Las Autoridades
de protección de datos de los Estados miembros de la UE, reunidas en el Grupo de
Trabajo del Artículo 29, del que forma parte la Agencia Española de Protección
de Datos, han publicado una declaración conjunta sobre las primeras
consecuencias que se pueden extraer a nivel europeo y nacional tras el
histórico fallo de la Corte de Justicia de la Unión Europea (TJUE)
de 6 de octubre de 2015 en el caso Maximilian Schrems vs. Comisionado de
Protección de Datos (C-362-14).
Las Autoridades de protección de datos de la UE consideran que es absolutamente
imprescindible contar con una posición sólida, colectiva y común sobre la
aplicación de la sentencia. Por otra parte, el Grupo de Trabajo observará de
cerca la evolución de los procedimientos pendientes ante el Tribunal Supremo de
Irlanda.
En primer lugar, el Grupo de Trabajo subraya que la cuestión de la vigilancia
masiva e indiscriminada es un elemento clave del análisis del Tribunal. El
Grupo recuerda que ha declarado reiteradamente que dicha vigilancia es
incompatible con el marco jurídico de la UE y que las herramientas de
transferencia existentes no son la solución a este problema. Además, como ya ha
manifestado, las transferencias a terceros países en los que los poderes de las
autoridades estatales para acceder a información exceden de lo necesario en una
sociedad democrática no serán consideradas como destinos seguros para las
transferencias. En este sentido, la sentencia del Tribunal exige que cualquier
decisión de adecuación implique un amplio análisis de las leyes nacionales del
país destinatario de los datos, así como de sus compromisos.
Por lo tanto, el Grupo de Trabajo hace un llamamiento urgente a los Estados
miembros y a las Instituciones europeas para iniciar conversaciones con las
autoridades de EEUU a fin de encontrar soluciones políticas, jurídicas y
técnicas que permitan transferencias de datos al territorio de EEUU
respetando los derechos fundamentales. Estas soluciones se podrían encontrar a
través de las negociaciones de un acuerdo intergubernamental que proporcione
mayores garantías a los interesados en la UE. Las actuales negociaciones en
torno a un nuevo Puerto Seguro podrían ser una parte de la solución. En
cualquier caso, estas soluciones deberían ir siempre acompañadas por
mecanismos claros y vinculantes e incluir, al menos, obligaciones sobre la
necesaria supervisión del acceso por parte de las autoridades públicas, sobre
transparencia, proporcionalidad, mecanismos de reparación y derechos recogidos
en la legislación de protección de datos.
Mientras tanto, el Grupo de Trabajo continuará su análisis del impacto de la
sentencia del TJUE en otras herramientas de transferencia. Durante este período,
las Autoridades de protección de datos consideran que las Cláusulas
Contractuales Tipo y las Normas Corporativas Vinculantes (BCRs) pueden
seguir utilizándose. En cualquier caso, esto no impedirá que las Autoridades de
protección de datos investiguen casos particulares, por ejemplo, a partir de
denuncias, y ejerzan sus poderes con el fin de proteger a las personas.
Si a finales de enero de 2016 no se ha encontrado una solución adecuada
con las autoridades estadounidenses, y en función de la evaluación de las
herramientas de transferencia por parte del Grupo de Trabajo, las Autoridades de
protección de datos de la UE se comprometen a adoptar todas las medidas
necesarias y apropiadas, que pueden incluir acciones coordinadas de aplicación
de la ley (enforcement).
En cuanto a las consecuencias prácticas de la sentencia del TJUE, el Grupo de
Trabajo considera que está claro que las transferencias procedentes de la Unión
Europea a EEUU ya no se pueden enmarcar en la Decisión de Adecuación de la
Comisión Europea
2000/520/CE (la llamada “Decisión Puerto Seguro”). En cualquier caso, las
transferencias que aún se estén llevando a cabo bajo la Decisión Puerto Seguro
tras la sentencia del TJUE son ilegales.
Con el fin de garantizar que todos los actores están suficientemente informados,
las Autoridades de protección de datos de la UE van a poner en marcha
campañas de información adecuadas en sus respectivos países. Esto puede
incluir información directa a todas las empresas respecto de las que conste que
utilizaban la Decisión de Puerto Seguro, así como mensajes generales en los
sitios web de las Autoridades.
En conclusión, el Grupo de Trabajo insiste en las responsabilidades compartidas
entre las Autoridades de protección de datos, las Instituciones de la UE, los
Estados miembros y las empresas para encontrar soluciones sostenibles para
aplicar la sentencia del Tribunal. En particular, y en el contexto de la
sentencia, las empresas deberían reflexionar sobre los eventuales riesgos que
asumen al transferir datos y considerar la oportuna puesta en práctica de todas
las soluciones legales y técnicas para mitigar esos riesgos y respetar el acervo
comunitario de protección de datos.