El pasado 6 de octubre el Tribunal de Justicia de la Unión Europea publico una sentencia que declara inválido el Acuerdo de Puerto Seguro.
La sentencia concretamente inválida la Decisión 2000/520/CE de la Comisión, de 26 de julio de 2000 que establece el nivel adecuado de protección de las garantías para las transferencias internacionales de datos a EE.UU ofrecidas por el acuerdo de Puerto Seguro publicado por su Departamento de Estado.
El terremoto provocado responde, como en el caso de la sentencia de Google y el derecho al olvido, a un procedimiento interpuesto por un ciudadano europeo.
Maximilliam Schrems, ciudadano austriaco, como usuario de la red social Facebook presento una queja ante la Autoridad de protección de datos irlandesa, señalando que a la luz de las revelaciones realizadas en el año 2013 por Edward Snowden en relación a las actividades de los servicios de inteligencia norteamericanos, la legislación norteamericana no ofrecía un nivel adecuado para la transferencia internacionales de datos de carácter personal de ciudadanos europeos a Estados Unidos.
Rechazada la queja ante la Autoridad de control de datos irlandesa, el Sr. Schrems interpuso un recurso ante la High Court contra la decisión de la Autoridad irlandesa quien trasladó el asunto al Tribunal de Justicia vía cuestión prejudicial.
La Decisión publicada el pasado martes proclama que la Decisión de Puerto Seguro es inválida por dos motivos:
(i) Porque entiende que prevalece incondicionalmente y sin ninguna limitación “la seguridad nacional, el interés público o el cumplimiento de la ley” sobre los derechos fundamentales a la intimidad y la protección de datos sin otorgar a los ciudadano europeos ningún medio para obtener la tutela efectiva de esos derechos.
(ii) Porque no otorga a los Estados miembros un margen suficiente para suspender las transferencias en caso de que estos apreciaran una vulneración de los derechos de los ciudadanos europeos.
Las consecuencias de esta sentencia en el mundo mercantil son de alto calado, por un lado, sitúa a las empresas europeas en una situación de gran inseguridad jurídica ya que todas las transferencias internacionales que se estaban realizando al amparo del acuerdo de Puerto Seguro resultan “no válidas” y por otro lado, los mecanismos alternativos que ofrece la normativa de protección de datos para subsanar esta invalidez son complejos desde el punto de vista económico y estratégico y en ningún caso inmediatos en el tiempo.
Estos mecanismos alternativos pasarían por solicitar la autorización al director de la Agencia española de protección de datos o bien contar con el consentimiento “inequívoco” del afectado (art 34 LOPD).
En el ínterin, la Agencia española de protección de datos ha comunicado en una nota de prensa que las autoridades europeas de protección de datos han planificado actuaciones para coordinarse en el análisis de las implicaciones de la sentencia y en las actuaciones nacionales que deban llevarse a cabo.
Por Ángeles Martínez, directora del área de compliance de Metricson.