Trabajo conjunto de las autoridades de protección de datos

Europa busca una solución para el flujo de datos con EE UU

Las autoridades de protección de datos de los Estados miembros de la UE han publicado una declaración conjunta sobre las primeras consecuencias que se pueden extraer a nivel europeo y nacional tras el fallo de la Corte de Justicia de la Unión Europea que declara inválida la Decisión de la Comisión que declaró que Estados Unidos garantiza un nivel de protección adecuado de los datos personales transferidos.

La agencias europeas han apelado a las responsabilidades compartidas entre las autoridades de protección de datos, instituciones de la UE, Estados miembros y empresas para encontrar soluciones sostenibles para aplicar la sentencia del Tribunal. En opinión de las autoridades europeas en materia de protección de datos, las empresas deberían reflexionar sobre “los eventuales riesgos que asumen al transferir datos y considerar la oportuna puesta en práctica de todas las soluciones legales y técnicas para mitigar esos riesgos y respetar el acervo comunitario de protección de datos”.

Las autoridades europeas de protección de datos consideran que es “absolutamente imprescindible contar con una posición sólida, colectiva y común sobre la aplicación de la sentencia”. Por otra parte, el grupo de trabajo observará de cerca la evolución de los procedimientos pendientes ante el Tribunal Supremo de Irlanda.

El Grupo de Trabajo ha subrayado que la cuestión de la vigilancia masiva e indiscriminada es un elemento clave del análisis del Tribunal. El grupo ha declarado “reiteradamente” que dicha vigilancia es “incompatible con el marco jurídico de la UE y que las herramientas de transferencia existentes no son la solución a este problema”.

Además las transferencias a terceros países en los que los poderes de las autoridades estatales para acceder a información exceden de lo necesario en una sociedad democrática no serán consideradas como destinos seguros para las transferencias. En este sentido, la sentencia del Tribunal exige que cualquier decisión de adecuación implique un amplio análisis de las leyes nacionales del país destinatario de los datos, así como de sus compromisos.

El grupo de trabajo hace un “llamamiento urgente” a los Estados miembros e instituciones europeas para “iniciar conversaciones con las autoridades de EEUU a fin de encontrar soluciones políticas, jurídicas y técnicas que permitan transferencias de datos al territorio de EEUU respetando los derechos fundamentales”. Estas soluciones se podrían encontrar, según las agencias de protección de datos europeas, a través de las negociaciones de un acuerdo intergubernamental que proporcione mayores garantías a los interesados en la UE. “Las actuales negociaciones en torno a un nuevo Puerto Seguro podrían ser una parte de la solución”, han apuntado en un comunicado.

En cualquier caso, estas soluciones deberían ir, en su opinión, “siempre acompañadas por mecanismos claros y vinculantes e incluir, al menos, obligaciones sobre la necesaria supervisión del acceso por parte de las autoridades públicas, sobre transparencia, proporcionalidad, mecanismos de reparación y derechos recogidos en la legislación de protección de datos”.

Entre tanto, el grupo de trabajo continuará su análisis del impacto de la sentencia del TJUE en otras herramientas de transferencia. Durante este período, las Autoridades de protección de datos consideran que las Cláusulas Contractuales Tipo y las Normas Corporativas Vinculantes (BCRs) pueden seguir utilizándose. Esto no impedirá que las Autoridades de protección de datos “investiguen casos particulares, por ejemplo, a partir de denuncias, y ejerzan sus poderes con el fin de proteger a las personas”.

Si a finales de enero de 2016 no se ha encontrado una solución adecuada con las autoridades estadounidenses las Autoridades de protección de datos de la UE se han comprometido a “adoptar todas las medidas necesarias y apropiadas, que pueden incluir acciones coordinadas de aplicación de la ley”.

En cuanto a las consecuencias prácticas de la sentencia del TJUE, el Grupo de Trabajo considera que está claro que las transferencias procedentes de la Unión Europea a EEUU ya no se pueden enmarcar en la Decisión de Adecuación de la Comisión Europea 2000/520/CE (la llamada “Decisión Puerto Seguro“). En cualquier caso, “las transferencias que aún se estén llevando a cabo bajo la Decisión Puerto Seguro tras la sentencia del TJUE son ilegales”.

Las Autoridades de protección de datos tienen previsto poner en marcha campañas de información adecuadas en sus respectivos países. Esto puede incluir información directa a todas las empresas respecto de las que conste que utilizaban la Decisión de Puerto Seguro, así como mensajes generales en los sitios web de las Autoridades.

Normas
Entra en El País para participar