Anteayer el Tribunal de Justicia de la Unión Europea dictó sentencia por la que se declaraba inválida la Decisión 2000/520/CE de la Comisión, de 26 de julio de 2000 (pdf), y por tanto el sistema de Puerto Seguro conforme al cual se establecían los principios y criterios que facilitaban las transferencias internacionales de datos a Estados Unidos de América.
Si cree que esto sólo tiene que ver con multinacionales y no le afecta, será porque ni tiene página o perfil de empresa en ninguna red social de empresa norteamericana, ni usa soluciones SaaS del otro lado del océano, ni de ningún otro modo datos de sus usuarios, clientes, proveedores o empleados se almacenan o gestionan a través de ningún servicio o proveedor de ahí. Si es así, puede dejar de leer.
En resumen, la normativa europea (y la española) establece que se podrán transferir datos de ciudadanos europeos a terceros países cuando éstos proporcionen un nivel de protección adecuado (supuestamente, equiparable al estándar de la Directiva 95/46/CE). Caso contrario, las empresas españolas deberán requerir autorización del Director de la Agencia Española de Protección de Datos, además de cumplirse las disposiciones de la LOPD, aunque existen excepciones.
Ese nivel de protección adecuado lo deben determinar las autoridades nacionales de protección de datos, así como la Comisión Europa. En el caso de EE.UU., la Comisión estableció una serie de principios y preguntas frecuentes, de modo que toda empresa que se adhiriera a los mismos, esto es, manifestara un compromiso de cumplimiento y aportara documentación que así lo constatara (por supuesto, documentación elaborada por la propia empresa), se entendía “autocertificada”. La verificación del cumplimiento de lo anterior lo podía hacer también la propia entidad por medio de una “autoevaluación”, y aunque se establecían ciertas facultades a las autoridades de protección de datos de los Estados Miembros, la compentencia para investigar su cumplimiento se reservaba a autoridades de EE.UU. y conforme a la legislación de dicho país.
Con semejante pedazo de sistema de protección, tan poco garantista para el ciudadano, y nada comprensivo con las empresas europeas (el doble rasero en cuanto a las exigencias resultaba vergonzoso y un azote en términos de competitividad en el mercado digital), no era raro que tarde o temprano se viniera abajo.
El Tribunal de Justicia de la Unión Europea básicamente lo que señala es que la norma de la Comisión reconoce una clara primacía de la seguridad nacional, interés público y cumplimiento de las leyes de EE.UU. sobre los principios del Safe Harbor, de forma genérica y sin exigir unos mínimos. Semejante carta blanca unido a que por otro lado está vetado que el afectado pueda ejercer acciones judiciales para exigir el cumplimiento de los derechos ARCO, lleva a concluir que el sistema que no garantiza un nivel adecuado de protección.
La invalidez de dicha Decisión tiene importantísimas consecuencias y deja a muchas empresas en una situación de riesgo, porque hay que buscar un nuevo encaje legal de las transferencias internacionales de datos. Mi opinión es que buscar un sustituto de la Decisión con EE.UU. llevará tiempo, si es que es posible, pero confío las autoridades nacionales de protección de datos tengan en cuenta, cuando tramiten el aluvión de reclamaciones que posiblemente venga, que las transferencias internaciones que ahora son ilegales han sido posibles porque la Comisión Europea y las propias agencias nacionales lo han autorizado. No se puede pretender que quien confiaba en la legalidad de una decisión y actuó conforme a la misma, sea seguidamente sancionado por el mismo organismo que la acordó, sin al menos haberle dado un plazo razonable para corregir el problema, causado en este caso en especial por la Comisión Europea (nota por si se les ocurre suspender temporalmente las transferencias de datos a EE.UU.).
De momento, como recomendaciones para evitar problemas:
- Pida, si es posible, que sus datos se alojen en Europa. Muchas empresas norteamericanas lo ofrecen como opción, no es que ofrezca ninguna garantía real, pero formalmente no hay una transferencia internacional de datos.
- Las empresas multinacionales deben acelerar la determinación y aprobación de normas o reglas corporativas vinculantes conforme al art. 70.4 del Reglamento de Protección de Datos, y solicitar su respaldo por parte de la Agencia de Protección de Datos. No obstante, esto sólo avalará las transferencias de datos intragrupo (con terceros el problema no se resuelve).
- Solicite el consentimiento del afectado para las transferencias de datos. Hay que tener en cuenta que la transferencia internacional de datos se puede dar en una cesión o en el marco de un tratamiento por cuenta de tercero. No se complique la vida, piense todas las entidades y localizaciones a las que van los datos de sus usuarios, clientes, proveedores o empleados (call-centers, soporte técnico,…), en las plataformas o servicios en la nube que utilice (como Google Apps, Dropbox, Azure, Citrix…), y en caso de que se contrate con empresas de EE.UU., incluya en los contratos, condiciones y documentación legal, información concreta sobre esas transferencias y destinatarios, y un consentimiento expreso. Esto no es infalible, y cruce los dedos para que nadie revoque ese consentimiento.
- Solicite autorización al Director de la Agencia de Protección de Datos para las transferencias de datos con los proveedores detectados conforme al punto anterior. La preparación lleva un tiempo porque hay que recabar documentación y el procedimiento ante la AGPD puede tardar hasta 3 meses, así que empiece a plantearles el problema ya.
- El cajón de sastre que exceptúa de pedir autorización cuando las transferencias de datos sean necesarias para la celebración o ejecución de un contrato en interés del afectado, puede encajar para servicios en la nube, por ejemplo, pero no fuerce demasiado la interpretación de la norma.
- El uso de códigos tipo es bien acogido por la AGPD y sería una vía idónea para recoger a las empresas norteamericanas, ahora desamparadas. Deberían incluir garantías y principios para transferencias internacionales de datos y el establecimiento de un sistema de adhesión, supervisión y controles razonables, sin caer en los errores de la Decisión de la Comisión Europea.
[…] ¿Cómo afecta la invalidez del sistema de Safe Harbor para transferencias de datos con EE.UU.? […]