El Comisario de Hamburgo para la Protección de Datos y la Libertad de la Información ha impuesto las primeras sanciones por transferir datos personales fuera del Espacio Económico Europeo incumpliendo las normativas europeas en materia de protección de datos de carácter personal.

En particular, las empresas sancionadas estaban transfiriendo datos personales a los Estados Unidos sobre la base exclusiva del denominado “Safe Harbor”, el acuerdo de auto-certificación alcanzado entre la Unión Europea y el Departamento de Comercio de los Estados Unidos que evitaba, en el caso de España, tener que solicitar la autorización previa de la Directora de la Agencia Española de Protección de Datos. Según señalamos en anteriores entradas de este blog, el “Safe Harbor” fue declarado inválido mediante sentencia de 6 de octubre de 2015 del Tribunal de Justicia de la Unión Europea, que consideraba que dicho sistema no garantizaba una protección suficiente de los derechos reconocidos conforme a la normativa europea sobre protección de datos.

Como consecuencia de lo anterior y tal y como se abordó durante el Webinar celebrado el 29 de octubre –una grabación del mismo puede consultarse en este enlace-, todas aquellas transferencias de datos que se efectuaban bajo la cobertura del Safe Harbor dejaban de ser lícitas. Por consiguiente, era preciso buscar, dentro del marco legislativo actual, otras formas que convalidasen dichas transferencias, tales como la obtención del consentimiento inequívoco del afectado, la concurrencia de alguna de las excepciones previstas legalmente, o la obtención de la autorización previa de la Directora de la Agencia Española de Protección de Datos.