Agreement en una opción no legal.

Eso supone que en España (y en toda la Unión Europea) cualquier transferencia internacional de datos a Estados Unidos es susceptible de ser considerada inválida y no amparada por la Ley. Ello constituye una infracción grave sancionada con multas de 600.000 euros por la Agencia Española de Protección de Datos.

Las consecuencias negativas de la sentencia fueron confirmadas el pasado mes de octubre por el Grupo de Trabajo del Artículo 29 (Grupo 29), que engloba, entre otros, a las Autoridades de protección de datos de los estados miembros de la Unión Europea.

En su declaración conjunta, el Grupo 29 pone de manifiesto las necesidades futuras y emplaza a las autoridades norteamericanas y comunitarias a buscar “soluciones políticas, jurídicas y técnicas” para garantizar la viabilidad de las transferencias de datos. Lo que subyace en su declaración es que de nada sirve proteger los datos en la Unión Europea si se transfieren a países con sistemas menos garantistas que los europeos, como Estados Unidos, donde se produce una “vigilancia masiva e indiscriminada” que es notoriamente pública desde el caso Snowden.

Históricamente, desde la Unión Europea se había ya manifestado de forma repetida que la solución Safe Harbor no era garantista respecto a los derechos fundamentales de los ciudadanos europeos y el asunto Schrems ha permitido provocar la paralización de lo que en ámbitos profesionales se consideraba como un mecanismo insuficiente ya que el Safe Harbor se había convertido en una certificación carente de control y supervisión real.

El Grupo 29 ha dado de plazo hasta finales de enero de 2016 para que se ofrezca una solución aceptable desde la perspectiva comunitaria. En caso de no ser así, las Autoridades de protección de datos de la Unión Europea se comprometen a adoptar todas las medidas necesarias y apropiadas en aras al cumplimiento de la confidencialidad de los datos personales que se pretende, que pueden incluir acciones coordinadas de aplicación de la ley en ámbito europeo.

No obstante, el escenario que se plantea para los próximos meses está marcado por la incertidumbre debido no sólo por las decisiones que se deberán adoptar en este ámbito por las autoridades nacionales, sino también por las compañías afectadas por esta decisión, entre otras, por aquellas que mantienen un flujo continuado de datos con empresas matrices o participadas en Estados Unidos, o aquellas que tienen sus copias de seguridad en la nube, ya se trate de Dropbox o Google Drive.

Desde una perspectiva nacional, la normativa vigente en materia de protección de datos establece como opciones válidas para realizar transferencias internacionales de datos personales a Estados Unidos, una vez eliminada la opción de Safe Harbor, las siguientes vías:

 

  • Autorización del Director de la Agencia Española de Protección de Datos, aportando un contrato entre las partes que cumpla las garantías exigibles emitidas en diferentes decisiones por la Comisión europea (las Cláusulas Contractuales Tipo).
  • Excepciones previstas en el artículo 34 de la LOPD 15/1999, entre las cuales se incluye el consentimiento inequívoco del afectado.
  • Reglas Corporativas Vinculantes o Binding Corporate Rules (BCR), entendidas como reglas o protocolos internos adoptados por sociedades de un mismo grupo multinacional de empresas, ajustados a los requerimientos de cada norma nacional.

 

Estas soluciones pueden estar también afectadas por el hecho de que si el país destinatario no ofrece las debidas garantías, un contrato con las clausulas tipo o unas BCR específicas de multinacional no garantizan la protección exigible y podrían ser objeto de discusión por los afectados e incluso por la propia AEPD en el momento de tramitarlas.

Por otra parte, el nuevo Reglamento Comunitario en materia de protección de datos que se prevé que se apruebe próximamente podrá dilucidar también sobre dicha cuestión y sobre las medidas que se establezcan. Esas medidas serán imperativas desde su adopción, de forma inmediata en todos los países miembros al tratarse de un Reglamento y no de una Directiva.

La Agencia Española de Protección de Datos, en un ejercicio de prudencia, no se ha posicionado sobre cuál será la mejor opción y manifiesta que se está trabajando con el Grupo 29, para actuar de forma conjunta en la aplicación de la sentencia. Asimismo la AEPD ha considerado dirigirse a las empresas que tiene notificadas transferencias internaciones de datos en sus ficheros, para informarles de la situación y de las medidas a adoptar.

.