Soluciones de futuro tras la invalidación del Puerto Seguro por el Tribunal de Justicia
En su sentencia del pasado 6 de Octubre de 2015, el Tribunal de Justicia de la Unión Europea, TJUE, invalidó el marco de transferencia de datos entre la Unión Europea y los Estados Unidos conocido como puerto seguro, Safe Harbor.
El litigio, motivo de la sentencia, surge tras la denuncia presentada por un ciudadano austriaco, Maximiliam Schrems, contra la filial irlandesa de Facebook por la trasferencia de datos que la firma realiza a los servidores situados en territorio de los Estados Unidos, donde son objeto de tratamiento.
La Autoridad de Protección de Datos irlandesa desestimó la reclamación basándose en la Decisión de 26 de julio de 2000 de la Comisión Europea que declara que, en el marco del régimen de «puerto seguro», Estados Unidos garantiza un nivel adecuado de protección de los datos personales transferidos.
En su sentencia, el Tribunal de Justicia ha abordado la problemática de modo global, declarando inválida la Decisión de la Comisión.
La sentencia estima que la existencia de una Decisión de la Comisión que declara que un país tercero garantiza un nivel de protección adecuado de los datos personales transferidos, no puede dejar sin efecto ni limitar las facultades de las que disponen las autoridades nacionales de control en virtud de la Carta de los Derechos Fundamentales de la Unión Europea y de la Directiva de Protección de Datos.
Esta sentencia puede afectar gravemente a las empresas que han transferido datos a Estados Unidos, por ejemplo con proveedores como Google, Apple, DropBox o Microsoft. Aunque queda ver cómo se decanta la Agencia Española al respecto, estaría bien ir contando con mecanismos que garanticen la privacidad de los ciudadanos españoles cuando la empresa emplea este tipo de proveedores.
En este sentido, el pasado 16 de Octubre, el Grupo de Trabajo del artículo 29 de la Directiva de Protección de Datos 95/46/EC (WP29), ha emitido un comunicado sobre la reciente decisión del Tribunal incidiendo en el hecho que: la vigilancia indiscriminada es incompatible con la legalidad establecida en la Unión Europea y que por tanto no son válidas las herramientas de transferencia de datos utilizadas hasta ahora.
En su comunicado, el WP 29 llama a todos los actores involucrados a encontrar, con carácter de urgencia, soluciones políticas, legales y técnicas a fin de que las transferencias de datos se lleven a cabo respetando los derechos fundamentales.
La declaración del WP29 fija finales de Enero 2016 como fecha límite, y en caso de no alcanzar un acuerdo entre la UE y los EE.UU, las Autoridades de Protección se comprometen a tomar todas las medidas oportunas y necesarias para que se cumpla la legalidad vigente.
En la declaración del WP29, las Autoridades de Protección de datos de la Unión Europea, han dejado claro que esperan que las empresas garanticen en cualquier caso y momento un nivel adecuado de protección de datos, sugiriendo la utilización de otras herramientas de trasferencia como las Binding Corporate Clauses (BCR) o las Cláusulas Contractuales Tipo, hasta que se alcance el ansiado acuerdo entre ambas partes del Atlántico.
Secure&IT, como empresa especializada en Derecho de las TIC y Ciberseguridad, pone a disposición de estas empresas su abanico de profesionales, abogados y técnicos en la búsqueda de soluciones que garanticen al tiempo la privacidad, el cumplimiento y la eficiencia en la empresa.
Rafael Del Real de Secure&IT
