La sentencia del TJUE declaró inválida la Decisión 2000/520/CE, la cual, declaraba que en el marco del régimen denominado “Safe Harbour” EE.UU garantizaba un nivel adecuado de protección de los datos personales obtenidos. Se constató que no garantizaba el nivel adecuado de protección de datos personales toda vez que las autoridades públicas estadounidenses de seguridad nacional (NSA, entre otras) tenían acceso generalizado a todos las datos personales situados en EE.UU. La ley estadounidense prima sobre el “Safe Harbour”.
Ante esta sentencia, la Agencia Española de Protección de Datos, efectuó una comunicación a las empresas situadas en España informando que si continuaban con la transferencia de datos, mediante los servicios de Dropbox, Google Apps, Google Drive, MailChimp, entre otras, debían ajustarse a la normativa antes del día 29 de enero de 2016.
Las alternativas legales para continuar con la transferencia de datos personales a empresas estadounidenses son:
- Formalizar un contrato tipo con el proveedor de servicios en la nube que siga las pautas de la normativa de protección de datos, traducción jurada del mismo en caso de ser necesario y presentarlo ante la AEPD para que preste autorización a la transferencia.
- Que sea de aplicación alguna excepción de las dispuestas en el artículo 34 de la LOPD, como por ejemplo el recabar el consentimiento para transferir a EE.UU. los datos personales de todos y cada uno de los titulares de los datos.
El pasado 2 de febrero de 2016 se dio a conocer que la Comisión de la UE y los EE.UU. han acordado un nuevo marco para los flujos transatlánticos de datos: El Escudo de la privacidad UE-EE.UU.
Este comunicación del acuerdo marco resultó muy alentadora, sobre todo, porque en menos de un mes, ya es posible ver las diferentes actuaciones tanto de EE.UU. como de la UE. Por un lado, el Presidente Obama promulgó la Ley de recurso Judicial el 24 de febrero y ya ha sido adoptada por el Congreso y, por otro lado el 29 de febrero de 2016 la Comisión ha emitido los textos jurídicos que establecerán el Escudo de la privacidad de UE- EE.UU.
De entre las medidas, cabe destacar una por encima del resto, toda vez que fue la principal causa por la cual la sentencia del TJUE de 6 de octubre de 2015 declaró invalida la decisión de la Comisión sobre el “Safe Harbour”, nos referimos a la concerniente del otorgamiento por escrito de garantías a la UE por parte de los servicios del Director de Inteligencia Nacional de que cualquier acceso de las autoridades públicas por motivos de seguridad nacional estará sujeto a limitaciones, salvaguardas y mecanismos de supervisión claros, lo que impedirá un acceso generalizado a los datos personales. Hecho inédito hasta el momento.
