La sentencia del Tribunal de Justicia de 6 de octubre en el asunto Schrems subrayó la importancia del derecho fundamental a la protección de datos, incluso cuando se transfieren datos personales a terceros países.
Desde enero de 2014, la Comisión Europea se afana por aumentar la seguridad de las transferencias de datos de los ciudadanos europeos sobre la base de 13 recomendaciones. Tras la sentencia del Tribunal, la Comisión ha intensificado las negociaciones con los Estados Unidos de un marco renovado y seguro para la transferencia de datos personales. El objetivo de la Comisión es concluir esas negociaciones en el plazo de tres meses.
Entre tanto, las empresas deben acatar la sentencia y recurrir a los instrumentos de transferencia alternativos existentes. Como el primer vicepresidente Timmermans y la comisaria Jourováanunciaron el día en que se dictó la sentencia, la Comisión ha publicado hoy orientaciones sobre las posibilidades de transferencia transatlántica de datos tras la sentencia y hasta que se instaure un nuevo marco. La Comunicación explicativa de la Comisión analiza las consecuencias de la sentencia y establece los mecanismos alternativos para la transferencia de datos personales a los Estados Unidos. La Comisión también seguirá trabajando estrechamente con las autoridades independientes de protección de datos a fin de garantizar un cumplimiento uniforme de la sentencia.
Andrus Ansip, Vicepresidente responsable del mercado único digital, ha declarado: «Necesitamos un acuerdo con nuestros socios de EE.UU. en los próximos tres meses. Se ha pedido a la Comisión que actúe con rapidez y es lo que estamos haciendo. Hoy proporcionamos directrices claras y nos comprometemos a concluir las negociaciones en curso en un plazo determinado. La UE y los Estados Unidos son, respectivamente, los más importantes socios comerciales. Los flujos de datos entre nuestros continentes son esenciales para las personas y las empresas. Si bien existen instrumentos alternativos, un nuevo marco más seguro es la mejor solución para proteger a nuestros ciudadanos y reducir la carga administrativa de las empresas, especialmente las empresas de nueva creación».
La comisaria Vĕra Jourová ha declarado: «Los ciudadanos necesitan sólidas salvaguardias para garantizar la protección de sus derechos fundamentales. Y las empresas necesitan claridad durante este período transitorio. Nuestro objetivo hoy es explicar en qué condiciones las empresas pueden transferir datos legalmente durante el período transitorio. Asimismo, seguiremos colaborando estrechamente con las autoridades nacionales de protección de datos, que son responsables de la aplicación de la legislación sobre protección de datos en los Estados miembros. He intensificado las conversaciones con los EE.UU. para lograr un nuevo y sólido marco para los flujos transatlánticos de datos, y las negociaciones continuarán en Washington la semana próxima. Cualquier nuevo acuerdo deberá cumplir los requisitos de la sentencia del Tribunal.»
En su Comunicación, la Comisión subraya los puntos siguientes:
– el régimen de puerto seguro ya no constituye una base jurídica para la transmisión de datos personales a los Estados Unidos;
– la Comisión proseguirá y concluirá las negociaciones de un nuevo y sólido marco para las transferencias transatlánticas de datos personales, que debe cumplir los requisitos identificados en la sentencia del Tribunal, en particular por lo que se refiere a las limitaciones y garantías del acceso a los datos personales por parte de las autoridades públicas de los Estados Unidos;
– deberán modificarse otras decisiones de adecuación a fin de garantizar que las autoridades de protección de datos (APD) sigan teniendo libertad para investigar las quejas presentadas por particulares.
La Comunicación establece las bases alternativas para las transferencias de datos personales a los Estados Unidos, sin perjuicio de la independencia y las competencias de las APD para examinar la legalidad de dichas transferencias. Las empresas pueden proseguir las transferencias de datos sobre la base de:
- Soluciones contractuales: las cláusulas contractuales deben constituir obligaciones, tales como medidas de seguridad, información al interesado, garantías en caso de transferencia de datos sensibles, etc. Pueden encontrarse modelos de cláusulas contractuales tipo aquí.
- Normas corporativas vinculantes para las transferencias intragrupales: permitenla libre circulación de datos personales entre las diferentes sucursales de una sociedad de ámbito mundial. Tienen que ser autorizadas por la APD de cada Estado miembro desde el que la multinacional desee transferir datos.
- Excepciones:
o celebración o ejecución de un contrato [incluidas las situaciones precontractuales]: por ejemplo, pueden transferirse datos personales con objeto de reservar un vuelo o una habitación de hotel en los Estados Unidos;
o reconocimiento, ejercicio y defensa de un derecho en un procedimiento judicial;
o si no hay otro motivo, el consentimiento libre e informado de la persona.
Contexto
El 6 de octubre, el Tribunal de Justicia declaró en su sentencia en el asunto Schrems que el régimen de puerto seguro de la Comisión era inválido. La sentencia confirmó el enfoque adoptado por la Comisión, desde noviembre de 2013, de revisar el régimen de puerto seguro para garantizar en la práctica un nivel suficiente de protección de datos, tal como exige el Derecho de la UE.
El 15 de octubre, el vicepresidente Ansip y los comisarios Oettinger y Jourová se reunieron con representantes del sector empresarial, que solicitaron una interpretación inequívoca y uniforme de la sentencia, así como una mayor claridad sobre los instrumentos que podrían utilizar para la transferencia de datos.
El 16 de octubre, las 28 autoridades nacionales de protección de datos (Grupo de trabajo del artículo 29) emitieron una declaración sobre las consecuencias de la sentencia.
Para más información: