La Sentencia del Tribunal Europeo de Justicia de 6 de octubre de 2015 (“Caso Schrems”) dejó sin cobertura legal las comunicaciones de datos efectuadas desde la Unión Europea a entidades americanas adheridas al Acuerdo de “Safe Harbor”. En estos meses, las empresas afectadas por dicha sentencia se han visto en la obligación de optar por otros mecanismos jurídicos que les permitan cumplir con la normativa de protección de datos.

La Agencia Española de Protección de Datos y el Grupo de Trabajo del Artículo 29 señalaron expresamente que tanto las cláusulas contractuales tipo aprobadas por la Comisión, como las “Binding Corporate Rules” o Normas Corporativas Vinculantes, continuaban siendo válidas.

Sin embargo, desde distintos ámbitos, se insistió en la necesidad de formalizar cuanto antes un marco legal que sustituya al “Safe Harbor”.

Finalmente, y tras una larga negociación, la Comisión Europea anunció el pasado martes, 2 de febrero, que ha llegado a un acuerdo con Estados Unidos respecto a las condiciones en las que podrán efectuarse transferencias de datos a entidades ubicadas en dicho país garantizando un nivel adecuado de protección.

No se han hecho públicos aún los términos del acuerdo alcanzado, denominado “EU-US Privacy Shield” (“Escudo de privacidad”). En la nota de prensa facilitada por la Comisión Europea, se indica que (i) se limitarán las circunstancias en las que las autoridades norteamericanas podrán acceder a los datos transferidos, (ii) se establecerán obligaciones más estrictas para las empresas adheridas y (iii) se permitirá a los ciudadanos europeos presentar reclamaciones a través de distintos cauces.

Se ha anunciado que en las próximas semanas se redactará el borrador de “Decisión de Adecuación”, que deberá ser aprobado por los representantes de los Estados Miembros, previo dictamen de las Autoridades Europeas de Protección de Datos.

Por el momento, el Grupo de Trabajo del Artículo 29 (“GT 29”) ha publicado un comunicado en el que identifica cuatro garantías esenciales que, en base a la jurisprudencia europea, se deberán respetar en las transferencias internacionales de datos a Estados Unidos:

  1. Normas claras, precisas y transparentes que permitan a una persona razonablemente informada conocer qué tratamiento se dará a sus datos.
  2. Necesidad y proporcionalidad en cualquier acceso realizado a los datos transferidos.
  3. Existencia de una autoridad o mecanismo de control independiente.
  4. Posibilidad de los afectados de reclamar y defender sus derechos frente a la autoridad o mecanismo de control.

El GT 29 insiste en que las transferencias internacionales de datos a Estados Unidos amparadas en la Decisión de la Comisión sobre “Safe Harbor” no son legales desde el momento en que dicha decisión fue declarada inválida. Igualmente, señala que las Autoridades de Protección de Datos nacionales deberán analizar caso por caso las denuncias que se presenten ante ellas, lo que en teoría podría afectar a las cláusulas contractuales tipo aprobadas por la Comisión y a las “Binding Corporate Rules”.

El GT 29 ha anunciado que publicará un análisis exhaustivo del “EU-US Privacy Shield” a principios de marzo, una vez se le haya facilitado toda la documentación relativa al acuerdo. Aunque continúa afirmando la validez de cláusulas contractuales tipo y las “Binding Corporate Rules”, su análisis incluirá una revisión de ambos mecanismos.

En definitiva, aunque el acuerdo entre la Unión Europea y Estados Unidos supone un gran avance, las empresas afectadas por la Sentencia del “Caso Schrems” continúan en la misma situación, sin que exista todavía una alternativa real que sustituya al “Safe Harbor”.