Declaración relativa a la Sentencia “Safe Harbor”

El 6 de octubre de 2015, el Tribunal de Justicia de la Unión Europea invalidó el sistema Safe Harbor, a través de una sentencia que ha afectado a todos los países que conforman la Unión Europea.

La citada sentencia supone un varapalo para todas aquellas empresas que transferían datos a los Estados Unidos de América, al considerar que no encuentran la protección adecuada, a raíz de los últimos escándalos que se han ido haciendo públicos con respecto a la intromisión de la administración americana en los ficheros de las empresas allí establecidas. Se trata, por tanto, de una decisión orientada a proteger los datos personales/información confidencial de las personas físicas y jurídicas europeas (todo ellos con base en una demanda contra Facebook).

El viernes 16 de octubre se publicó una Declaración, emitida conjuntamente por las autoridades europeas de protección de datos, en la que se señalaba:

(I) Las transferencias que se realizaron aplicando el protocolo Safe Harbor son ahora ilícitas. En España, las sanciones que se aplican para el envío de datos internacionales no legales, se pueden castigar con multas de hasta 600.000 euros.

(II) No obstante, la Sentencia no supone la facultad para la realización, por parte de las autoridades competentes, de controles masivos e indiscriminados a las empresas. Actualmente, se está analizando el posible impacto en los mecanismos de transmisión de datos que no aplican el Safe Harbor, esto es, las Cláusulas Contractuales Tipo (“CCTs”) o las Reglas Corporativas Vinculantes (“RCVs”), cuyo uso en España se debe completar con la autorización del Director de la AEPD. No obstante, la Declaración dispone que los mecanismos legales de las CCTs o las RCVs pueden seguir usándose, sin perjuicio de que las autoridades puedan investigar los casos en los que existan denuncias de particulares o ejercitar sus competencias para garantizar los derechos de los ciudadanos.

Las autoridades competentes señalan que adoptarán e iniciarán las acciones que consideren necesarias y apropiadas a finales del mes de enero de 2016, lo que puede incluir acciones coordinadas para exigir el cumplimiento de la normativa. Todo ello siempre y cuando las autoridades de EEUU no hayan solucionado con anterioridad este problema.

Por tanto, se ha pedido a las empresas que consideren los riesgos que puede suponer sus transferencias de datos a EEUU, así como que pongan en práctica todas las herramientas legales y técnicas que tengan a su disposición en aras de respetar la normativa de protección de datos.

Finalmente, exigen a las empresas que empiezan a actuar para paliar esta situación y regularicen las transferencias ya realizadas, aplicando la diligencia adecuada considerando el estado actual de las cosas. En este sentido, traemos a colación lo ya señalado, que la transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable, sin autorización del Director de la AGPD, salvo los supuestos en que de acuerdo con la Ley LOPD y sus disposiciones de desarrollo la autorización no sea ​​necesaria, lo que aquí ocurría hasta la invalidación del Safe Harbor.

SafeHarbor Logo-Lines

Las empresas deben actuar para reducir cualquier posibilidad de ser sancionadas. Para mayor información, consulten con nuestro departamento legal aquí.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *