El Tribunal de Justicia de la Unión Europea (TJUE) ha invalidado hoy la Decisión 2000/520, de 26 de julio, conocida como “Puerto Seguro” (Safe Harbor). El caso en el que se ha pronunciado en este sentido (asunto nº C-362/14) tenía por objeto la discusión de si el acceso que tienen las autoridades estadounidenses como la National Security Agency a datos personales para la investigación de amenazas contra la seguridad nacional infringe la normativa europea de protección de datos.

El Tribunal invalida la Decisión de Puerto Seguro porque ésta da primacía a las exigencias de seguridad nacional, interés público y cumplimiento de la ley de Estados Unidos sobre los principios de Puerto Seguro que pretendían cumplir las exigencias mínimas establecidas en la Directiva de Protección de Datos. Conforme a la sentencia, esta primacía priva a los ciudadanos europeos de los medios establecidos para obtener la tutela efectiva de sus derechos. Además dicha Decisión despoja a las autoridades nacionales europeas de su competencia para suspender las transferencias en caso de vulneración de los mencionados derechos.

Al invalidar la Decisión, que facilitaba la transferencia de datos a las entidades estadounidenses adheridas a los principios de Puerto Seguro,  debe concluirse que estas entidades no ofrecen las garantías necesarias y, por tanto, las transferencias en principio deberán someterse al régimen general aplicable a cualquier país que no ofrece un nivel de protección de datos adecuado (lo que, en el caso de España, implica solicitar la autorización de la Directora de la Agencia de Protección de Datos, salvo que concurran las excepciones previstas en la norma).

Sin embargo, esta sentencia suscita un problema más serio: la situación que ha motivado la decisión del Tribunal no se restringe exclusivamente a las entidades adheridas a los principios de Puerto Seguro, sino que parece extenderse al resto de entidades estadounidenses, igualmente sometidas al deber de colaboración con la administración. Por ello, cabe dudar si las soluciones comúnmente adoptadas para transferir datos a países que no ofrecen un nivel adecuado (el uso de las cláusulas contractuales tipo aprobadas por la Comisión Europea o las denominadas binding corporate rules) pueden dar cobertura a estas transferencias a los Estados Unidos.

Queda pendiente ver cuál será la actuación de las autoridades nacionales de protección de datos ante este profundo cambio en materia de transferencias internacionales. Por el momento, la Agencia Española ha emitido una nota de prensa en la que, aparte de resumir los principales contenidos de la sentencia, se ha limitado a mencionar la necesidad de que las autoridades nacionales de protección de datos que han cuestionado a lo largo el sistema de Safe Harbor se coordinen para asegurar una aplicación coherente en este nuevo contexto.