Privacy Shield Sustituye al Acuerdo Puerto seguro

El pasado 12 de julio de 2016, la Comisión Europea adoptó un acuerdo con Estados Unidos, denominado “Privacy Shield” (algo así como “escudo de intimidad”), por el cual se da un nuevo marco para la protección de los datos personales de ciudadanos de la Unión Europea cuyos datos personales son transferidos a los Estados Unidos.

Nuevo acuerdo Privacy Shield

Antecedentes

Este acuerdo sustituye al anterior denominado “Safe Harbor” (puerto seguro), que como señalamos en nuestro artículo “Invalidado el Acuerdo de Puerto Seguro. ¿Y ahora qué?, había sido desautorizado por el Tribunal de Justicia de la Unión Europea, en una sentencia de 6 de octubre de 2015, causando una gran incertidumbre y problemas a las empresas Europas que transferían datos a Estados Unidos amparándose en este acuerdo. Recordemos que la cosa no era de unos pocos, pues afectaba a todas aquellas empresas que usaban aplicaciones como Gmail, MailChimp, Dropbox, Google Drive, Facebook…

El 12 de julio de 2016 adoptado nuevo acuerdo «Privacy Shield» en sustitución de «Safe Harbour». Share on X

Obligaciones más estrictas

Este nuevo acuerdo, “Privacy Shield”, impone obligaciones más estrictas a las empresas estadounidenses para proteger los datos personales de los europeos, y se establecen mecanismos para asegurar que las empresas respetan el acuerdo, con sanciones o con exclusión de las empresas que no cumplan.

Por primera vez, se plasma por escrito que cualquier acceso de autoridades públicas de Estados Unidos a los datos personales estará sujeto a ciertas limitaciones, salvaguardas, y mecanismos, comprometiéndose,  las autoridades americanas, a no utilizar los sistemas de vigilancia indistinta o de masas.

Las Empresas serán capaces de controlar el número aproximado de acceso que se solicita. Recordemos que una de las causas por el que se invalidó el “Safe Harbor”, fue precisamente la posibilidad de que las autoridades americanas pudieran acceder a esos datos, alegando cuestiones de seguridad nacional, así el Tribunal Europeo señalo en dicha sentencia que en el “Safe Harbor” prevalecía incondicionalmente y sin ninguna limitación “la seguridad nacional, el interés público o el cumplimiento de la ley” sobre los derechos fundamentales a la intimidad y la protección de datos, sin otorgar a los ciudadanos europeos ningún medio para obtener la tutela efectiva de esos derechos. Y por otro lado, porque no otorga a los Estados miembros un margen suficiente para suspender las transferencias, en caso de que éstos apreciaran una vulneración de los derechos de los ciudadanos europeos.

«Privacy Shield» impone obligaciones más estrictas a las empresas estadounidenses. Share on X

Mecanismo de arbitraje

El nuevo acuerdo establece la posibilidad de reparar los daños que se produzcan a los titulares de los datos. Por un lado, el titular podrá contactar directamente con la empresa, la cual deben contestar a las quejas en un plazo de 45 días. Pero además, se establece que las Autoridades de Protección de Datos europeas trabajen  con el Ministerio de Economía y Hacienda estadounidense y la Comisión Federal Comercial para asegurar que las quejas de ciudadanos de la Unión Europea, no resueltas, sean investigadas y rápidamente resueltas. Como una última instancia, habrá un mecanismo de arbitraje para asegurar una decisión ejecutoria.

Revisión anual del acuerdo

El nuevo acuerdo establece, además, mecanismos de revisión anual para valorar el funcionamiento del ‘Privacy Shield’.

Por lo tanto, el acuerdo “Privacy Shield” conllevará que las empresas americanas que almacenan datos de ciudadanos europeos, tendrán que certificar cada año que cumplen con las exigencias de este acuerdo sobre  política de protección de datos, resuelven las quejas que se le formulan y  cooperan y cumplen con Autoridades de Protección de Datos europeas. A los ciudadanos europeos este nuevo marco supone mayor transparencia sobre las transferencias de datos personales, con mayores exigencias y la posibilidad de que sus quejas sean atendidas directamente o con la ayuda de su Autoridad de Protección de Datos local.