Hasta ahora el acuerdo de puerto seguro UE-EEUU suponía el marco que permitía transferir datos a empresas de EEUU adheridas a dicho acuerdo sin pasar por el régimen de autorización previa ante las autoridades de protección de datos.
Sin embargo, como resultado de la anulación de este acuerdo por parte del Tribunal de Justicia Europea, todas las transferencias a EEUU realizadas al amparo del puesrto seguro, han pasado a ser ilegales (tal y como se dice en la nota de prensa de la AEPD).
Ante esta situación, la AEPD está requiriendo a aquellos responsables que habían notificado en sus ficheros este tipo de transferencias, con fecha límite 29 de enero 2016, lo siguiente:
a) Cesar en la transferencia de datos a EEUU, así como notificarlo al Registro General de Protección de Datos modificando el apartado «Transferencias internacionales» de los ficheros afectados.
b) O bien, ampararse en alguna de las excepciones establecidas en la LOPD que permiten realizar transferencias sin autorización.
c) O bien, solicitar autorización de la AEPD, siendo necesario legitimar dicha transferencia en alguno de los supuestos establecidos en la LOPD.
La autorización puede darse cuando el importador de datos ofrece todas las garantías exigidas por la normativa europea, siendo una herramienta válida la adopción de alguno de los conjuntos de cláusulas contractuales tipo autorizadas por la Comisión Europea. Los pasos a seguir serían:
1. Adoptar mediante acuerdo escrito entre el exportador y el importador de datos las cláusulas tipo correspondientes.
2. Realizar la solicitud de autorización a la AEPD, aportando copia del acuerdo (a doble columna y en dos idiomas), y copia de los poderes tanto del exportador como del importador. Será necesaria traducción jurada. Diferentes tipos de transferencia (responsable/responsable y encargado/responsable) serán tramitados por la AEPD en expedientes separados.
3. La AEPD dispondrá de TRES MESES para dictaminar sobre la solicitud, rigiendo ante la ausencia de respuesta, el régimen del silencio positivo.
4. La AEPD realizaría de oficio la modificación del apartado «transferencias internacionales» el Registro General de Protección de Datos para los ficheros afectados.
De no realizar ninguna acción al respecto, la AEPD podría acordar la suspensión temporal de la transferencia, resultando en una especialmente delicada al contar España con el régimen sancionador más estricto de toda Europa y suponer la transferencia internacional que vulnera la LOPD infracción MUY GRAVE.