lunes, 21 octubre, 2019

¿Y si el puerto no es tan seguro?

PUERTO SEGUROEl pasado 6 de octubre, el TJUE declaró inválida la decisión de la Comisión de 26 de julio de 2000 por la que manifestaba que las entidades estadounidenses adheridas al régimen de “puerto seguro” garantizaban un nivel de protección adecuado para la transferencia de datos de carácter personal.

El TJUE se pronuncia sobre un caso que le plantea la High Court de Irlanda tras la denuncia que presentó un particular, ciudadano austriaco, usuario de redes sociales y conocedor de la transferencia internacional de sus datos desde la UE a Estados Unidos, frente a la autoridad irlandesa de control.

Se reclamaba que la norma y práctica americana no garantizaban un nivel adecuado de protección de los datos de carácter personal. La autoridad irlandesa desestimó la reclamación sobre la decisión de la Comisión de 26 de julio de 2000, que declaraba que las entidades estadounidenses en el marco del régimen de “puerto seguro” garantizaban un nivel adecuado de protección a los datos transferidos.

En la sentencia, el TJUE considera:

  1. Que la decisión de la Comisión no debe dejar sin efecto ni limitar las facultades de las autoridades nacionales de control.
  2. Que las autoridades nacionales de control deben poder apreciar con total independencia si la transferencia de los datos a un país tercero cumple con las exigencias de la Directiva.

Asimismo, la sentencia examina y declara inválida la decisión de la Comisión de 26 de julio de 2000, puesto que la Comisión no comprobó si Estados Unidos garantizaba efectivamente (en razón de su legislación propia o compromisos internacionales) un nivel adecuado de protección sino que la Comisión se limitó al examen del régimen de puerto seguro.

Como consecuencia de la sentencia, la autoridad irlandesa de control está obligada a examinar la reclamación del particular y decidir si debe suspenderse la transferencia de datos de usuarios europeos de Facebook a Estados Unidos, por no ofrecer este país un nivel de protección adecuado de los datos personales.

¿Y que pasa ahora? Posibles consecuencias. El particular caso español

La sentencia del TJUE pone en jaque el régimen de “puerto seguro” tal y como lo conocemos.

Hasta la fecha, la Comisión había declarado que se consideraba adecuado el nivel de protección de datos de Suiza, Canadá, Argentina, Uruguay Islas Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Nueva Zelanda y de las entidades estadounidenses adheridas al principio de puerto seguro. Por tanto las transferencias internacionales de datos a esos países o entidades se podían realizar sin mayores problemas; solo se debía notificar a la Agencia Española de Protección de Datos (“AEPD”) a efectos de su registro.

Al declararse la invalidez de la decisión de la Comisión, a partir de la sentencia no se está reconociéndolo el nivel de protección adecuado que se confería a dichas entidades adheridas al principio de puerto seguro. Por ello, aquellas organizaciones que vinieran realizando transferencias internacionales desde la UE a Estados Unidos al amparo del régimen de puerto seguro, deberán revisar y analizar su situación, evaluar el impacto que tiene la sentencia en sus transferencias de datos y actuar de la forma más adecuada.

En este sentido, la Directiva 95/46, además de a la Comisión, faculta a los estados miembros para evaluar el nivel adecuado de protección de un tercer país. En España, esta habilitación se plasma en la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de carácter Personal (“LOPD”) y su reglamento de desarrollo (el “Reglamento”), que atribuyen a la AEPD la facultad de evaluar el nivel de protección, declarar, en su caso, la existencia de un nivel de protección equiparable respecto al país de destino o autorizar (y suspender en ciertos supuestos) una transferencia internacional de datos a estados que no proporcionen un nivel equiparable a la LOPD.

Por tanto, se abre ante nosotros un escenario de incertidumbre, pendiente del criterio que pretendan seguir las autoridades de protección de datos de los diferentes estados miembros de la UE y, en particular, la AEPD respecto a las transferencias internacionales de datos que caigan en este supuesto. Seguro que estas autoridades de control también deberán estar preparadas para el aluvión de consultas y denuncias de afectados que ciertamente recibirán.

