IEE
Informáticos Europeos Expertos

Estamos en: 

  1. Noticias >
  2. ¿Ahora ya no es «seguro» realizar transferencias de datos con destino a EE. UU.?

¿Ahora ya no es «seguro» realizar transferencias de datos con destino a EE. UU.?

El tema no es novedoso, pero es ahora cuando finalmente el TJUE se ha pronunciado sobre el mismo declarando inválido el acuerdo que hasta el momento existía para poder realizar dichas transferencias sin necesidad de recurrir en cada caso a las autoridades de control nacionales. Pero ¿qué consecuencias tiene esto?

El TJUE ha declarado inválida la Decisión de la Comisión Europea relativa al Puerto Seguro (Decisión 2000/520/CE), una Decisión que ya desde octubre de 2013 estaba siendo objeto de revisión, que quizás reciba el empujón definitivo para su aprobación gracias a la situación de incertidumbre que se abre ahora.

La cuestión prejudicial, origen de esta situación, se plantea en relación con las transferencias internacionales realizadas entre la UE y EE. UU. en el marco de gestión de una red social. Sin embargo, no es necesario ser una red social para verse afectado, ya que el sistema creado a partir de la Decisión podía amparar cualquier tipo de tratamiento de datos personales que implicase una transferencia internacional con dicho destino; por ejemplo, la contratación por una pequeña empresa española de un servicio de alojamiento de su información en servidores ubicados en EE. UU.

El acuerdo de Puerto Seguro, hasta la fecha, consistía en un sistema de autocertificación por el que las empresas estadounidenses, que quisiesen importar datos de la UE, debían adherirse a unos principios aplicados de acuerdo con las orientaciones que figuraban en unas FAQs (preguntas frecuentes) publicadas por la FTC (Departamento de Comercio de EE. UU.). El problema que se planteaba es que las obligadas a adherirse eran las entidades estadounidenses y no sus autoridades públicas, que, llegado el caso, podían dar primacía a las exigencias de seguridad nacional, interés público y cumplimiento de la ley estadounidense sobre dichos principios, haciendo posibles injerencias en el derecho fundamental de los interesados cuyos datos habían sido transferidos. Y todo esto sin que existiese ninguna limitación en cuanto a dichas injerencias o una protección jurídica eficaz, además de restringir las facultades de las correspondientes autoridades de control de los países exportadores.

A pesar de la situación que la Sentencia pone de manifiesto, las empresas que han realizado estas transferencias internacionales han estado actuando hasta ahora bajo una supuesta legitimidad, pero de pronto ha desaparecido. Llegados a este punto, las alternativas por las que pueden optar para legitimar esta situación sobrevenida son:

• La obtención del consentimiento de los interesados, especialmente en los casos en que las transferencias se realizan de responsable a responsable. Esta opción llevaría a la paradójica situación en la que un responsable se encontraría solicitando a los interesados su autorización para seguir enviando sus datos a un país que a día de hoy no se considera que tenga un nivel adecuado de protección, con los costes que supone establecer un contacto que probablemente se tendría que realizar con esa única finalidad y con la posibilidad de encontrarse con una negativa a pesar que la transferencia ya se estaba realizando efectivamente.

• La aprobación de unas BCR (de sus siglas en inglés Normas Corporativas Vinculantes). Se trata de un proceso largo y complejo en el que podrían tener que intervenir autoridades de control de distintos países y que tendría como resultado unas normas solo aplicables a las transferencias internacionales desarrolladas en el marco de un grupo empresarial.

• Y en algunos casos solo queda como opción solicitar la autorización de la autoridad de control correspondiente, si es necesaria, basada en la formalización de cláusulas contractuales adecuadas. Sin embargo, esto tampoco es un proceso ágil y más aún si todos los responsables de ficheros solicitan simultáneamente la regularización de sus transferencias a raíz de la publicación de la Sentencia.

La cuestión es que, a día de hoy, las transferencias internacionales no se han dejado de realizar y se están llevando a cabo en un escenario con menos garantías que el que ha desbaratado la Sentencia, ya que ahora no hay principios y no hay control por parte de la FTC. Con este panorama se está buscando una solución armonizada a nivel europeo y, como ya hemos mencionado, puede que el Puerto Seguro 2.0 vea la luz antes de lo previsto al haberse precipitado los acontecimientos.

Por último, queremos mencionar que la Sentencia, además, pone en valor la independencia y las facultades de las autoridades de control de los distintos Estados Miembros, incluso si ante una transferencia internacional de datos a un país que ofrece un nivel de protección adecuado conforme a una Decisión adoptada por la Comisión Europea un ciudadano presentase una solicitud alegando que el Derecho o las prácticas en vigor no garantizan ese nivel adecuado, ya que no bastaría con remitirse a la existencia de la Decisión sin haber analizado las circunstancias que han dado pie a la denuncia.