¿Sabes cómo afecta a tu empresa la invalidez del acuerdo de "puerto seguro" para transferencias de datos con EE.UU.?

Sara Mora - Aledia Abogados para Proassa Magazine

invalidez-acuerdo-puerto-seguro

La reciente sentencia del Tribunal de Justicia de la Unión Europea (en adelante TJUE) que invalida la Decisión de la Comisión 2000/520/CE, que establecía el nivel adecuado de protección de las garantías para las transferencias internacionales de datos a Estados Unidos de América (EEUU),  dará mucho de qué hablar en su aplicación práctica, ya que afectará a todas aquellas empresas europeas  que han externalizado sus servicios en empresas ubicadas en EEUU. 

Antes del pronunciamiento del TJUE,  las empresas españolas que querían contratar con un tercero ubicado en EEUU, verificaban  que  el proveedor estuviera adherido  a los principios de puerto seguro , firmaban un contrato de encargado de tratamiento e inscribían la trasferencia internacional ante el Registro General de la Agencia Española de Protección de Datos.   

A partir de la sentencia, las empresas europeas que tratan los datos de carácter personal en EEUU se encuentran en un limbo jurídico, al quedar inválida la Decisión 2000/520/CE considerando que los datos siguen transfiriéndose sin estar soportados en ninguno de los supuestos contemplados por la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante la Directiva), desarrollada en España mediante la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).

Lo que todas las empresas afectadas se preguntan es: ¿Qué motivo al TJUE para invalidar la Decisión 2000/520?  Los principios de puerto seguro, únicamente son aplicables a las empresas ubicadas en EEUU que se adherían al programa marco,  sin que se exija a las autoridades públicas de ese país que se sometan a esos principios.  En este sentido, es evidente que, si la legislación estadounidense establece una obligación en contrario, las entidades deben cumplirla, dentro o fuera del ámbito de los principios de puerto seguro.

La normativa americana permite recopilar a gran escala datos de carácter personal de los ciudadanos de la Unión Europea que se transfieren a EEUU,  produciéndose constantes injerencias en el derecho al respeto de la vida privada y en el derecho a la protección de los datos personales garantizados por la Carta de los Derechos Fundamentales de la Unión Europea, fundados en exigencias concernientes a la seguridad nacional, el interés público y el cumplimiento de la ley de EEUU.  Por otro lado, la Decisión 2000/520/CE, que debería frenar esos excesos, reconoce la primacía de las «exigencias de seguridad nacional, interés público y cumplimiento de la ley [de Estados Unidos]» sobre los principios de puerto seguro.

El TJUE considera “que debe entenderse la expresión «nivel de protección adecuado» en el sentido de que exige que ese tercer país garantice efectivamente, por su legislación interna o sus compromisos internacionales, un nivel de protección de las libertades y derechos fundamentales sustancialmente equivalente al garantizado en la Unión por la Directiva, entendida a la luz de la Carta «de los Derechos Fundamentales de la Unión Europea »”. 

La sentencia declara la invalidez de la Decisión 2000/520/CE, debido a que EEUU tiene un enfoque diferente a la protección de los datos que la adoptada por la Unión Europea,  y esta decisión no armoniza las diferencias, si no que permite constantes vulneraciones a los Derechos Fundamentales.

El gran problema al que se enfrentan las empresas españolas es  ¿Qué hacer, para poder contratar una empresa ubicada en EEUU o regular su situación actual?  

La Agencia de Protección de Datos española ha establecido un plazo hasta el 29 de enero para que las compañías con sede en España legalicen la trasferencia de los datos a EEUU, lo cual comunicará por carta a todas las empresas que tengan inscritas trasferencias internacionales soportadas en la Decisión 2000/520/CE. 

Las empresas podrán legalizar la transferencia internacional a través de dos vías: 

  • mediante solicitud de Autorización del Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 33 de la LOPD, o, 
  • acogerse a alguna de las excepciones contempladas en el artículo 34 de LOPD, como por ejemplo la solicitud del consentimiento a los interesados para la trasferencia de los datos de carácter personal. 

Desde la Agencia Española de Protección de datos nos indican que “en cualquier caso, las transferencias que aún se estén llevando a cabo bajo la Decisión Puerto Seguro tras la sentencia del TJUE son ilegales”. Lo que constituye una infracción muy grave sancionada con multa que puede ir de los 300.001 a 600.000 euros.

Por todo lo anterior, se recomienda a todas las empresas que tengan inscritas transferencias internacionales amparadas en “puerto seguro”, que legalicen la trasferencia internacional antes del 29 de enero o en su defecto paralice la trasferencia hasta que la misma sea regularizada.  

Utilizamos cookies propias y de terceros para hacer estadísticas del comportamiento de los usuarios en este sitios web y mejorar nuestros servicios. Si continua navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información aquí | OK