El Tribunal de Justicia de la Unión Europea invalida el “Safe Harbor”
La semana pasada el Abogado General del TJUE, Yves Bot se pronunciaba acerca del llamativo caso ‘’Max Schrems vs Data Protection Commissioner’’. Es un caso relevante por la repercusión que pueda tener en las miles de empresas y multinacionales europeas, muchas de las cuales operan en Irlanda.
Estas empresas funcionan de acuerdo con el sistema Puerto Seguro o 'Safe Harbor'. El sistema de Puerto Seguro tiene su fundamento en la supuesta protección eficaz de los datos de los ciudadanos europeos cuando dichos datos se cedan a un país no perteneciente a la UE que ha adecuado su normativa a la normativa Europea de Protección de Datos; en particular, lo hacen las empresas americanas adheridas al ‘’Safe Harbor’’.
El caso trata de una cuestión preliminar planteada por el Tribunal Superior de Irlanda al TJUE sobre la capacidad de Protección de Datos de Irlanda (DPC) para impedir las transferencias de datos a los EE.UU en razón de los recientes casos de vigilancia masiva de datos y por el programa de la Agencia de Seguridad Nacional de los Estados Unidos, NSA.
El Abogado General concluyó que, si bien es cierto que la Directiva de Protección de Datos otorga a la Comisión la facultad de decidir qué país es seguro en este sentido, según el Abogado General Bot las Autoridades Nacionales de cada estado miembro deberían tener la facultad de poder bloquear la transferencia de datos, independientemente de la evaluación por parte de la Comisión. Considera que los EE.UU. realizan recopilación de datos de forma masiva por lo que no dispondrían de las garantías necesarias para poder ser considerado como Puerto Seguro.
Aunque la opinión del Abogado General no era vinculante para el TJUE, lo cierto es que ayer el TJUE emitió la sentencia en virtud de la cual confirma las tesis del Abogado General y ha anulado la Decisión de la Comisión 2000/520/CE “sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la ida privada”.
La primera consecuencia, sin perjuicio de los periodos transitorios que se establezcan, es que las entidades americanas que estaban adheridas al safe harbour ya no tienen garantía de adecuación, por lo que eventuales transferencias internacionales de datos a EE.UU. deberán de aprobarse según el régimen de autorizaciones administrativas al respecto, en el caso de España, por parte del Director de la AEPD.
Belén Arribas
Abogada y Auditora de Entornos Tecnológicos
Monereo Meyer Marinel-lo Abogados