Cierto, confirma lo que comentaba, leyendo la web que indicas veo que el problema en ese caso fue que no se informó ni se contaba con el consentimiento de los usuarios para realizar una transferencia de datos internacional de sus datos.

http://www.derechoeinternet.com/?p=37

Si se informa a los usuarios y se recaba su consentimiento, por ejemplo en las condiciones del servicio, y así se notifica a la Agencia de Protección de Datos, no hay ningún problema en alojarse fuera de Europa aunque el datacenter no cumpla la Safe Harbor.