El “Safe Harbor” invalidado. ¿Qué hacer?

El 18 de noviembre de 2015 tuvo lugar un interesante coloquio en el ICAM con asistencia de Rojas Pozo Abogados para analizar la situación creada tras la reciente sentencia del Tribunal de Justica de la Unión Europea, de fecha 6 de octubre de 2015, por la que se declara inválida la Decisión de la Comisión 2000/520/CE, de 26 de julio de 2000, por la que se establece el nivel adecuado de protección para las transferencias internacionales de datos personales a EE.UU. en aplicación de los principios del puerto seguro (safe harbor) a los que se adherían las empresas norteamericanas.

Ahora resulta que la mayoría de las transferencias internacionales de datos personales que se han estado realizando por las pymes españolas a empresas norteamericanas prestadoras de servicios, como por ejemplo empresas de cloud computing, hosting, email, etc., son ilegales porque en dicho País las garantías para salvaguardar el derecho fundamental a la protección de los datos de carácter personal distan de ser adecuadas y equiparables a las que recoge la normativa europea. Ello es una consecuencia más de las revelaciones del caso Snowden sobre el espionaje masivo que están llevando a cabo las Agencias de seguridad norteamericanas a ciudadanos de la Unión Europea y del resto del Mundo, y que ahora repercute muy negativamente sobre las empresas que se van a ver obligadas a modificar sus estrategias para atender el fallo de la sentencia si no quieren verse sancionadas por las autoridades de control de protección de datos, en el caso español, por la Agencia Española de Protección de Datos (AEPD).

¿Cómo se legalizan ahora dichas transferencias internacionales de datos hasta que las Autoridades competentes habiliten un marco normativo en el que apoyarse? Se manejan tres posibilidades, difíciles de llevar a la práctica en muchos casos:

1.- Solicitar el consentimiento de los afectados, que deberá ser inequívoco.

2.- Adopción de reglas corporativas vinculantes o Binding Corporate Rules (BCRs) para los grupos de empresas multinacionales, las cuales deberán presentarse al Director de la AEPD para su validación y consiguiente autorización para la transferencia.

3.- Utilización de cláusulas contractuales tipo, que también deberán ser presentadas al Director para que las valide y emita la correspondiente autorización para la transferencia.

La solución de recabar el consentimiento inequívoco de los afectados es en muchos casos imposible de conseguir, además de que el consentimiento es en todo caso revocable. Y las otras dos vías entrañan iniciar un procedimiento administrativo costoso, burocrático y duradero que se revela muchas veces como poco práctico, porque la aparición de nuevos servicios y tecnologías que implican una transferencia internacional de datos supondría iniciar continuas solicitudes de autorización administrativa.

En consecuencia, las empresas tendrán que preguntarse el porqué de las transferencias internacionales de datos personales a EE.UU. y, seguramente, rediseñar su estrategia en cuanto a la gestión de la información hasta que se apruebe un nuevo “puerto seguro”, el Safe Harbor 2.0.