¿Dónde están esas Ariadnas que nos muestren la salida del laberinto post-Safe Harbor? Sobre la reciente posición del GT29 respecto de la Sentencia del TJUE en el caso Schrems


La reciente opinión Grupo de Trabajo del Art. 29 (“GT29“) sobre la invalidación del esquema de Puerto Seguro, no solo no ha aclarado como debe procederse ahora para transferir datos personales a Estados Unidos de América (“EEUU“) sino que ha sembrando dudas sobre la bondad de otras alternativas que se estaban implementando. No es eso lo que los responsables y encargados del la Unión Europea (“UE“) necesitan. Si las Autoridades de Protección de Datos (“DPAs“) quieren liderar el respeto y la aplicación del derecho a la protección de datos, deben hacerlo no solo desde la denuncia y la sanción, sino también, y fundamentalmente, proporcionando soluciones.

 

El pasado viernes 9 de octubre, el GT29 publicó su tan esperada posición respecto de la Sentencia que había dictado pocos días antes el Tribunal de Justicia de la Unión Europea (“TJUE“) en el caso caso Schrems (C-362/14), invalidando la Decisión 2000/520/CE, de Puerto Seguro y con ello, el procedimiento usado hasta la fecha por miles de entidades de la UE  para legitimar sus transferencias internacionales de datos personales a EEUU.

Como ya pude lamentar tanto en una “píldora” de mi blog deTidat.com, como en otros medios de comunicación donde tuve el honor de intervenir, laHilo Sentencia en cuestión se dictó, desde mi punto de vista, de forma precipitada y sin tener en cuenta la situación en que se quedaban aquellas empresas, administraciones y otras instituciones de la UE que tenían sus datos personales en EEUU y que, al no podían “repatriar” los datos personales de hoy para mañana, se veían de repente flotando en un Limbo jurídico y sin saber que hacer.

Con la Sentencia, el TJUE, cual Dédalo, ha construido un laberinto que ofrece a priori diversas vías para regularizar las transferencias de datos a EEUU, pero que uno intuye no siempre conducen a la salida… Ante semejante trance,  nuestros responsables y encargados comunitarios han estado esperando, como Teseos, que nuestras Ariadnas de la protección de datos, reunidas en el GT29, lanzasen ese hilo magnífico que les guiase a través del terrible laberinto, permitiéndoseles esquivar aquellas aparentes alternativas de cumplimiento que conducen al desastre y acertar así con la vía que se dirige a la salida: a ese escenario de cumplimento cierto y perdurable que todo Teseo necesita para prosperar en la economía actual.

El pasado 9 de octubre las Ariadnas lanzaron finalmente su hilo pero, para desgracia de Teseo, solo era un cabo suelto…

Efectivamente, si repasamos la posición del GT29 sobre la citada Sentencia, esto es lo único que extraemos:

  • Se confirma que las transferencias internacionales a EEUU que estén llevándose a cabo actualmente sobre la base del esquema de Puerto Seguro, son ilegales. Es decir, es necesario buscar una alternativa inmediata.
  • El GT29 inicia (continua, de hecho, según dice…) el análisis del impacto de la Sentencia en otras vías para realizar transferencias internacionales.
  • Las DPAs apuntan a las cláusulas tipo y Normas Corporativas Vinculantes (BCR) como opciones que “todavía” se pueden utilizar, si bien insisten en que las DPAs se reservan el derecho de ejercer su labor revisora de las transferencias que se realicen.
  • Parece (porque no queda muy claro, la verdad) que las DPAs ofrecen una especie de “tregua” hasta fin de enero de 2016 para “alcanzar soluciones”. A partir de entonces, indican que iniciarán todas aquellas acciones que sean precisas para proteger a los interesados.

Y ahora que vemos que el hilo de las Ariadnas de los datos no lleva a ninguna parte… ¿qué se supone que deben hacer los responsables y encargados de la UE? ¿cómo deben actuar? Porque, salvo que yo lo lea mal, nuestras Ariadnas, no solo no han señalado la vía correcta a seguir sino que han susurrado un “…tu veras lo que haces…” al pobre Teseo que parecía que se había decidido por las cláusulas tipo o BCRs y que ahora no lo tiene tan claro al ver como las DPAs se están fijando en las consecuencias de la Sentencia en otras vías para llevar a cabo transferencias internacionales y sobre las que nada decía el mismo TJUE (… ya decía yo que esto iba a pasar…)

El laberinto ante el que nos encontramos es ciertamente complejo. Ese Dédalo que tenemos en el TJUE es un constructor sin-igual. Sin embargo, precisamente por ello, las DPAs tienen que ofrecer guías precisas sobre lo que esperan de las entidades de la UE y que deben hacer exactamente éstas para continuar alojando datos personales en EEUU con garantías de respeto al derecho a la protección de datos y la legislación sobre la materia. Y esta solución no puede ser “repatrie usted los datos a la UE” porque ello sería como recetarle a un enfermo de anginas que se corte el cuello para eliminar el problema…

Nuestras empresas y demás entidades no pueden seguir dando vueltas por el laberinto a la espera de encontrarse un Minotauro en forma de competencia extranjera. Necesitamos encontrar una salida ya y son las DPAs quienes deben señalarla. No puede ser que la única respuesta oficial que se reciba de las DPAs, sea un: “utilice cláusulas tipo y/o BCRs, mientras nos pensamos si son o no válidas” Porque…. y si luego resulta que las DPAs creen que no lo son… ¿qué hacemos?

De momento y mientras esas Ariadnas del dato siguen en el GT29 hilando lo que esperamos que, esta vez sí, sea una guía sólida y segura para salir de este laberinto, nuestros Teseos deben seguir caminando con paso prudente pero continuo, porque el Minotauro de la competencia sigue allí, vigilante, al acecho y detenerse en el laberinto es morir… Vías como cláusulas tipo y BCR siguen siendo las mejores opciones, las únicas opciones, y debemos aferrarnos a ellas como a clavo ardiendo sabiendo además que, por cada solución de cláusula tipo o BCR que se implementa, disminuyen las posibilidades de que se cumpla en nefando augurio que las Ariadnas del dato hicieron el 9 de octubre respecto de los efectos de la Sentencia del TJUE sobre esas otras alternativas para transferir datos a EEUU…

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *