El Grupo de Regulación de Autelsiha analizado en un informe público los efectos de la Sentencia del Tribunal de Justicia de la Unión Europea (TJUE) dictada el pasado día 16 de julio en el asunto C311/2018 en virtud de la cual se invalida el Acuerdo Privacy Shield, que da amparo legal a ciertas comunicaciones de datos entre empresas de Estados Unidos y Europa.
La mencionada Sentencia invalida la Decisión de la Comisión Europea 2016/1250 de fecha 12 de julio de 2016 en la que se articulaba la legalidad de las transferencias de datos entre Estados Unidos y la Unión Europea. Ante la anulación de la Decisión, el Grupo de Regulación AUTELSI en su informe da respuesta a dos cuestiones: en primer lugar, ¿en qué situación quedan las transferencias internacionales de datos que se amparaban en el Privacy Shield y, en segundo lugar ¿cómo se puede dotar de seguridad jurídica a las comunicaciones de datos entre Estados Unidos y Europa?
Existe una realidad de la que somos conscientes y es que muchas de las soluciones que las organizaciones utilizan a diario para gestionar información y tratar datos de carácter personal, tales como servidores en la nube, gestores de comunicación y marketing, copias de seguridad, por mencionar algunos servicios, se encuentran ubicados en EEUU.
El Grupo de Regulación de Autelsi alcanza la conclusión de que dada la sentencia y a la espera de posibles cambios legislativos que pudieran ocurrir las organizaciones deben revisar si realizan transferencias internacionales de datos con EEUU y cómo se soportan legalmente con objeto de comprobar el impacto de la Sentencia y acogerse a alguna de las medidas adoptadas en la regulación vigente de forma que vuelvan a estar dentro de la legalidad, a pesar de que esta solución no resultará fácil, ni será económica, ni rápida. Por ello, desde el Grupo de Regulación de AUTELSI, a través del mencionado informe, se ha querido analizar las distintas soluciones existentes, y que siguen estando disponibles, para amparar las comunicaciones de datos personales entre empresas de las dos potencias conforme a lo dispuesto en el Reglamento General de Protección de Datos.
Es cierto que tanto el Supervisor Europeo de Protección de Datos como las Autoridades de Control de los diferentes países europeos, y en nuestro caso, la Agencia Española de Protección de Datos, ya han anunciado el estudio de las consecuencias de dicha sentencia y deberán pronunciarse sin demora sobre este problema, pero resultaría deseable que los reguladores diseñaran una fórmula definitiva idónea y eficaz, avalada desde la legalidad y que tuviera en cuenta los vínculos comerciales existente entre las empresas europeas y norteamericanas, para evitar que cada cierto tiempo se revisen los acuerdos alcanzados.
Consideramos que debe exigírsele a las autoridades y en particular a la Comisión Europa que no se repita de nuevo el escenario posterior a la derogación del acuerdo Safe Harbour. Las organizaciones y los ciudadanos necesitamos seguridad jurídica, un buen acuerdo y un marco estable para el tratamiento de los datos personales que garantice los derechos de los ciudadanos para que utilicen los servicios de manera confiable.