Declaración de invalidez del Safe Harbor y sus posibles efectos en la Argentina

El 6 de octubre de 2015, la Corte Europea de Justicia (CEJ) decidió que el acuerdo entre los Estados Unidos y la Unión Europea para la transferencia internacional de datos personales, más conocido como EU-US Safe Harbor, es un mecanismo inválido a tal fin. Por Decisión N° 2000/520/EC la Comisión Europea había declarado que el Safe Harbor, un esfuerzo compartido con el Departamento de Comercio de los Estados Unidos, aseguraba una protección adecuada para la transferencia de datos personales desde algún país de la Comunidad Europea hacia los Estados Unidos.

Con fundamento en un reclamo de Max Schrems, un estudiante austríaco, y la Agencia de Protección de Datos de Irlanda, se le requirió a la CEJ que analizara si una agencia de protección de datos local estaba obligada a seguir la decisión de la Comisión Europea sobre el Safe Harbor o no.

En su decisión, la CEJ concluyó que el hecho de que le Comisión Europea hubiera decidido que un país asegura un nivel de protección adecuado, no significa que la autoridad local no pueda frente a un reclamo de una persona en relación con la protección de sus derechos y libertades en el procesamiento de sus datos personales, considerar el reclamo y analizar si las leyes y prácticas de ese país aseguran efectivamente un nivel adecuado de protección.

Mientras que los efectos principales impactarán inevitablemente en la transferencia internacional de datos personales de la UE hacia los Estados Unidos, el razonamiento y argumentos de la decisión de la CEJ podría también tener impacto en otras jurisdicciones que hayan sido declaradas por la Comisión Europea como proveyendo un nivel adecuado de protección (para la lista completa de país declarados adecuados hacer click aquí).

Entre otros países, Argentina ha sido considerado un país que provee niveles adecuados de protección (Decisión No. 2003/490/EC del 30 de junio de 2003) lo que en la práctica ha resultado en un libre flujo de datos personales de la UE hacia la Argentina y viceversa. Desde 2003, las compañías y las personas físicas se han valido de esta decisión como un método válido para la libre exportación e importación de datos personales.

La decisión que comentamos podría desencadenar otros casos en los que las autoridades locales de protección de datos personales quisieran analizar si otro país declarado como adecuado en el tratamiento de los datos personales, como por ejemplo la Argentina, sigue resultando válido o no. Sin embargo, si ese fuera el caso, en nuestra opinión existen fuertes argumentos para sostener que la situación de la Argentina es diferente a la que ha debido analizar la CEJ, en particular por la existencia de leyes federales que garantizan derechos similares a los que reconoce de forma expresa la Directiva 95/45 de la Unión Europea, como así también la existencia de una Dirección Nacional de Protección de Datos Personales que vigila y controla activamente el cumplimiento de la ley.