Hasta hace dos semanas alrededor de 4.500 empresas, entre ellas multinacionales tecnológicas con presencia en Europa como Facebook, Apple, Google y Microsoft, podían transferir y procesar los datos personales de sus usuarios europeos a Estados Unidos, pero tras la publicación de la sentencia C-362/14 del Tribunal de Justicia de la Unión Europea dicho intercambio no será posible.
La citada sentencia anula la Decisión de la Comisión europea 2000/520/CE que establecía el nivel adecuado de protección de las garantías para las transferencias internacionales de datos a EEUU ofrecidas por el acuerdo de Puerto Seguro, mundialmente conocido como “Safe Harbor”.
Todo ello, se debe a la denuncia presentada por un ciudadano europeo ante la autoridad irlandesa de control, al considerar que como usuario de Facebook , sus datos eran transferidos total o parcialmente de la filial irlandesa de dicha red social a servidores situados en territorio de los Estados Unidos, lugar donde son objeto de tratamiento y donde no se garantizaba una protección suficiente de los datos transferidos a ese país frente a las actividades de supervisión por las autoridades estatales de control. Dado que, la Decisión de la Comisión “priva a las autoridades nacionales de control de sus facultades, en el supuesto de que una persona impugne la compatibilidad de la Decisión con la protección de la vida privada y de las libertades y derechos fundamentales de las personas”.
Sin embargo, el Tribunal afirma que el objetivo de la Directiva 95/46/CE no es tanto asegurar la libre circulación de la información sino garantizar el elevado nivel de protección de los derechos fundamentales consagrados en la Carta de Derechos Fundamentales de la UE.
En tal sentido, la Sentencia interpreta que la Decisión de Puerto Seguro es inválida por dos motivos:
- Porque entiende que prevalece incondicionalmente y sin ninguna limitación “la seguridad nacional, el interés público o el cumplimiento de la ley” sobre los derechos fundamentales a la intimidad y la protección de datos, sin otorgar a los ciudadanos europeos ningún medio para obtener la tutela efectiva de esos derechos.
- Porque no otorga a los Estados miembros un margen suficiente para suspender las transferencias en caso de que estos apreciaran una vulneración de los derechos de los ciudadanos europeos.
En su consecuencia, el Tribunal considera que la Decisión adoptada por la Comisión no puede limitar la potestad de las Autoridades para examinar, ante una reclamación de un ciudadano, el nivel adecuado de protección en el país de destino de una transferencia. Por tanto, en caso de que la Autoridad considere que ese nivel no es adecuado, debe disponer, conforme a la Directiva, de medios suficientes para poder instar la anulación de esa Decisión.
Asimismo, las Autoridades europeas de protección de datos han planificado actuaciones para coordinarse en el análisis de las implicaciones de la sentencia y en las actuaciones nacionales que deban llevarse a cabo, garantizando una aplicación consistente de la misma en todos los países de la UE.
Desde Audidat y teniendo presente, en todo momento, las decisiones de la Agencia Española de Protección de Datos, os recordamos los requisitos necesarios para realizar transferencias internacionales de datos, regulados en los artículos 33 y 34 del Reglamento que desarrolla la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Luego, la autorización de transferencia internacional de datos a un país que no ha sido declarado como país con un nivel adecuado de protección, solo podrá realizarse si se obtienen garantías suficientes, como son la obtención del consentimiento inequívoco de todos los usuarios afectados por una posible transferencia de sus datos.
En definitiva, se trata de incrementar la confianza en las transferencias internacionales de datos a países que tengan un nivel de protección “esencialmente equivalente al establecido en la Unión europea”.
Pues a partir de ahora y a tenor de lo dispuesto en la citada sentencia, el criterio de las Agencias prevalecerá sobre el de la Decisión Comisión Europea 2000/520/CE. Así lo declara el Tribunal de Justicia cuando alega que “la existencia de una Decisión de la Comisión que declara que un país tercero no otorga un nivel de protección adecuado de los datos, no puede dejar sin efecto ni limitar las facultades de las que disponen las autoridades nacionales de control”.
Circunstancialmente, dicha sentencia reafirma la premisa de Audidat; “ofrecer el mayor nivel de protección de datos de carácter personal frente a la libre circulación de datos e información”.
