Entradas

Privacy Shield Sustituye al Acuerdo Puerto seguro

El pasado 12 de julio de 2016, la Comisión Europea adoptó un acuerdo con Estados Unidos, denominado “Privacy Shield” (algo así como “escudo de intimidad”), por el cual se da un nuevo marco para la protección de los datos personales de ciudadanos de la Unión Europea cuyos datos personales son transferidos a los Estados Unidos.

Nuevo acuerdo Privacy Shield

Antecedentes

Este acuerdo sustituye al anterior denominado “Safe Harbor” (puerto seguro), que como señalamos en nuestro artículo “Invalidado el Acuerdo de Puerto Seguro. ¿Y ahora qué?, había sido desautorizado por el Tribunal de Justicia de la Unión Europea, en una sentencia de 6 de octubre de 2015, causando una gran incertidumbre y problemas a las empresas Europas que transferían datos a Estados Unidos amparándose en este acuerdo. Recordemos que la cosa no era de unos pocos, pues afectaba a todas aquellas empresas que usaban aplicaciones como Gmail, MailChimp, Dropbox, Google Drive, Facebook…

El 12 de julio de 2016 adoptado nuevo acuerdo «Privacy Shield» en sustitución de «Safe Harbour». Clic para tuitear

Obligaciones más estrictas

Este nuevo acuerdo, “Privacy Shield”, impone obligaciones más estrictas a las empresas estadounidenses para proteger los datos personales de los europeos, y se establecen mecanismos para asegurar que las empresas respetan el acuerdo, con sanciones o con exclusión de las empresas que no cumplan.

Por primera vez, se plasma por escrito que cualquier acceso de autoridades públicas de Estados Unidos a los datos personales estará sujeto a ciertas limitaciones, salvaguardas, y mecanismos, comprometiéndose,  las autoridades americanas, a no utilizar los sistemas de vigilancia indistinta o de masas.

Las Empresas serán capaces de controlar el número aproximado de acceso que se solicita. Recordemos que una de las causas por el que se invalidó el “Safe Harbor”, fue precisamente la posibilidad de que las autoridades americanas pudieran acceder a esos datos, alegando cuestiones de seguridad nacional, así el Tribunal Europeo señalo en dicha sentencia que en el “Safe Harbor” prevalecía incondicionalmente y sin ninguna limitación “la seguridad nacional, el interés público o el cumplimiento de la ley” sobre los derechos fundamentales a la intimidad y la protección de datos, sin otorgar a los ciudadanos europeos ningún medio para obtener la tutela efectiva de esos derechos. Y por otro lado, porque no otorga a los Estados miembros un margen suficiente para suspender las transferencias, en caso de que éstos apreciaran una vulneración de los derechos de los ciudadanos europeos.

«Privacy Shield» impone obligaciones más estrictas a las empresas estadounidenses. Clic para tuitear

Mecanismo de arbitraje

El nuevo acuerdo establece la posibilidad de reparar los daños que se produzcan a los titulares de los datos. Por un lado, el titular podrá contactar directamente con la empresa, la cual deben contestar a las quejas en un plazo de 45 días. Pero además, se establece que las Autoridades de Protección de Datos europeas trabajen  con el Ministerio de Economía y Hacienda estadounidense y la Comisión Federal Comercial para asegurar que las quejas de ciudadanos de la Unión Europea, no resueltas, sean investigadas y rápidamente resueltas. Como una última instancia, habrá un mecanismo de arbitraje para asegurar una decisión ejecutoria.

Revisión anual del acuerdo

El nuevo acuerdo establece, además, mecanismos de revisión anual para valorar el funcionamiento del ‘Privacy Shield’.

