El Tribunal de Justicia de la Unión Europea (TJUE), en su sentencia del pasado 6 de octubre, invalidó la Decisión de la Comisión Europea 200/520/CE en la que consideraba que los Estados Unidos garantizaban un nivel de protección adecuado en la transmisión de los datos personales relativa a ciudadanos europeos. Esta sentencia afirma contundentemente que los datos personales de los ciudadanos europeos almacenados por empresas americanas no tienen un nivel de protección similar al que otorga la Unión Europea por la adhesión al “Safe Harbour” (puerto seguro).

En virtud de la Directiva 95/46/CE, de 24 de octubre de 1995, sobre la protección de las personas físicas respecto al tratamiento de datos personales y a la libre circulación de las mismas, solo se pueden transferir datos personales a un tercer país si éste garantiza un nivel de protección adecuado. La Comisión Europea puede declarar, por su parte, que un tercer país garantiza un nivel de protección adecuado en relación a su normativa interna o a sus compromisos internacionales y así lo declaró en relación con los Estados Unidos en la mencionada Decisión 200/520/CE.

El TJUE consideró que la Decisión 200/520/CE no puede dejar sin efecto ni limitar las facultades que disponen las autoridades nacionales de protección de datos. A mayor abundamiento, también indicó que ninguna disposición de las directivas europeas en la materia impide que las autoridades nacionales controlen las transferencias de datos personales a terceros países que hayan sido objeto de una decisión de la Comisión. A su vez, también declaró que la mencionada Decisión es nula ya que la Comisión no comprobó que los Estados Unidos tuvieran un sistema de protección equivalente al europeo en el área de protección de datos personales.

El efecto inmediato para las empresas de dicho pronunciamiento es que a partir de ahora las transferencias de datos entre Europa y Estados Unidos tendrán que ser aprobadas por las autoridades administrativas estatales. En España, será necesaria la aprobación del Director de la Agencia Española de Protección de Datos.

Por último, se espera que a principios del año 2016 se apruebe un Reglamento General de la UE sobre la Protección de Datos cuyo objetivo es proporcionar una serie de herramientas a las empresas que manipulan datos de ciudadanos de la Unión Europea para que adapten su normativa a la legislación europea. Con este reglamento se pretende unificar las legislaciones de los distintos Países Miembro para que pongan a disposición de las empresas unos procesos de negocio más simples donde queden delimitadas las obligaciones legales en materia de protección de datos.

 

 

Vilá Abogados

 

Para más información, contacte con:

va@vila.es

 

13 de noviembre de 2015