Cómo te afecta “Privacy Shield”, el nuevo acuerdo de transferencia de datos entre Europa y Estados Unidos

Cómo te afecta “Privacy Shield”, el nuevo acuerdo de transferencia de datos entre Europa y Estados Unidos

PORTADA PRIVACY SHIELD

El caso Snowden puso de manifiesto que el tratamiento de los datos personales europeos que hacía Estados Unidos no era el que, en teoría, recogía la normativa Safe Harbor. Este hecho cobró mayor relevancia después de que Max Schrems, un joven abogado austríaco, se querellara contra Facebook por vulnerar las reglas europeas de protección de datos. Schrems consiguió que el Tribunal de Justicia de la Unión Europea anulara el acuerdo de transferencia de datos con Estados Unidos, por considerar que no garantizaba el cumplimiento de las leyes europeas de protección de datos.

Con el objetivo de mejorar Safe Harbor, la Unión Europea y los Estados Unidos llegaron a un acuerdo a principios de este año y crearon un nuevo marco legal llamado Privacy Shield (Escudo de Protección), que fue aprobado el 12 de julio. La idea es controlar de alguna manera el poder que tiene EE.UU, en lo que al uso de los datos personales que le llegan de Europa se refiere. Es decir, protege los derechos fundamentales de cualquier persona en la UE, cuyos datos personales se transfieran al país norteamericano.

En este sentido, la comisaria de Justicia, Consumidores e Igualdad de Género de la UE, Vĕra Jourová, ha asegurado que el Privacy Shield es un sistema sólido de protección de los datos personales de los europeos, que también garantiza la seguridad jurídica a las empresas: “Aporta normas más estrictas de protección de datos que se aplican mejor, salvaguardias en cuanto al acceso del Gobierno y un recurso más fácil para los particulares en caso de reclamaciones. El nuevo marco restablecerá la confianza de los consumidores cuyos datos sean transferidos al otro lado del Atlántico”.

En el caso de las empresas, el marco trata de aportar claridad jurídica a aquellas que dependen de las transferencias de datos hacia Estados Unidos. Por este motivo, las compañías deben tener en cuenta algunos aspectos que pueden afectarles:

  • Se sancionará a las compañías que no cumplan la normativa: el Departamento de comercio de EE.UU llevará a cabo actualizaciones y revisiones periódicas de las empresas que participen, de esta forma pueden garantizar que las compañías siguen la normativa. Si no lo hacen, se enfrentan a sanciones y a ser retiradas de la lista.
  • Habrá una protección más eficaz de los derechos individuales: los ciudadanos que consideren que sus datos han sido utilizados de forma inadecuada podrán optar a los mecanismos gratuitos de resolución alternativa de litigios que ofrece este nuevo marco normativo. Los recursos de los ciudadanos de la UE serán gestionados por un defensor del pueblo, independiente de los servicios de inteligencia de Estados Unidos.
  • No habrá vigilancia masiva de los datos personales: EE.UU ha descartado hacer una vigilancia masiva indiscriminada de los datos personales que les lleguen desde la UE. Explican que solo podrá llevarse a cabo “espionaje” de la información en circunstancias especiales (amenazas terroristas, localización de armas de destrucción masiva, etc.).
  • Se llevarán a cabo revisiones conjuntas entre la UE y Estados Unidos: la Comisión Europea y el Departamento de Comercio estadounidense serán los encargados de realizar una revisión anual, que garantice que la normativa se aplica correctamente.

Por cierto, para aparecer como entidades adheridas al Privacy Shield las empresas deberán revisar la nueva normativa y actualizar su cumplimiento. De esta forma, podrán certificarse en el Departamento de Comercio de Estados Unidos (a partir del 1 de agosto) y figurar en el listado.

Pero, si te preguntas cómo afecta a tu empresa -en la práctica- esta normativa, podemos ofrecerte algunos ejemplos. En el caso de tratarse de una compañía española que prevé contratar proveedores de servicios en Estados Unidos (por ejemplo un hosting, que implica el tratamiento de datos personales), el hecho de que el proveedor esté adherido al Privacy Shield agilizará los trámites de la contratación. Así, en el caso de las empresas incluidas en el listado, solo será necesario notificar a la Agencia Española de Protección de Datos la transferencia internacional de la información (no es necesaria ninguna autorización).

Pero, si el proveedor no aparece en la lista, será necesario obtener autorización del director de la Agencia Española de Protección de Datos (AEPD) o aplicar una de las excepciones establecidas en artículo 34 de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD). Las más destacadas son: la solicitud al afectado de su consentimiento para transferir sus datos al país en cuestión o la firma de un contrato tipo con la empresa receptora de los datos, que viene recogido en la Decisión de la Comisión 2001/497/CE.

En definitiva, el Privacy Shield establece un sistema de homologación de empresas muy similar al recogido por el Safe Harbour, por lo que las empresas españolas que operaban bajo el antiguo sistema no deberían tener problemas para adaptarse a este nuevo marco normativo. Sin embargo, con el objetivo reducir al máximo el riesgo de sanción por parte de la Agencia Española de Protección de Datos, es recomendable examinar cada caso de forma individual, con el apoyo de expertos profesionales como los que trabajan en Secure&IT.

 

Comments

Comentarios desactivados