En materia de protección de datos, la Directiva europea 95/46/CE relativa al tratamiento de los datos personales y a la libre circulación de los mismos, estableció que sólo se pueden transferir datos personales a un país tercero si éste país garantiza un nivel de protección seguro de dichos datos.
Desde el año 2.000, y en cumplimiento de la referida Directiva, la Comisión Europea aprobó una serie de Decisiones por las que se reconocía que algunos países que no pertenecían a la UE ostentaban el nivel adecuado de protección para que se les realizaran transferencias de datos personales (entre ellos se encontraban Suiza, Canadá, Argentina, etc). Una de estas Decisiones fue la Decisión de la Comisión 2000/520/CE de 26 de julio de 2000. Mediante esta Decisión se permitía la transferencia internacional de datos a EEUU si la empresa de EEUU a la que se transferían se había adherido previamente a los denominados “Principios de Puerto Seguro” (“Safe Harbor Framework”), publicados por el Departamento de Estado de EEUU. Es decir, el régimen de puerto seguro incluía una serie de principios relativos a la protección de datos personales a los que las empresas estadounidenses podían suscribirse voluntariamente.
De esta forma, la transferencia internacional de datos a las empresas estadounidenses que estaban adheridas a Puerto Seguro, no requería autorización de las autoridades nacionales de protección de datos, debido a que los datos se mantenían en un entorno que se había calificado previamente como “seguro”.
El 6 de octubre de este año 2015, y tras la denuncia d un ciudadano austríaco ante la Comisión Irlandesa de Protección de Datos, el Tribunal de Justicia de la Unión Europea (TJUE) ha declarado inválida la Decisión de la Comisión 2000/520/CE de 26 de julio de 2000 por entender que este régimen no era seguro al permitir injerencias de las autoridades nacionales estadounidenses en los datos personales enviados a las empresas estadounidenses.
Como consecuencia de la publicación de esta sentencia dictada por el TJUE, las transferencias de datos que se estén llevando a cabo a Estados Unidos bajo la Decisión Puerto Seguro son ilegales. Con tal de garantizar que los actores de estas transferencias están debidamente informados, se llevarán a cabo varias campañas de información en sus respectivos países por parte de las Autoridades de protección de datos de la UE.
En este sentido, la Agencia Española de Protección de Datos ya ha iniciado el envío de comunicaciones a los exportadores de datos que hubiesen declarado transferencias de datos a una entidad estadounidense adherida los principios de Puerto Seguro, con tal de que el exportador de datos informe al Registro General de Protección de Datos sobre la continuidad de las transferencias y sobre su adecuación a la normativa de protección de datos. En este sentido, la Agencia Española de protección de datos facilita dos opciones para regularizar esta situación. Puede realizarse (i) mediante la modificación del propio fichero, a través de la que se podría sustituir cualquier referencia de transferencia internacional o (ii) mediante el envío de un mail a [email protected] indicando que se dejan de usar los datos del fichero referenciado en Estados Unidos.
Para mayor información, pueden ponerse en contacto con el departamento de Protección de Datos de Net Craman: [email protected]