El acuerdo sobre transferencias de datos a EEUU y Puerto Seguro declarado inválido por el TJUE
Por Cecilia Álvarez Rigaudias, vicepresidenta de APEP
+
El Tribunal de Justicia de la Unión Europea (TJUE) ha publicado su sentencia en el caso Schrems (C-362/14)1 confirmando las conclusiones de la semana pasada del Abogado General, Yves Bot2.
En síntesis, se pronuncia sobre los siguientes aspectos:
-
La sentencia del TJUE invalida la Decisión de la Comisión Europea relativa al Puerto Seguro (Decisión 2000/520/CE3) por permitir que las exigencias de seguridad nacional u otros requisitos de law enforcement en los EE.UU. primen sin ninguna restricción sobre los principios del Puerto Seguro y por la ausencia de una protección efectiva en caso de un uso inapropiado de los datos.
-
La existencia de una decisión de adecuación de la Comisión Europea sobre la protección de datos de un país tercero no impide que las autoridades de control nacionales puedan investigar, a la vista de una denuncia sobre la defectuosa protección de datos en el país en cuestión, el cumplimiento de los requisitos de la Directiva 95/46/EC. Si la autoridad nacional considerara fundada la denuncia, deberá dirigirse ante un tribunal nacional quien, a su vez deberá plantear la correspondiente cuestión prejudicial al TJUE (único órgano competente para declarar la invalidez de una decisión de la Comisión Europea).
Las organizaciones que hasta ahora han venido basando sus transferencias a destinatarios en los EE.UU. adheridos al sistema de Puerto Seguro (p. ej., compañías matrices, proveedores de servicio, etc.) han de buscar ahora alternativas, tales como el consentimiento, las cláusulas contractuales tipo o las reglas corporativas vinculantes.
-
El consentimiento tiene claras limitaciones por varios motivos: algunas autoridades nacionales cuestionan su validez en ciertos contextos (como el contexto laboral), el coste de obtener consentimientos ex post puede ser muy alto y sobretodo, puede que el afectado no lo otorgue. En cualquier caso, es muy posible que para transferencias de responsable a responsable (con independencia de la certificación de Puerto Seguro), el consentimiento ya haya sido obtenido (y no haya sido revocado).
-
Las reglas corporativas vinculantes, teniendo en cuenta que sólo sirven para transferencias dentro de un grupo y que es un procedimiento largo y costoso, apropiado para ciertas estructuras empresariales y flujos complejos.
-
La puesta en marcha y ejecución de cláusulas contractuales tipo tampoco es un proceso inmediato pero, según el contexto, puede ser algo más operativo que los anteriores (máxime teniendo en cuenta que el destinatario ya había asumido las obligaciones de Puerto Seguro). Sin embargo, en países como España, la necesidad de autorización previa de la autoridad de control y las formalidades que acompañan el proceso (poderes, traducciones juradas, etc.), no facilitan la tarea, en particular, si el número de destinatarios es importante.
A lo anterior hay que añadir algunos elementos adicionales que añaden algo de incertidumbre respecto de la oportunidad de adoptar estos mecanismos alternativos de forma inmediata. En primer lugar, se espera que las autoridades de control EU se coordinen en el seno del Artículo 29 y con la Comisión4 para dictar unas guías de actuación conjunta5. Asimismo, no es impensable que se apruebe un nuevo Puerto Seguro 2.0 que lleva negociándose desde el año 2013 y donde las cuestiones que están pendiente de cerrarse son precisamente las cuestiones identificadas por el TJUE (que no ha entrado a valorar los principios de Puerto Seguro 1.0 en sí). Finalmente, se prevé que el Reglamento General de Protección de Datos se apruebe antes de final de año y está por ver si esta sentencia afecta en algo los compromisos parciales ya alcanzados (p. ej., no autorización regulatoria en caso de utilización de cláusulas contractuales tipo) y la incorporación de la cláusula anti-FISA (art. 43a).
Cecilia Álvarez Rigaudias, vicepresidenta de APEP
Aprovechamos esta noticia para recordaros que en nuestro plan de formación tenemos previsto un curso específico sobre Externalización de servicios. Transferencias internacionales de datos, con Cecilia Álvarez Rigaudias y Jorge Ferre Moltó como docentes. Del 4 de abril al 3 de mayo 2016
+
1 Sentencia del TJUE: http://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pageIndex=0&doclang=ES&mode=lst&dir=&occ=first&part=1&cid=107476
2 Opinión del Abogado General: http://curia.europa.eu/juris/document/document.jsf?text=&docid=168421&pageIndex=0&doclang=ES&mode=req&dir=&occ=first&part=1&cid=326562
4 Comunicado de prensa de la Comisión Europea de 6 de octubre de 2015: http://europa.eu/rapid/press-release_STATEMENT-15-5782_en.htm
5 Comunicado de prensa de la Comisión Europea de 6 de octubre de 2015: http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2015/notas_prensa/news/2015_10_06-ides-idphp.php
Puedes leer aquí la nota de prensa original del Tribunal de Justicia de la Unión Europea.