Como ya habíamos venido advirtiendo hace días, el Tribunal de Justicia de la Unión Europea (TJUE) podía fallar, como hizo ayer 6 de octubre, en el sentido de confirmar finalmente las conclusiones emitidas por el Abogado General el pasado 23 de septiembre de 2000, declarando por tanto inválida la Decisión de la Comisión Europea sobre Puerto Seguro.
Dicha Decisión proporcionaba desde el año 2000 una base jurídica para la transferencia de datos personales desde la Unión Europea a EE.UU.
Ahora que la decisión ha sido declarada invalida y tras una vorágine de noticias que ha alcanzado tanto la prensa económica especializada como incluso la general, cabe plantearse qué efectos y qué actuaciones se pueden empezar a tomar para minimizar impactos y riesgos en caso de que nuestra organización o cualquier otra con la que se subcontrate esté transfiriendo datos a EE.UU.
¿Qué debemos hacer si estamos utilizando Puerto Seguro?
Tras el primer día sin Puerto Seguro, creemos que es necesario lanzar un mensaje de calma donde la reflexión previa debe ser el factor que más debe pesar a la hora de tomar decisiones.
Hasta el momento, las empresas que han venido confiando en el soporte legal del Puerto Seguro no han hecho más que cumplir una Decisión de la Unión Europea con un contenido que no había sido puesto en duda por las autoridades de control locales. En este sentido, a priori, debe descartarse riesgo de sanciones o de consecuencias adversas que tengan su origen exclusivamente en el cumplimiento del esquema legal vigente hasta la fecha.
No podemos dejar de señalar que existen otros riesgos legales distintos a lo que puedan ser posibles sanciones de las autoridades de control, que pueden ir desde relaciones jurídicas en riesgo – imaginemos un proveedor que no quiera o pueda poner en marcha un mecanismo de cumplimiento distinto a los principios de Safe Harbor-, a reclamaciones de los afectados, etc.-.
Por otro lado, está claro que habiéndose declarado la Decisión inválida, este mecanismo no podrá utilizarse para dar soporte a futuras transferencias –que deberá buscar otras vías a las que nos referimos más adelante-, surgiendo un área de incertidumbre de qué hacer para aquellas ya existentes.
Respecto a estas ya existentes, es indudable que las autoridades locales están obligadas a obedecer la sentencia del TJUE y que muy posiblemente al ver reforzado su papel independiente tengan una actitud proactiva en la implementación de las consecuencias. Sin embargo, dada la situación transitoria creada a organizaciones y particulares por una derogación de una norma comunitaria con el evidente impacto en el negocio y en la propia actividad de las personas físicas, queremos creer que la mayoría de las autoridades abrirá un período de transición que permitirá llevar a cabo los ajustes necesarios en sus modelos de negocio e implementar los mecanismos alternativos para realizar trasferencias internacionales a EEUU.
No obstante, no podemos obviar que otras autoridades locales, en otros asuntos, como el famoso caso del “Derecho al olvido” pueden adoptar un curso de acción independiente y por tanto no se puede descartar que surjan requerimientos de información derivadas de las declaraciones de ficheros donde consten transferencias internacionales basadas en el ya invalidado Puerto Seguro.
¿Cuáles son los próximos pasos prácticos que pueden dar las empresas?
Nuestra primera recomendación sería que las empresas identificaran cuál es su posición actual en relación a las transferencias internacionales de datos a EEUU en general y específicamente en relación con el Puerto Seguro.
Es decir, la mínima diligencia aconseja realizar un inventario del flujo de datos a EE.UU., tanto desde el punto de vista material (datos tratados, sensibilidad de los mismos, medias de seguridad y de control del receptor de datos, etc.) como jurídico (base legal en la que se soporta, existencia de cláusulas contractuales de salvaguarda, información y consentimiento del afectado, etc.). El perímetro a abarcar incluiría no solamente las relaciones entre compañías de un mismo grupo o al tercero proveedor o socio comercial, sino a las respectivas cadenas de aprovisionamiento de unos y otros para poder detectar si existe algún eslabón que venía confiando en los principios del Puerto Seguro.
Ello permitiría contar con una información veraz frente a un requerimiento de una autoridad de control nacional o de un afectado que en teoría pueda denunciar o solicitar la suspensión del tratamiento de sus datos en EE.UU, así como poder tomar las primeras medias de control del riesgo existente.
¿Existen otras opciones para transferir datos a EE.UU.?
Un segundo paso, y adelantándonos a cualquier decisión que puedan tomar las autoridades de control, es ver cómo podríamos “regularizar” las transferencias afectadas o diseñar nuevas que sustituyan a las existentes..
La Directiva europea de protección de Datos no prohíbe por completo las transferencias internacionales a EEUU. Existen distintos mecanismos establecidos por dicha Directiva a través de los cuales las empresas pueden llevar a cabo estas trasferencias, como son la utilización de las cláusulas contractuales tipo o las normas corporativas vinculantes. Debemos señalar que estos otros mecanismos pueden ser tan igualmente vulnerables como el Puerto Seguro si atendemos a los argumentos de fondo de la sentencia del TJUE. Sin embargo, hasta el momento siguen siendo perfectamente válidas puesto que ni el TJUE ni el superior o cualquier otra autoridad local se han pronunciado en contrario hasta ahora y pueden verse reforzadas por otros mecanismos como puede ser el consentimiento inequívoco de los afectados.
¿Y qué más podemos esperar a medio plazo?
La decisión del Tribunal, cuya celeridad en la publicación y confirmación de las conclusiones del abogado general, junto otras decisiones precisamente en contra de dicho parecer previo no vinculante -como el caso del Derecho al Olvido- parece convertirle en el defensor de un concepto de privacidad europeo riguroso, por lo que va a tener varias consecuencias en las próximas semanas.
En primer lugar, si las notas de prensa son fiables, se espera que las autoridades locales reguladoras afirmen su independencia y capacidad de control, cuya primera expresión pueda ser emitir una serie de recomendaciones y curso de acción conjunto –pero no coordinado con la Comisión- que otorgue un plazo transitorio a las organizaciones afectadas.
Sin embargo, la sentencia del Tribunal impacta en las últimas rondas de negociación del texto definitivo del futuro Reglamento Europeo de protección de datos, afectando a principios como One Stop Shop, atribuciones de autoridad europea y nacional de control, etc.
Asimismo, en la actualidad se venía negociando un Safe Harbor 2. Es indudable que las posturas de negociación y el propio contenido final tendrá que tener en cuenta las ramificaciones del fallo, especialmente en considerar cómo determinar que existe protección equiparable, cómo se puede revisar la efectiva implementación y mantenimiento de la misma y sobre todo, cuál es el papel reconocido e independiente de las autoridades nacionales de control para fiscalizar las compañías que opten en el futuro de nuevo por este medio de transferencia que por ahora ha dejado de existir..
Por todo lo anterior, si desea discutir el impacto particular en su organización de la derogación del Safe Harbor o simplemente si precisa más información no dude en ponerse en contacto con nosotros.