Un posible “patrón” de actuación para las entidades que se vean afectadas por esta nueva realidad y decidan adoptar una postura “conservadora” sería:

– En primer lugar, valorar las alternativas que se tienen para cumplir con las exigencias de la LOPD y el Reglamento. En este punto, las opciones son múltiples y dependen de las posibilidades del exportador e importador de los datos, el tipo de datos, la finalidad de la transferencia…etc. Una posibilidad sería aplicar técnicas de disociación o anonimización de la información por parte del exportador.

– En segundo lugar, comprobar que su realidad no se ajusta a ninguna de las excepciones del artículo 34 apartados a) a j) de la LOPD que permitirían no solicitar la autorización del Director de la AEPD para realizar transferencias internacionales. Por ejemplo:

  1.  Cuando se refiera a transferencias dinerarias conforme a su legislación específica.”
  2. Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.”

– En caso de que no sea factible una alternativa mejor para cumplir con la LOPD y el Reglamento y no les sea de aplicación ninguna de las excepciones del artículo 34, el exportador deberá solicitar la autorización para la transferencia internacional al Director de la AEPD: (i) a través de las cláusulas contractuales tipo (CCT) recogidas en las Decisiones de la Comisión Europea 2001/497/CE, de 15 de Junio de 2001, 2002/16/CE, de 27 de diciembre de 2001, y 2004/915/CE, de 27 de diciembre de 2004; o (ii) a través de las Reglas Corporativas Vinculantes (RCV).

El procedimiento para obtener la autorización se iniciará siempre a solicitud del exportador, quien deberá consignar, en todo caso, la documentación relevante. El plazo máximo para dictar y notificar resolución por la AEPD será de tres meses, a contar desde la fecha de entrada de la solicitud.

La autorización por la AEPD deberá ser otorgada:

a) de manera automática, para toda transferencia internacional basada en un contrato que incorpore las CCT (pero, a diferencia de lo que sucede en otros estados miembros, debe pasare el trámite de la autorización); y

b) en el seno de grupos multinacionales de empresas, cuando hubiesen sido adoptados por los mismos normas internas en que consten las necesarias garantías de respeto a la protección de la vida privada y el derecho a la protección de datos de los afectados y se garantice asimismo el cumplimiento de los principios y el ejercicio de los derechos reconocidos en la LOPD y en el Reglamento. En este caso, las normas deben ser vinculantes para las empresas del grupo y exigibles conforme al ordenamiento jurídico español. La autorización implicará la exigibilidad de lo previsto en las normas internas tanto por la AEPD como por los afectados cuyos datos hubieran sido objeto de tratamiento. Si se decide ir por esta vía, será conveniente que el exportador tome medidas para garantizar el uso y el carácter jurídico de las RCV tanto desde dentro del grupo como frente a los afectados.

¿Sería posible un nuevo marco de relaciones entre EE.UU y la UE?

A la luz de la Sentencia del TJUE, la Comisión ha querido salir al paso y manifestar que trabajará íntimamente con las autoridades estadounidenses para revisar el régimen de puerto seguro y desarrollar un nuevo marco de trabajo para las transferencias internacionales de datos entre EE.UU y Europa.

Los reguladores europeos son conscientes de lo que está en juego. Por ello, ya se ha filtrado que el Grupo de Trabajo del artículo 29 (órgano asesor de la Comisión europea en materia de privacidad y protección de datos) mantendrá una reunión urgente para tratar este asunto.

Y ahora que creíamos que nuestro mayor problema era cuándo se aprobaría el nuevo reglamento…

Fuente: Expansión.com

Deja un Comentario

Tu dirección de email no será publicada. Required fields are marked *

*

BIGTheme.net • Free Website Templates - Downlaod Full Themes