Desde el 2000 hasta ayer mismo, miles de empresas han confiado en el Acuerdo de Puerto Seguro (Safe Harbour) para transferir datos a Estados Unidos y tratarlos desde allí. Hoy ya no es posible. Ayer, una Sentencia del Tribunal de Justicia de la Unión Europea (TJUE) ilegalizó miles de transferencias de datos a Estados Unidos y, con ello, la operativa diaria de buena parte del Nasdaq y de la balanza de pagos transatlántica.

I.- ¿Cuál era la situación hasta ayer?

La Directiva 95/46 establece garantías que todo estado europeo debe adoptar para asegurar el respeto a la privacidad. Este marco armonizado sustenta la libre circulación de datos personales dentro de Europa, facilitando la operativa de redes sociales y otros servicios (digitales ono).

Para transferir datos fuera de la UE, la Directiva establece varias opciones. En general, sólo permite transferencias autorizadas por el regulador (la Agencia Española de Protección de Datos o “AEPD”). Pero en algún supuesto no es necesario pedir un permiso que tarda meses en llegar. Es el caso de las transferencias hechas hacia estados que, según las autoridades (nacionales o comunitarias), otorguen “protección equivalente” en materia de privacidad.

La legislación de los USA no permite afirmar cabalmente que éstos otorgan “protección equivalente”. Pero transferir datos entre la UE y los Estados Unidos es esencial para buena parte de la economía (sobre todo la digital). Así que se adoptó un acuerdo: los USA establecerían un programa de garantías que sus empresas podrían adoptar voluntariamente y Europa reconocería las transferencias hacia éstas como “hechas a un país de protección equivalente“.

Había nacido el Acuerdo de Puerto Seguro, que se plasmó en la Decisión 2000/520 de la Comisión y ha sustentado durante más de 10 años la operativa trasatlántica de tiendas online, redes sociales, empresas de selección y todo tipo de actividades.

II.- ¿Qué pasó ayer?

El escándalo Snowden había confirmado lo que muchos temían: que las garantías que ofrece el programa son más aparentes que reales y que el gobierno americano (la NSA y el Department of Homeland Security) accede a datos personales de forma indiscriminada. Y esto preocupaba a la UE y, también, a un usuario de Facebook (Schrems) para quién esta revelación invalidaba el arreglo Safe Harbour y la transferencia de datos que Facebook realizaba a suamparo.

Schrems solicitó que así se declarase y la sentencia del TJUE de 6 de octubre, en cuestión prejudicial, le ha dado la razón (como anticipaba el abogado general). Para el TJUE, la Decisión 2000/520 es nula porque permite que el gobierno norteamericano acceda a datos personales sin los pertinentes controles judiciales y porque coarta la autoridad de las autoridades nacionales (la AEPD). Y considera que estas autoridades estaban obligadas a investigar cualquier denuncia al respecto, aunque no pudieran invalidar la Decisión sin el propio TJUE. 

III.- ¿Qué hacer ahora? 

En teoría, anulada la Decisión, todas las transferencias hechas a su amparo son ilícitas y no deben continuar. Pero ni es concebible suspender las transferencias de la noche a la mañana ni es posible, en ese plazo, cambiar lo necesario para ampararse en otro supuesto que las legitime. La Comisión lo sabe y ha anunciado una reunión de las autoridades europeas de protección de datos para decidir qué hacer en la práctica. La AEPD también lo sabe y está recomendando de forma informal que no se haga nada y se espere la recomendación que estápreparando. 

Habrá que adoptar medidas para amparar las transferencias existentes en otros supuestos (por ejemplo, firmando las llamadas “cláusulas modelo” y solicitando la oportuna autorización). Pero creemos que, dada la actual jurisprudencia sobre el principio de confianza legítima, la AEPD deberá admitir un período transitorio para hacer el cambio sin temor asanciones.