Les autoritats de protecció de dades dels estats membres de la UE, reunides en el Grup de Treball de l’Article 29, del qual forma part l’Agència Espanyola de Protecció de Dades, acaben de publicar una declaració conjunta sobre les primeres conseqüències que es poden extreure a nivell europeu i nacional després de l’històrica sentència de la Cort de Justícia de la Unió Europea (TJUE) de 6 d’octubre de 2015 en el cas Maximilian Schrems vs. Comissionat de Protecció de Dades (C-362-14).
En el seu escrit, les autoritats de protecció de dades de la UE consideren que és absolutament imprescindible comptar amb una posició sòlida, col·lectiva i comuna sobre l’aplicació de la sentència. D’altra banda, el Grup de Treball observarà de prop l’evolució dels procediments pendents davant el Tribunal Suprem d’Irlanda.
En primer lloc, el Grup de Treball subratlla que la qüestió de la vigilància massiva i indiscriminada és un element clau de l’anàlisi del Tribunal. El Grup recorda que ha declarat reiteradament que aquesta vigilància és incompatible amb el marc jurídic de la UE i que les eines de transferència existents no són la solució a aquest problema. A més, com ja ha manifestat, les transferències a tercers països en els quals els poders de les autoritats estatals per accedir a informació excedeixen del que és necessari en una societat democràtica no seran considerades com a destinacions segurs per a les transferències.
En aquest sentit, la sentència del tribunal exigeix que qualsevol decisió d’adequació impliqui una àmplia anàlisi de les lleis nacionals del país destinatari de les dades, així com dels seus compromisos.
Per tant, el Grup de Treball fa una crida urgent als estats membres i a les institucions europees per iniciar converses amb les autoritats dels EUA per tal de trobar solucions polítiques, jurídiques i tècniques que permetin transferències de dades a territori dels EUA respectant els drets fonamentals.
Aquestes solucions es podrien trobar a través de les negociacions d’un acord intergovernamental que proporcioni més garanties als interessats a la UE. Les actuals negociacions al voltant d’un nou Safe Harbour -Port segur- podrien ser una part de la solució. En qualsevol cas, aquestes solucions haurien d’anar sempre acompanyades per mecanismes clars i vinculants i incloure, almenys, obligacions sobre la necessària supervisió de l’accés per part de les autoritats públiques, sobre transparència, proporcionalitat, mecanismes de reparació i drets recollits en la legislació de protecció de dades.
Mentrestant, el Grup de Treball continuarà la seva anàlisi de l’impacte de la sentència del TJUE en altres eines de transferència. Durant aquest període, les autoritats de protecció de dades consideren que les Clàusules Contractuals Tipus i les Normes Corporatives Vinculants (BCRs) es poden seguir utilitzant. En qualsevol cas, això no impedirà que les autoritats de protecció de dades investiguin casos particulars, per exemple, a partir de denúncies, i exerceixin els seus poders per tal de protegir les persones.
Si a finals de gener de 2016 no s’ha trobat una solució adequada amb les autoritats nord-americanes, i en funció de l’avaluació de les eines de transferència per part del Grup de Treball, les autoritats de protecció de dades de la UE es comprometen a adoptar totes les mesures necessàries i apropiades, que poden incloure accions coordinades d’aplicació de la llei (enforcement).
Pel que fa a les conseqüències pràctiques de la sentència del TJUE, el Grup de Treball considera que està clar que les transferències procedents de la Unió Europea als EUA ja no es poden emmarcar en la Decisió d’Adequació de la Comissió Europea 2000/520 / CE ( l’anomenada Decisió Port Segur). En qualsevol cas, les transferències que encara s’estiguin duent a terme sota la Decisió Port Segur després de la sentència del TJUE són il•legals.
Per tal de garantir que tots els actors estan prou informats, les autoritats de protecció de dades de la UE posaran en marxa campanyes d’informació adequades en els seus respectius països. Això pot incloure informació directa a totes les empreses respecte de les quals consti que utilitzaven la Decisió de Port Segur, així com missatges generals en els llocs web de les autoritats.
En conclusió, el Grup de Treball insisteix en les responsabilitats compartides entre les autoritats de protecció de dades, les institucions de la UE, els Estats membres i les empreses per trobar solucions sostenibles per aplicar la sentència del Tribunal. En particular, i en el context de la sentència, les empreses haurien de reflexionar sobre els eventuals riscos que assumeixen en transferir dades i considerar l’oportuna posada en pràctica de totes les solucions legals i tècniques per mitigar aquests riscos i respectar el patrimoni comunitari de protecció de dades.