Privacy Shield: la Comisión Europea aprueba el nuevo marco legal de transferencias de datos con EEUU

A partir del 1 de agosto de este año, las empresas americanas podrán comenzar su adhesión al nuevo marco regulatorio de las transferencias internacionales entre la Unión Europea y Estados Unidos...

A partir del 1 de agosto de este año, las empresas americanas podrán comenzar su adhesión mediante certificación al nuevo marco regulatorio de las transferencias internacionales entre la Unión Europea y Estados Unidos que el pasado 12 de julio fue aprobado por la Comisión Europea.

Se culmina el proceso de negociación que comenzó el pasado año 2015 tras la Sentencia Schrems que puso fin al llamado protocolo de Puerto Seguro (Safe Harbour) y que regulaba la transferencia de datos entre los estados miembros de la Unión Europea y los Estados Unidos. Dicha Sentencia puso en entredicho el cumplimiento y respeto a la privacidad en Estados Unidos y las escasas garantías que dicho protocolo dispensaba a los ciudadanos europeos cuando sus datos eran recabados por empresas americanas (en este caso se trataba de una conocida red social).

El “problema” de las transferencias internacionales de datos implicaba que aquellas relaciones inicialmente “bendecidas” por el Puerto Seguro pasaban a una situación de “alegalidad” que era preciso subsanar. De esta forma, existían diferentes opciones, todas ellas en ocasiones difíciles para muchas organizaciones. Además una rápida reacción de la Comisión Europea y una voluntad firme de las dos partes interesadas de resolver esta situación cuanto antes ha desembocado en este acuerdo que acogemos con optimismo.

El Escudo de la privacidad UE-EE.UU. se basa en los siguientes principios (reproducimos textualmente la nota de prensa de la Comisión):

  • Obligaciones rigurosas para las empresas que trabajan con datos: al amparo del nuevo sistema, el Departamento de Comercio de los Estados Unidos llevará a cabo actualizaciones y revisiones periódicas de las empresas participantes, con el fin de garantizar que sigan las normas que ellas mismas han suscrito. Si las empresas no cumplen en la práctica, se enfrentan a sanciones y a ser retiradas de la lista. El endurecimiento de las condiciones para las transferencias ulteriores de datos a terceros garantizará el mismo nivel de protección en caso de transferencia desde una empresa adherida al Escudo de la privacidad.
  • Obligaciones en materia de transparencia y salvaguardias claras para el acceso de la administración estadounidense: los Estados Unidos han dado a la UE garantías de que el acceso de las autoridades públicas a efectos de aplicación de la ley y de seguridad nacional está sujeto a limitaciones, salvaguardias y mecanismos de supervisión claros. También por primera vez, cualquier persona en la UE tendrá a su disposición vías de recurso en la materia. Los Estados Unidos han descartado una vigilancia masiva indiscriminada de los datos personales transferidos hacia ese país en el marco del acuerdo del Escudo de la privacidad UE-EE UU. La Oficina del Director de Inteligencia Nacional explica además que la recopilación en bloque de datos solo podrá utilizarse en condiciones específicas predeterminadas y tiene que ser lo más concreta y precisa posible. Detalla las salvaguardias existentes para la utilización de los datos en esas circunstancias excepcionales. El secretario de Estado estadounidense ha establecido un mecanismo de recurso en el ámbito de la inteligencia nacional para los europeos a través de la figura del Defensor del Pueblo dentro del Departamento de Estado.
  • Protección eficaz de los derechos individuales: cualquier ciudadano que considere que sus datos se han utilizado de forma indebida en el nuevo sistema del Escudo de la privacidad se beneficiarán de varios mecanismos de resolución de litigios accesibles y asequibles. Lo ideal es que las reclamaciones las resuelva la propia empresa; o se ofrecerán gratuitamente mecanismos de resolución alternativa de litigios. Los particulares también podrán dirigirse a sus autoridades nacionales de protección de datos, que colaborarán con la Comisión Federal de Comercio para garantizar que las reclamaciones de los ciudadanos de la UE se investiguen y resuelvan. Si un asunto no se resuelve por un medio u otro, estará previsto, en última instancia, un mecanismo de arbitraje. El mecanismo de recurso en el ámbito de la seguridad nacional para los ciudadanos de la UE será gestionado por un Defensor del pueblo independiente de los servicios de inteligencia de los Estados Unidos.
  • Mecanismo de revisión conjunta anual: el mecanismo hará un seguimiento del funcionamiento del Escudo de la privacidad, incluidos los compromisos y garantías en lo que se refiere al acceso a los datos a efectos de aplicación de la ley o de seguridad nacional. La Comisión Europea y el Departamento de Comercio de los Estados Unidos llevarán a cabo el examen y asociarán al mismo a expertos nacionales de inteligencia de los Estados Unidos y a las autoridades europeas de protección de datos. La Comisión se basará en todas las demás fuentes de información disponibles y presentará un informe público al Parlamento Europeo y al Consejo.

Los siguientes pasos:la decisión de adecuación fue notificada a los estados miembros el mismo día de su publicación y con ello entra en vigor. En los Estados Uni el marco del Escudo de la privacidad se publicará en el Federal Register (Registro Federal), el equivalente a nuestro Diario Oficial. El Departamento de Comercio de los Estados Unidos comenzará a operar el Escudo de la privacidad. Una vez las empresas hayan tenido ocasión de revisar el marco y de actualizar su cumplimiento, podrán certificarse ante el Departamento de Comercio a partir del 1 de agosto. Al mismo tiempo, la Comisión publicará una breve guía para los ciudadanos en la que explica las vías de recurso disponibles en caso de que un particular considere que sus datos personales se han utilizado sin tener en cuenta las normas de protección de datos.

A partir del 1 de agosto es de esperar que las compañías más conocidas (y otras no tanto) que trabajan habitualmente para empresas europeas, soliciten dicha certificación a fin de regularizar las comunicaciones y accesos de datos entre países.

Queda por ver si, en la práctica, la garantía a los derechos de los ciudadanos europeos (cuya vulneración fue la que dio lugar a la invalidez del Puerto Seguro, queda a salvo de accesos indebidos o desmesurados por parte de las instituciones de los Estados Unidos. Igualmente queda por ver si el Ombudsman habilitado a tal fin, será suficiente para protegerse dichos derechos y no una medida cosmética tendente a facilitar el comercio entre las dos partes del océano pero no la protección de los datos.

El tiempo nos dirá si el Escudo de Privacidad (Privacy Shield) es una verdadera coraza frente a la invasión en la privacidad o sólo un escudo de juguete.

Conoce nuestros servicios en
Protección de Datos y Derecho Digital

H&A

H&A

Más en derecho de las TIC

Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Responsable del tratamiento: HERRERO & ASOCIADOS, S.L.

Finalidad del tratamiento: Publicar su comentario sobre la noticia indicada.

Derechos de los interesados: Puede ejercer los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento, mediante un escrito, acompañado de copia de documento que le identifique dirigiéndose al correo dpo@herrero.es.

Para más información visita nuestra Política de Privacidad.

*Los campos marcados con el asterisco son obligatorios. En caso de no cumplimentarlos no podremos contestar tu consulta.

No hay comentarios