El Tribunal de Justicia de las Comunidades (TJUE) ha anulado recientemente el Acuerdo de Puerto Seguro (Safe Harbor) alcanzado en el año 2.000 entre las autoridades europeas y estadounidenses, con el fin de facilitar el flujo de datos personales entre las empresas establecidas en la Unión Europea y las situadas en Estados Unidos. Esta sentencia, dictada el 6 de octubre de 2015, ha puesto en jaque la legalidad de las transferencias internacionales de datos personales que venían realizándose al amparo del citado Acuerdo, en particular en el caso de los servicios basados en cloud computing.
El Acuerdo de Puerto Seguro permitía a aquellos proveedores de servicios de cloud computing establecidos en Estados Unidos y cuya infraestructura estuviera total o parcialmente situada en dicho país, autocertificarse en el cumplimiento de los Principios de Puerto Seguro y de este modo alojar sin más trámites los datos personales transferidos por sus clientes europeos. Desde la perspectiva de las empresas europeas, dicho Acuerdo permitía contratar los servicios de las empresas certificadas en Safe Harbor sin necesidad de solicitar ningún tipo de autorización a la Agencia Española de Protección de Datos.
La anulación del Acuerdo de Puerto Seguro supone simple y llanamente que las empresas europeas que actualmente continúan utilizando los servicios de cloud computing prestados por proveedores adheridos a Safe Harbor, han quedado en situación de absoluta ilegalidad. En idéntica tesitura se encuentran aquellos proveedores europeos de servicios basados en cloud computing que tengan subcontratada total o parcialmente su infraestructura con empresas estadounidenses adheridas a Puerto Seguro.
Cabe esperar que las autoridades europeas y de Estados Unidos busquen un nuevo acuerdo que evite los inconvenientes planteados por el TJUE. Pero lo cierto es que, mientras no llegue dicho acuerdo, las empresas que se hayan visto abocadas a esta situación de ilegalidad deben buscar soluciones alternativas antes de finales del próximo mes de enero. Este es el plazo que ha sido acordado conjuntamente las autoridades europeas de protección de datos y que la Agencia Española de Protección de Datos ha comenzado notificar por carta a las empresas implicadas.
Desde una perspectiva práctica, más allá de buscar proveedores alternativos o configurar los servicios para que sean prestados dentro de la Unión Europea –si es que el proveedor ofrece esta alternativa– la solución normalmente requerirá de la solicitud, por parte del cliente de los servicios de cloud computing o del proveedor que tenga subcontratada su infraestructura con empresas estadounidenses, de una autorización para la transferencia internacional de datos. La obtención de dicha autorización no es sencilla, dado que requiere en todo caso de la colaboración del proveedor estadounidense que deberá suscribir las Cláusulas Contractuales Tipo aprobadas por la Unión Europea a estos efectos (Decisión de la Comisión 2010/87/UE) o las Cláusulas Tipo adoptadas por la Agencia Española de Protección de Datos en el caso de que la solicitud la realizase un proveedor de servicios establecido en España. Asimismo, será necesaria la tramitación del correspondiente procedimiento de autorización ante dicho organismo.
