Safe Harbor: de aquellos polvos, estos barros

Artículo publicado en Actualidad Jurídica Aranzadi, 29 de enero de 2016.

Si 2015 terminaba con importantes noticias en el ámbito de la protección de datos, el año que iniciamos marca nuevos retos en un horizonte cercano, el primero de ellos la regularización de las trasferencias internacionales de datos a Estados Unidos.

La Sentencia del Tribunal de Justicia de la Unión Europea, C-362/2014 de 6 de octubre de 2015 invalidaba el denominado Safe Harbor en relación con las transferencias internacionales de datos realizadas entre Europa y Estados Unidos. Una cuestión que sin duda afecta a gran parte de los responsables de ficheros, entre los que se encuentran aquellos que traten datos en servicios cloud, demanden servicios prestados por empresas norteamericanas o transmitan datos a empresas establecidas o participadas por entidades estadounidenses.

Hasta la Sentencia, se consideraba que las empresas adheridas a los principios del Safe Harbor, de conformidad con la Decisión 2000/520/CE de la Comisión de 26 de julio de 2000, ofrecían garantías adecuadas en materia de protección de datos. Debe recordarse que para adherirse al Safe Harbor, las empresas debían certificar ante el Departamento de Comercio de Estados Unidos que cumplían con los estándares de protección de datos exigidos por la Unión Europea, debiendo renovar este certificado anualmente.

Pendientes de que las negociaciones con Estados Unidos den paso a un nuevo Safe Harbor, o que la aprobación definitiva del Reglamento Europeo de Protección de Datos aporte soluciones a los movimientos internacionales de datos, dando a los mismos un marco no sólo seguro, si no efectivo.

En este punto, tras la anulación del Safe Harbor, la Agencia Española de Protección de Datos se ponía en contacto con los responsables de ficheros estableciendo, finales de enero, como plazo para regularizar los flujos de datos que se estaban realizando a Estados Unidos.

¿Qué dice nuestra normativa sobre las transferencias internacionales de datos?

Nuestra Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, “LOPD”), establece en su artículo 33.1 que no podrán realizarse transferencias de datos personales a países que no proporcionen un nivel de protección equiparable, salvo si existe autorización previa de la Directora de la Agencia Española de Protección de Datos.

Así las cosas, las transferencias internacionales de datos realizadas con destino a países que no proporcionen un nivel de protección equiparable, sin autorización de la Directora de la Agencia, no podrán realizarse, salvo aquellos supuestos en los que conforme a la normativa en materia de protección de datos dicha autorización no resulta necesaria.

¿A quién afecta la anulación del Safe Harbor?

Aquellas empresas que trabajaban con prestadores de servicios o empresas cuya matriz se encontrara ubicada en Estados Unidos. En este punto debe mencionarse servicios de alojamiento web o cloud, correo electrónico, herramientas informáticas que alojen datos personales o que mediante un servicio de mantenimiento, pueden implicar un acceso potencial.

¿Cómo regularizar la transferencia internacional de datos a Estados Unidos?

Los responsables de ficheros deberán acreditar, mediante la firma de cláusulas contractuales, que han sido obtenidas las garantías suficientes respecto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos.

Así mismo, podrán autorizarse transferencias entre empresas de un mismo grupo multinacional, siempre que éste hubiera adoptado normas internas vinculantes para dichas empresas y exigibles conforme al ordenamiento jurídico español.

Por último, el artículo 34 de la LOPD y 66.2 del RLOPD establecen una serie de supuestos exceptuados de la autorización previa de la Directora de la Agencia (e.g. cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista, o cuando  sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero).

¿Qué riesgos conlleva la no regularización de la transferencia internacional?

Las transferencias internacionales de datos realizadas sin dar cumplimiento a lo reseñado, pueden ser calificadas como infracciones muy graves (art. 44.4.d LOPD), sancionadas con multa de 300.001 a 600.000 euros. Adicionalmente debe recordarse que, el tratamiento de datos sin la adopción de las garantías establecidas por nuestra normativa puede implicar la inmovilización del fichero por la Agencia. Riesgos a los que hay que unir el daño reputacional que pueden sufrir las empresas.