La sentencia que hizo pública el Tribunal de Justicia de la Unión Europea (TJUE) el pasado 6 de octubre y que dejaba el Safe Harbor sin validez, ha provocado muchos malentendidos e incluso algunos han llegado a pronosticar una auténtica hecatombe para las empresas europeas que utilizan aplicaciones como MailChimp, Dropbox o Google Apps.
Recientemente hemos tenido noticia de que la Agencia Española de Protección de Datos (AEPD) ha comenzado a enviar un comunicado a los responsables de ficheros en los que en su formulario de notificación consta que se realizan transferencias internacionales de datos a entidades estadounidenses. Por todo ello merece la pena realizar las siguientes aclaraciones para poder prever nuestras decisiones en un escenario post Safe Harbor.
¿Por qué el TJUE ha dejado sin validez el Safe Harbor?
El TJUE ha sentenciado la invalidez de la decisión que tomó la Comisión Europea en el año 2000 por la cual aquellas empresas estadounidenses que certificasen el cumplimiento de una serie de requisitos establecidos en la Directiva 95/46/CE de protección de datos personales, serían consideradas aptas para las transferencias y tratamiento de datos personales de ciudadanos europeos y por tanto considerarse como un puerto seguro al igualarse con el nivel de protección exigido a las empresas establecidas en Europa.
Ahora, tras las revelaciones de Edward Snowden sobre espionaje y a raíz de la reclamación planteada por Maximillian Schrems acerca de las transferencias internacionales realizadas por Facebook ante la Autoridad de Protección de Datos Irlandesa y posteriormente ante la High Court Irlandesa quien decidió plantear la cuestión al TJUE, este órgano ha considerado que la decisión de Safe Harbor debe ser invalidado por una serie de motivos entre los que se encuentran una fuerte crítica a las leyes estadounidenses ya que estas “permiten a las autoridades públicas acceder de forma generalizada al contenido de las comunicaciones electrónicas lesionando el contenido esencial del derecho fundamental al respeto de la vida privada» además de dejar entrever que este tipo de decisiones deben ser competencia de las Autoridades independientes de protección de datos europeas y no de la Comisión.
¿Cuál ha sido la respuesta de la Agencia Española de Protección de Datos?
La AEPD, de forma coordinada con el resto de Autoridades europeas de protección de datos, ha planificado una serie de actuaciones para encontrar una solución equilibrada y sostenible en todos los países de la UE. Esto último resulta muy importante ya que hemos oído varias voces de alarma acerca de un supuesto ultimátum de la AEPD a empresas españolas para que dejen de utilizar herramientas como Dropbox o Google Apps, lo cual se ha ocupado de desmentir la propia AEPD quien asegura que su propósito no es el de iniciar procedimientos sancionadores por defecto sino el de encontrar un camino que permita el cumplimiento de la sentencia del Tribunal.
Entre estas actuaciones se encuentra el comunicado que han recibido algunos responsables de ficheros notificados ante la AEPD en los que constan transferencias internacionales. A mi parecer, esto se debe en gran medida a un defecto formal en la notificación de ficheros puesto que en la mayoría de casos quien realiza esa transferencia internacional no es el responsable del fichero sino quien está prestando el servicio a ese responsable como es el caso de MailChimp, Dropbox…etc es decir el encargado del tratamiento quien muchas veces incluso es contratado con posterioridad a la notificación del fichero.
Así es que la finalidad de dicho comunicado no es el de descubrir infractores sino el de conseguir que estas empresas responsables presionen y exijan a una respuesta a sus proveedores para que se adapte al nuevo escenario. Para ello ha otorgado plazo de respuesta hasta el 29 de enero de 2016 con la única advertencia de sufrir temporalmente una suspensión de la legitimidad de esas transferencias internacionales a Estados Unidos que se habían notificado en los ficheros.
¿Qué pueden hacer las empresas españolas a partir de ahora?
Es por ahora difícil hacer una previsión exacta de cuáles van a ser los requisitos para seguir realizando transferencias a EEUU en este nuevo escenario en tanto que las negociaciones entre la UE y EEUU para un segunda versión de Safe Harbor no parecen estar prosperando.
Sin embargo, mientras esperamos la respuesta de todos nuestros proveedores afectados así como las nuevas actuaciones/instrucciones de la APD, sí que podemos recordar cuales son los supuestos que legitiman una transferencia de datos internacionales según la actual normativa de protección de datos:
1) El primero de ellos es si nos encontramos en alguna de las excepciones de los artículos 34 de la Ley Orgánica de Protección de Datos 15/1999 (LOPD) y 66.2 del Reglamento 1720/2007 de desarrollo de la LOPD.
2) Obtener una autorización del Director de la AEPD aportando una serie de garantías que nos sean exigidas.
3) Aplicar cláusulas contractuales tipo que son unas cláusulas modelo que han sido previamente aprobadas por la Comisión Europea por otorgar suficientes garantías a los proveedores que las suscriben. De hecho así parece estar actuando MailChimp.
4) Aplicar Binding Corporate Rules para el caso de transferencias internacionales dentro de un mismo grupo empresarial.
5) Obtener el consentimiento expreso de cada uno de los titulares de los datos indicando con precisión al destinatario de la transferencia, la finalidad, el ejercicio de sus derechos…etc.