Por lo tanto, el acuerdo “Privacy Shield” conllevará que las empresas americanas que almacenan datos de ciudadanos europeos, tendrán que certificar cada año que cumplen con las exigencias de este acuerdo sobre  política de protección de datos, resuelven las quejas que se le formulan y  cooperan y cumplen con Autoridades de Protección de Datos europeas. A los ciudadanos europeos este nuevo marco supone mayor transparencia sobre las transferencias de datos personales, con mayores exigencias y la posibilidad de que sus quejas sean atendidas directamente o con la ayuda de su Autoridad de Protección de Datos local.

Invalidado el Acuerdo de Puerto Seguro. ¿Y ahora qué?

Como norma general no pueden realizarse transferencias internacionales de datos a países que no proporcionen un nivel de protección equiparable al que exige la Ley española, salvo que se obtenga autorización previa del Director de la Agencia de Protección de Datos. Esta autorización no es necesaria en algunos casos, entre ellos cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado. Uno de estos casos, hasta ahora, era que la transferencia fuese a EEUU, a entidades acogidas al acuerdo de Puerto Seguro, Safe Harbor, y ello por virtud de la Decisión de la Comisión 2000/500/20CE, por la cual se pronunció sobre la adecuación conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América.

El varapalo al acuerdo de Puerto Seguro ha venido de la mano del Tribunal de Justicia de la Unión Europea, que el pasado 6 de octubre de 2015, ha dictado una sentencia por la cual declara que la Decisión de Puerto Seguro es inválida. Y ello porque el Tribunal Europeo entiende que prevalece incondicionalmente y sin ninguna limitación “la seguridad nacional, el interés público o el cumplimiento de la ley” sobre los derechos fundamentales a la intimidad y la protección de datos, sin otorgar a los ciudadanos europeos ningún medio para obtener la tutela efectiva de esos derechos. Y por otro lado porque no otorga a los Estados miembros un margen suficiente para suspender las transferencias en caso de que estos apreciaran una vulneración de los derechos de los ciudadanos europeos.

Son muchas las empresas españolas que realizan transferencias internacionales a Estados Unidos Puerto Seguro, por ejemplo todas las que usan Gmail, MailChimp, Dropbox, Google Drive, Facebook, etc. ¿Qué pasa ahora con estas transferencias?

Las Autoridades de protección de datos de los Estados miembros de la Unión Europea, reunidas en el Grupo de Trabajo del Artículo 29, del que forma parte la Agencia Española de Protección de Datos, han publicado una declaración conjunta sobre las primeras consecuencias que se pueden extraer a nivel europeo y nacional tras el histórico fallo de la Corte de Justicia de la Unión Europea (TJUE) de 6 de octubre de 2015. Lo procedente ahora es que la Unión Europea inicie una negociación con las autoridades de EEUU con el fin de encontrar una solución, y llegar a un acuerdo por el que se asegure mayores garantías a los interesados de la Unión Europea.

Lo que se ha dejado claro en esta declaración en cuanto a las consecuencias prácticas de la sentencia del TJUE, es que las transferencias procedentes de la Unión Europea a EEUU ya no se pueden enmarcar en la Decisión de Adecuación de la Comisión Europea 2000/520/CE (la llamada “Decisión Puerto Seguro”). En cualquier caso, las transferencias que aún se estén llevando a cabo bajo la Decisión Puerto Seguro tras la sentencia del TJUE son ilegales.

A la vista de lo anterior, en tanto se busque una solución, lo que se puede hacer es: o cambiar a un proveedor que tenga sus servidores en la Unión Europea o en un país declarado que garantiza un nivel adecuado de protección, si se puede solicitar al afectado el consentimiento inequívoco a la transferencia prevista; o solicitar la autorización del Director de la Agencia de Protección de Datos. Para este último caso, ente otras cosas, hay que aportar un contrato escrito, celebrado entre el exportador y el importador, en el que consten las necesarias garantías de respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos.

Sobre los que se preguntan muchos, ¿Van a haber sanciones para los que continúen llevando a cabo transferencias? No tengo la respuesta, pero el sentido común me dice que de inmediato no lo creo, pero habrá que ir tomando medidas para adaptarse a la nueva situación.