Hace unos meses Safe Harbour, el acuerdo que autorizaba la transferencia de datos personales a Estados Unidos, era anulado por el Tribunal de Justicia de la Unión Europea. A punto de cumplirse el plazo para un consenso, las autoridades han acordado el Privacy Shield o Escudo de la privacidad UE – EE.UU.
Con el crecimiento de Internet, el uso de las redes sociales y la utilización de múltiples servicios en la nube, aumentan las oportunidades de una comunicación personalizada y de un marketing data-driven, a la vez que la sensibilidad hacia una mayor protección del usuario: por eso ha surgido la nueva ley de cookies en España y se quieren regular los flujos de datos transatlánticos.
Safe Harbour vs. Privacy Shield
Desde 1998, el acuerdo de Puerto Seguro había permitido la transferencia de datos a más de 4.000 empresas tecnológicas norteamericanas con presencia en Europa, siempre y cuando cumpliesen con una serie de principios de privacidad. En 2011, Max Schrems (un estudiante austriaco) llevó a Facebook ante los tribunales europeos que recientemente fallaron a su favor, mostrando las limitaciones de Safe Harbour con la consecuente necesidad de un nuevo acuerdo.
Su sustituto, el EU-US Privacy Shield o Escudo de Privacidad, promete dar una mayor protección a los datos personales que se transfieran a EE.UU., debe ser aceptado por cada estado miembro y sus condiciones, negociadas por separado.
¿En qué consiste el Privacy Shield?
- Nuevas obligaciones para las empresas: las empresas que quieran importar datos personales desde Europa estarán obligadas a colaborar con las autoridades europeas de protección de datos de la U.E. y a publicar reglas específicas sobre cómo tratan la data que recopilan. Esta normativa será supervisada por el Departamento de Comercio de EE.UU. y su incumplimiento deberá ser respondido ante los tribunales correspondientes, con sanciones o exclusión si no lo hacen.
- Acceso limitado a las autoridades estadounidenses: las autoridades públicas y sus agencias de inteligencia solo tendrán acceso a los datos personales procedentes de Europa cuando sea imprescindible, y se realizará con todas las garantías.
- Varias posibilidades de recurso para los ciudadanos europeos: los ciudadanos de la UE también podrán dirigirse no sólo a las empresas concretas, sino también a las autoridades nacionales de protección de datos, que colaborarán con la Comisión Federal de Comercio para garantizar que las reclamaciones no resueltas se investiguen y resuelvan. Si el asunto no se resuelve, un mecanismo de arbitraje en última instancia, garantizará una solución jurídica ejecutable de forma gratuita.
- Obligación de respuesta en determinados plazos: las empresas deberán responder a las reclamaciones y en caso de disputa, resolverla en un plazo inferior a 45 días.
- Creación de la figura de un mediador estadounidense: esta nueva figura se encargará de recibir, tramitar y dar seguimiento tanto a las denuncias como a las consultas de los usuarios, incluidas las relativas al acceso por parte de las autoridades de inteligencia nacionales. Además informará de si se han respetado las leyes pertinentes.
- Revisión conjunta anual del acuerdo entre EE.UU. y la Unión Europea: se fijan revisiones anuales para hacer un seguimiento del funcionamiento del Escudo de la privacidad UE – EE.UU., incluidos los compromisos y las garantías asumidos en materia de acceso a los datos (con fines policiales y de seguridad nacional). La Comisión presentará un informe al Parlamento Europeo y al Consejo, valiéndose de la información disponible (informes de transparencia) y de las conclusiones de la cumbre.
- Cumbre anual sobre privacidad: la Comisión reunirá a las partes interesadas (incluidas las ONG), para debatir las novedades generales en el ámbito del Derecho de los Estados Unidos en materia de privacidad y su efecto en los europeos.
¿Cuándo se implantará el Privacy Shield?
El lunes pasado, día 29 de febrero, la Comisión Europea presentó los textos jurídicos y, a falta de la consulta al Comité de representantes de los estados miembros y las autoridades de protección de datos de la UE, Estados Unidos ya está realizando los preparativos necesarios para establecer el nuevo marco, los mecanismos de control y la figura del Mediador.
Actualización
La Comisión Europea aprobó el pasado 12 de julio el acuerdo de Privacy Shield y a partir del 1 de agosto el Departamento de Comercio de EE.UU. publicará el listado de las empresas americanas adaptadas al acuerdo y certificadas.
We agreed with US partners on a new framework with strong protections in place: EU-US #privacyshield pic.twitter.com/LVuZ3aTM84
— Andrus Ansip (@Ansip_EU) 2 de febrero de 2016
I'm happy to announce the approval of the EU-U.S. Privacy Shield Framework, a milestone for stronger privacy protections & digital commerce.
— Penny Pritzker (@PennyPritzker) 12 de julio de 2016
Si quieres saber más, puedes consultar: La Comisión aprueba el Acuerdo Privacy Shield que permite realizar transferencias de datos a Estados Unidos
¿Qué te parece el nuevo marco de protección de los flujos de datos transatlánticos?
